O caso Klara Castanho e a LGPD

Na última semana, diversos jornais noticiaram a carta pública escrita pela atriz Klara Castanho, na qual relata ter sofrido abuso sexual, que acarretou uma gestação e parto de uma criança entregue para adoção. A atriz, ainda, afirma em seu comunicado que só trouxe tais informações dolorosas a público por ter sido chantageada e pressionada por jornalistas que tiveram acesso a tais informações através de profissionais de saúde que participaram de sua hospitalização.

O presente artigo tem por objetivo analisar o caso à luz da LGPD (lei 13.709/18), mas não sem antes consignar todo o repúdio desta autora à violência sofrida pela jovem atriz e por diversas outras mulheres diariamente agredidas física, moral e sexualmente em nosso país e no mundo.

Quanto ao vazamento dos dados, é certo que, atendendo ao comando constitucional, que eleva a intimidade, vida privada, honra e imagem das pessoas à categoria de direitos fundamentais, a LGPD fundamenta a disciplina da proteção de dados no respeito à privacidade e inviolabilidade da intimidade, honra e imagem (art. 2º, incisos I e IV).

De acordo com a doutrinadora Nathalia Masson, a privacidade pode ser conceituada como:

A plena autonomia do indivíduo em reger sua vida do modo que entender mais correto, mantendo em seu exclusivo controle as informações atinentes à sua vida doméstica (familiar e afetiva), aos seus hábitos, escolhas, segredos etc., sem se submeter ao crivo (e à curiosidade) da opinião alheia (2016, p. 233).

Já o direito à intimidade é visto como mais restrito, compreendendo "as relações e opões mais íntimas e pessoais do indivíduo, compondo uma gama de escolhas que se pode manter ocultas de todas as outras pessoas, até das mais próximas" (2016, p. 234).

A LGPD distingue as informações passíveis de tratamento nas categorias dados pessoais e dados pessoais sensíveis, em seu art. 5º, incisos I e II, nos seguintes termos:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Na manipulação de dados pessoais genéricos e sensíveis, a LGPD estabelece em seu art. 17 que "Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta lei".

Além das disposições da LGPD, no caso de entrega de criança para adoção, o ECA - Estatuto da Criança e do Adolescente (lei 8.069/90) também garante, no art. 19-A, §§5º e 9º, o sigilo sobre o nascimento e adoção.

No caso analisado, o que foi noticiado pela imprensa é que os dados teriam sido vazados para jornalistas pela equipe médica envolvida na internação e parto da atriz. Exsurge, então, o questionamento acerca da responsabilização do hospital, operador dos dados pessoais da vítima do vazamento, e, também, dos trabalhadores envolvidos no escândalo.

O hospital, na qualidade de operador de dados, possui a responsabilidade de respeitar a privacidade e intimidade dos seus clientes, podendo ser responsabilizado por violações destas esferas de direitos da personalidade de seus clientes.

Nestes termos, o art. 42 da LGPD estabelece que:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

A disposição está em consonância com o art. 186 do CC/02 que disciplina os termos da responsabilidade civil, segundo o qual "Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito".

No caso, nem se pode falar na exclusão da responsabilidade por ato de terceiro, prevista na norma civil e, também, no art. 43, inciso III, da LGPD, porquanto a instituição é responsável de forma objetiva por atos de seus prepostos, na forma do art. 932, inciso III, do CC/02.

Destarte, caso seja comprovado que o vazamento das informações sensíveis e sigilosas ocorreu em razão de conduta de empregados do hospital, pode ocorrer a responsabilização da instituição médica pelos danos decorrentes de tal situação.

Evidentemente, podem existir contornos excludentes da responsabilidade do hospital a serem aferidos no caso concreto e de forma judicial, mas que não vieram de qualquer forma a público para serem analisados. Por isso, o presente artigo apenas discorre sobre hipóteses com os dados públicos referentes ao caso.

Neste contexto, se o nosocômio comprovar que efetivamente treinou os seus colaboradores acerca do sigilo e tratamento de dados e que tomou medidas disciplinares em relação à conduta dos empregados assim que soube das informações, por exemplo, é possível a redução ou exclusão de responsabilidade.

