Com o advento da lei 14.289/22 foram criados os dados super sensíveis?

A lei 14.289/22 foi publicada em 4 de janeiro de 2022 no Diário Oficial da União a lei 14.289/22, conferindo obrigatoriedade da preservação do sigilo sobre a condição de pessoa infectada pelo vírus da imunodeficiência humana (HIV), comumente chamado de vírus da AIDS, hepatites crônicas (HBV e HCV) e de pessoas portadora de hanseníase ou com diagnóstico de tuberculose.

A referida norma proíbe a divulgação, por agentes públicos ou privados, de informações que permitam a identificação dessas pessoas nos âmbitos de: serviços de saúde, estabelecimentos de ensino, locais de trabalho, administração pública, segurança pública, processos judiciais, mídia escrita e/ou audiovisual.

I - DAS DISPOSIÇÕES LEGAIS DA LEI 14.289/22

A lei 14.289/22 determina que é obrigatório preservar o sigilo sobre a condição de pessoa portadora de infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e de pessoa com diagnóstico de hanseníase e/ou tuberculose.

Importante destacar, que a norma não veda apenas a divulgação que a pessoa é acometida com alguma destas doenças, mas também veda, expressamente, que agentes públicos ou privados divulguem qualquer informação que permita a identificação de tais indivíduos, no âmbito dos serviços de saúde, estabelecimentos de ensino, locais de trabalho, administração pública, segurança pública, processos judiciais, mídia escrita e audiovisual.

Ademais, o indigitado ato normativo determina que o sigilo profissional só poderá ser quebrado em casos específicos determinados por regramento legal de mesmo grau hierárquico, por justa causa ou com autorização expressa da pessoa acometida ou, quando se tratar de criança, de seu responsável legal, mediante assinatura de termo de consentimento informado, observado o disposto no art. 11 da lei geral de proteção de dados pessoais - LGPD, esta que regula o tratamento de dados pessoais sensíveis.

A lei 14.289/22 impõe que todos os serviços de saúde, tanto públicos quanto privados, assim como os planos e convênios de saúde, estejam obrigados a proteger tais informações, bem como a garantir o sigilo das informações que eventualmente permitam a identificação dessa condição.

Sendo assim, principalmente os serviços de saúde devem criar medidas técnicas e administrativas para garantir maior segurança para o tratamento destes dados, bem como a garantir o sigilo das informações que eventualmente permitam a identificação dessa condição, ou seja, criar mecanismos adicionais de segurança.

Destaca-se que, por imposição legal, torna-se obrigatória a preservação do sigilo sobre a condição da pessoa que vive com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e daquele que seja portador da hanseníase ou tuberculose usuários dos serviços de saúde, observância obrigatória por todos os profissionais de saúde e de seus trabalhadores auxiliares.

Ademais, esta nova lei impõe que o atendimento nos serviços de saúde, tanto públicos, quanto privados, deverão ser organizados de forma a não permitir a identificação, pelo público em geral, da condição da pessoa sob diagnóstico de infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV), portadora de hanseníase ou tuberculose.

Sobre a notificação compulsória, o artigo 4º do apontado texto legal em análise alterou o caput do artigo 10, da lei 6.259/1975, passando a vigorar com a exigência de sigilo não apenas  pelas autoridades sanitárias que tenham recebido a notificação, mas também por todos os trabalhadores ou servidores que lidam com dados desta notificação.

Atrelado a isso, a lei 14.289/22 ainda regula quando houver o tratamento destes dados de saúde em inquéritos ou nos processos judiciais, determinando que devem ser providos os meios necessários para garantir o sigilo da informação sobre essa condição de saúde.

Nos casos de investigação ou processos judiciais que envolva um indivíduo que vive com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV),  portador de hanseníase ou tuberculose, qualquer divulgação a respeito do fato não poderá fornecer informações que permitam a identificação da pessoa nesta condição. Contudo, em processos judiciais que não seja possível manter o sigilo sobre essa condição, o acesso às sessões somente será permitido às partes diretamente interessadas e aos respectivos advogados.

II - DAS SANÇÕES PREVISTAS NA LEI

Nestas situações, caso haja a divulgação das pessoas nestas condições, o agente infrator, público ou privado, estará sujeito às sanções previstas na LGPD (art. 52 da lei 13.709/2018), bem como às demais sanções administrativas cabíveis, além de obrigá-lo a indenizar a vítima por danos materiais e morais, nos termos do art. 927 do Código Civil.

