Sandra Franco*
Após a Segunda Guerra Mundial, quando se assistiu a dezenas de situações de desrespeito à privacidade, à honra e a imagem das pessoas, em especial na Europa, foi promulgada a Declaração Universal dos Direitos Humanos, (1948) sendo que um dos seus dispositivos (Artigo 12) apresentou como Direito Universal de todo ser humano que ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação. Nesse sentido, tem ocorrido há 74 anos, uma batalha constante para a criação de normas, em muitos países do mundo, com objetivo de se proteger as informações do ser humano que possam vir a ferir esses direitos universais, positivados como direitos fundamentais, em leis diversas.
A proteção de dados no Brasil é objeto de proteção legal desde artigos específicos da Constituição Federal, tornando-se inclusive um direito fundamental, até a Lei Geral de Proteção de Dados Pessoais (LGPD), que influenciada pelo modelo do Regulamento Geral de Proteção de Dados europeu (RGPD), trouxe um olhar mais atento para as questões que envolvem a privacidade e o sigilo de informações. Uma lei de cunho ético, positiva no sentido de que permite o tratamento de dados pessoais e dados pessoais sensíveis, desde que observada a proteção desses dados e a autodeterminação informativa.
Recentemente, o vazamento de dados de uma paciente, Klara Castanho, chamou atenção pela gravidade das alegações feitas por ela. Em carta aberta, a atriz relatou que foi vítima de violência sexual, engravidou em consequência do estupro e que, mesmo tendo direito ao aborto legal, decidiu levar a gravidez até o fim para entregar a criança à adoção. Os fatos por si já geram desconforto, por óbvio, e não se irá comentar aqui todas as questões legais neles envolvidas, mas tão somente o que concerne ao vazamento de informações. Nesse sentido, ela também revelou também que, logo após o parto, foi abordada por uma enfermeira que teria especulado em voz alta sobre uma possível publicação das informações na mídia.
Em um momento em que se encontrava vulnerável, após estupro, gestação, parto e doação da criança, resolveu fazer o "relato mais difícil" de sua vida (e certamente o seria na vida da maioria das mulheres), porque havia pessoas comentando o seu caso publicamente e a atacando nas redes sociais – ainda que sem utilizar seu nome, mas com informações e detalhes do caso que tornariam possível sua identificação.
Sem dúvida, portanto, caracterizou-se ter havido um desconcertante caso de vazamento de dados na área de saúde, que fere não só a questão do sigilo profissional da área de saúde, mas também caracteriza um ato ilícito por parte do hospital quanto à LGPD.
Os fatos relatados pela atriz, se confirmados, demonstram a violação de artigos da Constituição Federal, do Código Civil, Código Penal, Código de Ética, do Código de Defesa do Consumidor, além de resoluções dos conselhos profissionais. Importante destacar também que os registros médicos e dados sobre saúde em geral são considerados dados pessoais sensíveis pela LGPD. O vazamento de informações do prontuário médico expõe falhas graves do hospital e de profissionais que têm a obrigação legal de proteger o sigilo da paciente.
Fato é que o vazamento dessas informações, envolvendo uma pessoa famosa ou não, pode gerar consequências em diversas esferas para todos os envolvidos. Seja um médico, enfermeiro, fisioterapeuta, nutricionista, auxiliar de enfermagem, todos têm acesso a dados pessoais sensíveis que traduzem segredos, hábitos, fatos ligados a vida vítima do paciente. Exatamente por ser necessário garantir ao titular das informações que seus segredos serão guardados e respeitados é que o ordenamento jurídico apresenta a proteção desses dados como objeto em vários institutos normativos.
Por que casos de vazamento de dados na área de saúde trazem tanta comoção da sociedade? Porque todos podem passar por uma organização de saúde e se perguntam o que poderia ocorrer se tivessem suas informações reveladas? Quantos querem expor publicamente uma DST (doença sexualmente transmissível), doenças autoimunes, lesões advindas de violência doméstica, doenças mentais ou até cirurgias estéticas em público?
Vale frisar que os códigos de ética dos profissionais de saúde deixam expresso que o profissional deve manter sigilo sobre fatos de que tenha conhecimento em razão da atividade profissional, exceto nos casos previstos na legislação ou por determinação judicial, ou com o consentimento escrito da pessoa envolvida ou de seu representante ou responsável legal. Permanece o dever mesmo quando o fato seja de conhecimento público e em caso de falecimento da pessoa envolvida.
