Desde o início da pandemia da Covid-19, incalculável sofrimento vem sendo imposto à humanidade. Depois do fim do mais insólito ano há muito não vivido, 2021 começou com um sopro de esperança.¹ Em 17 de janeiro, foi aplicada a primeira vacina contra a doença no país.² Daí se seguiram milhões de doses aplicadas, de acordo com a ordem de prioridade estabelecida.

Os impactos do início da vacinação reverberaram no campo jurídico. A intervenção do Estado-administrador para protagonizar o combate à Covid-19 por meio do processo de vacinação gerou a correspondente necessidade de controle e de fiscalização da atuação estatal, de modo a se coibir irregularidades, como no caso de desobediência à ordem de prioridades ("fura-fila"). Em alguns locais, o Estado-legislador reagiu editando leis que obrigam a Administração Pública a divulgar, por meio de seu site oficial, a lista nominal de vacinados. Também foi chamado a entrar em cena o Estado-juiz, a partir de ações ajuizadas com o objetivo de compelir o Poder Executivo a publicar a lista de vacinados.

Vejam-se alguns exemplos. O Ministério Público do Estado do Rio de Janeiro propôs ação civil pública, pretendendo compelir o Município do Rio de Janeiro a conferir publicidade ao processo de vacinação que estava sendo implementado, através da disponibilização diária, no site oficial da Prefeitura, de listagem de vacinados. Alegou o Ministério Público que o plano de vacinação continha falhas, com desvios de doses para indivíduos que não faziam parte dos grupos prioritários, e que a publicidade era necessária para permitir o controle e a fiscalização do processo de imunização.

Todavia, em agosto de 2021, a 9ª Vara da Fazenda Pública do Tribunal de Justiça do Estado do Rio de Janeiro julgou improcedente o pedido. Dentre outros fundamentos, o magistrado ressaltou a importância do respeito à disciplina da Lei Geral de Proteção de Dados Pessoais (LGPD). Exemplificou que, embora a pessoa infectada não possa se opor ao compartilhamento de seu nome e demais informações com o Ministério da Saúde, o tratamento de dados pessoais pela Administração Pública deve obedecer aos princípios previstos na LGPD, sendo admissível "a divulgação, ao público, apenas dos números e da divisão dos casos por região do Brasil e não das informações específicas daqueles com diagnóstico positivo e que possam, de alguma forma, servir para identificá-los, ainda que combinados com outros dados".³ O magistrado também havia, anteriormente, indeferido o pedido liminar, o que foi confirmado, em sede de agravo de instrumento, pela 10ª Câmara Cível do Tribunal de Justiça do Estado do Rio de Janeiro.⁴

Já no Município de Nova Odessa (SP), foi editada a lei municipal nº 3.381, de 23.2.2021, que dispôs sobre a obrigatoriedade de publicação, no site oficial da Prefeitura, da lista de vacinados contra a Covid-19, atualizada diariamente, com indicação do nome completo da pessoa vacinada, número de seu CPF (ocultando os seis primeiros dígitos com asterisco), data e local da vacinação, além da referência ao respectivo grupo prioritário. O Prefeito de Nova Odessa, contudo, ingressou com ação direta de inconstitucionalidade em face do artigo 2º, inciso I, da referida lei, que determinava a publicação do nome completo da pessoa vacinada, alegando, no que interessa ao presente trabalho, a violação da intimidade e da vida privada dos munícipes vacinados (art. 5º, X, CRFB/88).

Em julho de 2021, o Órgão Especial do Tribunal de Justiça do Estado de São Paulo julgou improcedente a ação direta de inconstitucionalidade. Aduziu que a Administração Pública tem o dever fundamental de adotar o quanto necessário para prevenir doenças, inexistindo, na espécie, violação à intimidade ou à vida privada dos cidadãos. Assim, deveria prevalecer o valor da transparência. Também se considerou que a ausência de divulgação da lista nominal comprometeria a decisão do Supremo Tribunal Federal acerca da constitucionalidade da vacinação compulsória, embora não forçada, para preservar a saúde da coletividade (ADIs nº 6.586 e 6.587).⁵

A partir desses exemplos, vê-se que o debate sobre a viabilidade da divulgação da lista de vacinados é não só atual, como também tem gerado posicionamentos divergentes na jurisprudência. Nesse contexto de incertezas jurídicas, a doutrina assume importante papel de contribuir com a construção da disciplina incidente, por meio do exame do arcabouço normativo imposto pelo ordenamento, dos valores em jogo e dos instrumentos para a ponderação de interesses conflitantes.