Além disso, evidente que a instituição pode demandar em regresso os colaboradores responsáveis pela violação do direito à intimidade para arcarem com eventuais custos indenizatórios e, até mesmo, em ação própria, pela lesão à imagem da empresa.

Importante consignar que, em contratos de trabalho que envolvem serviços de saúde, é muito importante estipular cláusula de sigilo na formalização do pacto. Isso porque tal cláusula facilita medidas disciplinares e demandas regressivas por violação de segredos do local de trabalho.

Da mesma forma, a existência de um código interno de conduta na empresa efetivamente comunicado aos empregados serve para mitigar a responsabilização da instituição.

Ademais, não se pode olvidar que a empresa pode sofrer sanções administrativas previstas na LGPD pelo vazamento e utilização indevida de dados pessoais sob sua responsabilidade.

E, não menos importante, evidentemente, comprovado o vazamento dos dados por empregados, estes podem ser punidos com a demissão por justa causa prevista no art. 482, alínea a (ato de improbidade), b (mau procedimento) ou g (violação de segredo da empresa), da CLT.

O enquadramento como ato de improbidade ocorrerá se o trabalhador utilizar os dados pessoais protegidos pela LGPD de forma desonesta, fraudulenta, com má-fé e para benefício próprio ou de outrem. É o caso da venda de informações, por exemplo.

A 4ª turma do TST já decidiu, inclusive, pela manutenção de justa causa de bancária que enviou dados de cliente para seu e-mail pessoal por improbidade (número do processo mantido sob sigilo).

Já o mau procedimento ficará caracterizado pela atuação irregular do empregado, ferindo a moral ou ofendendo a dignidade e respeito do local de trabalho. Como exemplo para a tal enquadramento, pode ser citada a ameaça de divulgação de informações sensíveis feita ao cliente ou o vazamento de dados apenas para causar lesão a outrem ou à empresa.

E, por fim, o vazamento dos dados poderá ser enquadrado como violação de segredo da empresa se houver cláusula contratual ou em regulamento interno que tenha a previsão de resguardo de todas as informações obtidas durante a jornada de trabalho.

Sendo assim, conclui-se que, no caso do vazamento de dados pessoais e sensíveis da atriz, tanto a empresa quanto os empregados envolvidos, se comprovadas as condutas narradas pela imprensa e a sua responsabilidade, poderão sofrer consequências em diversas esferas pelos danos ocasionados à titular dos dados.

Certo, então, que o tratamento de dados à luz da LGPD é tema de grande relevância que merece toda a atenção de profissionais de saúde, hospitais, clínicas de serviços médicos, pois podem resultar em situações de elevada gravidade, com lesão a direitos fundamentais de terceiros.

Por isso, a grande importância de atuação preventiva dos operadores de dados, adequando-se aos ditames da LGPD em todas as suas operações. 

_____

BRASIL. Código Civil. Disponível em: Acesso em: 28/06/2022.

_______. Consolidação das Leis Trabalhistas. Disponível em: Acesso em: 23/11/2020.

_______. Constituição Federal. Disponível em: Acesso em: 23/11/2020.

_______. Lei nº 8069/90. Disponível em: Acesso em: 28/06/2022.

_______. Lei nº 13709/18. Disponível em: Acesso em: 28/06/2022.

_______. Tribunal Superior do Trabalho. Mantida justa causa para bancária que enviou dados sigilosos de clientes para seu e-mail. Disponível em: < https://www.tst.jus.br/web/guest/-/confirmada-justa-causa-para-banc%C3%A1ria-que-enviou-dados-sigilosos-de-clientes-para-seu-e-mail> Acesso em: 28/06/2022.

MASSON, Nathalia. Manual de Direito Constitucional. Salvador: JusPodivm, 2016.

NASCIMENTO, Amauri Mascaro. Curso de direito do trabalho: história e teoria geral do direito do trabalho: relações individuais e coletivas do trabalho. São Paulo: Saraiva, 2011.