Importante frisar que o artigo 52 da lei 13.709/2018 estabelece que:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

VII - (VETADO);

VIII - (VETADO);

IX - (VETADO).

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Entretanto, caso o descumprimento seja oriundo de agentes que, por força de sua profissão ou do cargo que ocupam, estejam obrigados à preservação do sigilo, e essa divulgação ficar caracterizada como intencional e com o intuito de causar dano ou ofensa, aplicar-se-ão em dobro as penas pecuniárias ou de suspensão de atividades previstas na LGPD e as indenizações pelos danos morais causados à vítima.

III - DA RELAÇÃO COM A LGPD

A lei geral de proteção de dados estabelece regras e diretrizes sobre o tratamento de dados pessoais, realizados por pessoa natural ou por pessoa jurídica de direito público ou privado, o objetivo desta lei é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A LGPD regula e delimita como os dados pessoais deverão ser tratados, impondo aos agentes de tratamento a observância dos princípios da lei, elencados no seu artigo 6º.

Desta forma, para o tratamento de dados pessoais, deverão ser atendidos os seguintes requisitos: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência; segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Assim, para toda operação realizada com dados pessoais, deverá ser analisada a finalidade dos dados, se sua coleta é necessária, se os titulares estão cientes da finalidade e se a destinação respeita a finalidade informada.

Para tanto, atendendo ao requisito conformidade, necessário adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais, evitar a todo custo a reutilização de documentos que possam expor indevidamente tais informações ainda que acidentalmente, já que tal conduta afastaria esse caráter de acidente cedendo lugar para alguma das condutas sancionadas pelo regramento jurídico em comento, e não realizar o tratamento para fins discriminatórios ilícitos ou abusivos;

Dentro do escopo de proteção da LGPD, foi criado duas categorias de dados, os dados pessoais e os dados sensíveis. Sendo dado pessoal qualquer informação relacionada à pessoa natural identificada ou identificável e dado sensível, informações relacionadas à pessoa natural, que seu tratamento ou vazamento possa gerar maiores prejuízos à privacidade do indivíduo ou ser utilizado com finalidade discriminatória (dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural).

Nos casos de tratamento de dados sensíveis, a LGPD traz critérios diferentes e mais rígidos, como por exemplo a vedação para tratamento de dados com a finalidade de legítimo interesse e a vedação do uso compartilhado de dados sensíveis para obter vantagem econômica.

Neste sentido, Ruaro e Sarlet (2020) esclarecem que com o advento da LGPD e a regulação do direito à proteção de dados pessoais estão garantidas a integralidade e a intimidade dos sujeitos em geral, principalmente com a crescente e atual necessidade de tratamento de dados sensíveis e grande possibilidade de danos advindos da sua manipulação. Desta forma, a proteção dos dados sensíveis está diretamente relacionada à autodeterminação informativa, do livre desenvolvimento da personalidade e respeito à privacidade.

CONCLUSÃO

Diante de tais disposições, atribuindo maior grau de responsabilização dos agentes de tratamento destes dados, o legislador conferiu um novo patamar de proteção a dados que já estavam assegurados como dados sensíveis pela LGPD, criando assim, uma nova categoria de dados, os dados super sensíveis, que ao serem tratados deverão ter um nível de segurança e sigilo muito maior, dado os valores que esses dados carregam e sua violação fatalmente resultaria em violação de garantias constitucionais como o direito à intimidade e à dignidade da pessoa humana.

Por consequência, os agentes públicos ou privados que precisarem realizar o manuseio destas informações devem criar mecanismos de segurança e limitar o manuseio destes dados, garantindo que seu acesso seja o mínimo necessário para a realização do tratamento ao propósito legítimo e informado ao titular, devendo portanto, redobrar os cuidados com estas informações a fim de evitar qualquer vazamento de informações que possam identificar a pessoa portadora de infecção pelos vírus da imunodeficiência humana (HIV), das hepatites crônicas (HBV e HCV) ou que seja portadora hanseníase e com diagnóstico de tuberculose.

_____________

BRASIL. Lei 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF. Disponível em:  >. Acesso em: 06 de jan. de 2022.

BRASIL. Lei 14.289, de 3 de janeiro de 2022. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF. Disponível em:  >. Acesso em: 06 de jan. de 2022.

BIONI, Bruno; et al (Coords.). Tratado de Proteção de Dados Pessoais. Grupo GEN, 2020. 9788530992200. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530992200/. Acesso em: 06 jan. 2022.