O presente trabalho se dividirá em duas partes. Nesta primeira, será analisada a situação de divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação. Na Parte II, serão examinadas duas outras hipóteses: (i) a divulgação, ao público, de dados anonimizados pertinentes ao processo de vacinação e (ii) o acesso a dados pessoais pertinentes ao processo de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública.

Como se sabe, a Constituição da República de 1988 contemplou, como direitos fundamentais, o direito de acesso à informação e o direito à proteção dos dados pessoais.⁶ Trouxe, ainda, como princípio, a transparência na atuação da Administração Pública.

Nas situações em que a informação detida por ente público a que se pretende ter acesso é um dado pessoal de terceiro, entram em rota de colisão, de um lado, o direito fundamental de acesso à informação e o princípio da transparência administrativa, e, de outro lado, o direito fundamental à proteção dos dados pessoais.  Em um dos pratos da balança, valores integrantes do núcleo axiológico do regime democrático; no outro prato da balança, interesses existenciais que são diretamente informados pelo princípio da dignidade da pessoa humana. Quid juris?

Nesses casos, haverá a incidência simultânea da disciplina da Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018 - LGPD) e da Lei de Acesso à Informação (lei 12.527/2011 - LAI). A interpretação deve ser sistemática, promovendo-se o diálogo entre as normativas, à luz dos princípios e valores constitucionais.

Pense-se no exemplo de divulgação de lista que contém o nome das pessoas vacinadas naquela localidade, acompanhado da doença que a inclui no denominado "grupo de risco" da Covid-19 e que justificou a sua vacinação prioritária, por meio de disponibilização no sítio eletrônico oficial do ente público. A lista de vacinados conterá, inevitavelmente, dados pessoais e dados pessoais sensíveis. 

A lei 13.709/2018 conceitua dado pessoal como aquele titularizado por pessoa natural identificada ou identificável, excluindo de sua proteção a informação relativa à pessoa jurídica (art. 5º, I e V, LGPD). Por outro lado, com relação ao dado pessoal sensível, a LGPD traz lista exemplificativa em seu artigo 5º, II: informação "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". A qualificação de determinado dado pessoal como sensível deve ocorrer concretamente, conforme a identificação da maior probabilidade de uso discriminatório por terceiros.

Na disciplina da LGPD, o tratamento de dados pessoais só pode ocorrer se estiver fundamentado em uma das bases legais previstas nos artigos 7º e 11.  O artigo 7º da LGPD contempla como bases legais, em linhas gerais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) execução de contrato ou de procedimentos preliminares relacionados a contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) tutela da saúde; (ix) legítimo interesse e (x) proteção do crédito.

De outro giro, o artigo 11 da LGPD fornece disciplina específica para os dados pessoais sensíveis, e prevê, resumidamente, as seguintes bases legais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo ou arbitral; (vi) proteção da vida ou da incolumidade física do titular ou de terceiro; (vii) tutela da saúde; (viii) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

A partir da análise das bases legais previstas na LGPD, vê-se que a divulgação pública de dados pessoais pertinentes ao processo de vacinação não pode ocorrer, senão mediante consentimento de cada titular. Se, de um lado, não se encontra base legal para fundamentar o tratamento desses dados pessoais sem consentimento (sensíveis ou não), de outro lado é certo que a exposição pública da lista de vacinados aniquila o direito à proteção dos dados pessoais.

A mesma conclusão decorre do exame da disciplina da Lei de Acesso à Informação. O artigo 3º estabelece as diretrizes de aplicação da lei: (i) observância da publicidade como regra e do sigilo como exceção; (ii) divulgação de informações de interesse público, sem que se faça necessária solicitação; (iii) emprego de meios de comunicação viabilizados pela tecnologia da informação; (iv) estímulo ao desenvolvimento da cultura de transparência na administração pública; (v) edificação do controle social da administração pública. De mais a mais, o artigo 8º prevê que os órgãos e as entidades públicas têm o dever de divulgar informações de interesse coletivo ou geral por eles produzidas ou custodiadas, no âmbito de suas competências. A publicação deve se dar em local de fácil acesso e prescindir de requerimento.