Um caso de vazamento de dados de saúde por profissional da saúde (ou outros dentro da organização) também pode repercutir em indenização ao lesado na esfera cível, pois ao ferir a imagem de uma pessoa, sua honra e dignidade, desrespeitam-se questões relacionadas aos direitos de personalidade, e à vida privada, gerando o direito a uma indenização por dano moral.
Vale destacar que punições administrativas podem advir pela Autoridade Nacional de Proteção de Dados (ANPD), uma vez que o hospital assume a figura do controlador de dados, agente de tratamento com responsabilidade expressa no art. 42 da LGPD.
Informações sobre saúde são considerados dados pessoais sensíveis, portanto têm direito a uma proteção diferenciada pela LGPD. Caso a autoridade de proteção de dados conclua, após processo administrativo, que a instituição responsável por um vazamento cometeu uma infração da LGPD, a instituição pode ter que pagar uma multa que vai até R$ 50 milhões.
Assim como Klara Castanho, que teve sua exposta por uma funcionária de um hospital (não se sabe se apenas por uma pessoa), a influenciadora Gabi Brandt revelou que também já sofreu com o vazamento de dados de uma instituição de saúde. Ela relatou que passou pela situação duas vezes, a primeira em 2020 quando se internou para fazer uma biópsia e em 2021, quando precisou ser internada por causa de uma infecção nos rins.
Outro caso de repercussão nacional foi o vazamento da imagem de uma receita médica prescrevendo difosfato de cloroquina atribuída ao médico David Uip, chefe do centro de contingência do Estado de São Paulo para monitorar e coordenar ações contra propagação do novo coronavírus em São Paulo, durante a pandemia. O médico teve que vir a público para esclarecer que a receita era da sua clínica e que não havia tomado a medicação, que foi um ponto de discussão sobre os seus efeitos no combate a Covid-19, defendida principalmente pelo presidente da República, Jair Bolsonaro. Nesse caso, o vazamento ilegal expos um médico ao julgamento da opinião pública sobre o tratamento correto ou não de uma doença.
O presidente da República, Jair Bolsonaro, também foi vítima de vazamento de dados sigilosos sobre seu estado de saúde. Um grupo de hackers afirma ter acessado o banco de dados do Hospital das Forças Armadas, no qual o presidente Jair Bolsonaro teria feito seus exames de coronavírus. No vazamento de dados, divulgados em 2020, consta o registro de quatro exames realizados pelo presidente entre junho de 2019 e janeiro de 2020. Os responsáveis pelo ataque ao banco de dados alegam que fizeram isso em protesto à forma como o governo brasileiro estava lidando com o coronavírus.
Na galeria de vazamento de informações de saúde de personalidade famosas, um caso icônico foi a da ex-primeira dama, Marisa Letícia, a qual, após ser internada no Hospital Sírio Libanês, teve informações de saúde reveladas em um grupo de médicos no WhatsApp, de forma identificada, o que culminou em vários compartilhamentos até chagar à imprensa.
Por fim, vale lembrar que o vazamento de fotos da atriz Carolina Dieckmann trouxe até a alteração do Código Penal, através da Lei n. 12.737, de 30 de novembro de 2012, haja vista que imagens de sua intimidade foram acessadas ilicitamente através da invasão de seu computador.
O que se pode aprender em todos esses casos? Será que as leis existentes e normas éticas não são suficientes para coibir novas situações semelhantes? Não se faz necessário criar mais leis, mas sim aplicar os dispositivos já existentes. A LGPD, se implementada de forma adequada, poderá colaborar para mudanças culturais dentro das organizações de saúde. Até mesmo um hacker, muitas vezes, consegue invadir um dispositivo por falta de certos cuidados por parte de alguém que abre um arquivo ou um link recebido em e-mail.
Um dos pilares da LGPD está exatamente no treinamento dos funcionários, colaboradores para que se observem as bases legais para o tratamento de dados, adequação à finalidade, necessidade de compartilhamento e as consequências de eventual compartilhamento indevido. Se a organização comprova ter oferecido treinamento a seus funcionários, por exemplo, poderá inclusive demiti-los em razão de eventual descumprimento legal, bem como, se for condenada a indenizar ou pagar multa pelo evento, propor ação regressiva em face dos responsáveis. As organizações de saúde no Brasil estão preparadas para proteger os dados de seus pacientes?
*Sandra Franco é consultora jurídica especializada em Direito Médico e da Saúde, doutoranda em Saúde Pública, MBA-FGV em Gestão de Serviços em Saúde, diretora jurídica da Abcis, consultora jurídica da ABORLCCF, especialista em Telemedicina e Proteção de Dados, fundadora e ex-presidente da Comissão de Direito Médico e da Saúde da OAB de São José dos Campos (SP) entre 2013 e 2018