No entanto, a LAI contempla disciplina específica para as informações pessoais, que não pode ser desconsiderada pelo intérprete. A normativa traz limites ao direito fundamental de acesso à informação, concretizando o comando do artigo 5º, XXXIII, da CRFB/88, que prevê o direito do indivíduo a receber informações de interesse particular, ou de interesse coletivo ou geral detidas por órgãos públicos, mas ressalva aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado.

Nessa direção, o artigo 6º, III, da LAI determina a proteção tanto da informação sigilosa quanto da informação pessoal, observados os aspectos de disponibilidade, autenticidade, integridade e eventual restrição de acesso. Passo adiante, o artigo 31, caput, da LAI estabelece que o tratamento dos dados pessoais deve ser feito com transparência e respeito às liberdades e garantias individuais e aos direitos à intimidade, à privacidade, à honra e à imagem. As informações pessoais terão seu acesso restrito a agentes públicos legalmente autorizados e ao seu titular, pelo prazo máximo de cem anos a contar de sua produção, independentemente de classificação de sigilo (art. 31, § 1º, I, LAI). O acesso a dado pessoal por terceiro só será admitido diante de previsão legal ou consentimento expresso da pessoa a que a informação se refere (art. 31, § 1º, II, LAI).

O consentimento do titular, todavia, não será exigido quando os dados forem necessários: (i) à prevenção e diagnóstico médico, nas situações em que a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico; (ii) à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo proibida a identificação do titular das informações; (iii) ao cumprimento de ordem judicial; (iv) à defesa de direitos humanos; (v) à proteção do interesse público e geral preponderante; (vi) à apuração de irregularidades em que o titular dos dados estiver envolvido e (vii) em ações que visam à recuperação de fatos históricos de maior relevância (art. 31, § 3º, I a V, e § 4º, LAI). Ponha-se entre parêntese que, embora o artigo 10, § 3º, da LAI proíba a exigência relativa a motivos determinantes do pedido de acesso à informação, essa vedação não se aplica a informações pessoais, caso em que a solicitação precisará estar fundamentada em uma das hipóteses descritas que excepcionam a restrição de acesso.

Ocorre que, novamente, nenhuma das referidas exceções é capaz de fundamentar a divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação, a demandar a obtenção de consentimento de cada titular.  Há, portanto, na espécie, a incidência simultânea da Lei de Acesso à Informação e da Lei Geral de Proteção de Dados Pessoais. O diálogo entre as normativas aponta para solução única: a inviabilidade da divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação sem consentimento de cada titular. À luz do princípio da dignidade da pessoa humana, é individualizada solução coerente e harmônica, que assegura, a uma só vez, a unidade do sistema e a promoção da tábua axiológica constitucional.  

O direito à proteção dos dados pessoais é diretamente informado pelo princípio da dignidade da pessoa humana, fundamento do sistema jurídico (art. 1º, III, CRFB/88).⁷ Assim, a exposição pública da lista de vacinados, ao aniquilar o direito à proteção dos dados pessoais, viola, em última análise, o princípio da dignidade da pessoa humana, o que, evidentemente, não se pode admitir. 

Há, ademais, outros meios menos gravosos de se assegurar a transparência administrativa e o alcance da finalidade de controle e de fiscalização do processo de vacinação. É deste tema que se ocupará a Parte II deste trabalho - cenas do próximo capítulo. 

*Carlos Edison do Rêgo Monteiro Filho é professor Titular de Direito Civil da UERJ (graduação, mestrado e doutorado) e ex-coordenador do Programa de Pós-Graduação em Direito da UERJ. Doutor em Direito Civil e Mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Membro da Comissão de Direito Civil da OAB/RJ, do IBDCivil e da AHC-Brasil. Advogado, parecerista em temas de direito privado.

 

**Diana Loureiro Paiva de Castro é procuradora do Estado de São Paulo. Coordenadora do Núcleo de Propriedade Intelectual e Inovação da PGE-SP. Mestre em Direito Civil pela UERJ. Professora em cursos de pós-graduação da UERJ, da PUC-Rio e da ESNAP/USP. Associada Fundadora do IAPD. Membro do IBDCivil, do IBERC e da AHC-Brasil. Vice-Presidente da Região Sudeste na ANAPE. Foi Procuradora da FAPESP.

__________

1 Carlos Edison do Rêgo Monteiro Filho. Pandemia e responsabilidade: a pessoa no centro do tabuleiro. Revista IBERC, v. 3, n. 3, 2020. Disponível aqui.