No mês passado (Julho), o Tribunal de Justiça do Estado de São Paulo proferiu importante decisão no âmbito da Lei Geral de Proteção de Dados Pessoais[1], confirmando a condenação de primeira instância de uma Clínica Médica em razão do tratamento inadequado dos dados pessoais de uma grávida, resultando em importante precedente no tema de dados pessoais.
A referida condenação, ao mesmo tempo que foi assertiva em responsabilizar o agente de tratamento por uma conduta inadequada e ao arrepio do que dispõe a LGPD, por outro lado, também nos faz um alerta preocupante sobre a forma como muitas empresas ainda vem atuando no tratamento de dados pessoais.
Pensando nisso, trago algumas considerações e lições importantes que podem ser extraídas deste caso concreto.
Apenas para contextualizar, trago uma rápida síntese do que fora abordado na referida ação judicial.
A ação foi proposta por uma mulher que havia se submetido a um tratamento de gravidez, tendo, naturalmente, compartilhado tais informações com empresas especializadas no assunto. Ocorre que, lamentavelmente a mulher veio a ter a gravidez interrompida por questões adversas à sua vontade, sendo que, ainda em seu processo de luto foi abortada pelo aplicativo de mensageira do WhatsApp por uma Clínica oferecendo-lhe os serviços de coleta, transporte, processamento e armazenamento de células tronco do sangue do cordão umbilical de bebês. Segundo informou, em momento algum havia compartilhado os seus dados pessoais com a referida clínica, muito menos havia consentindo com o tratamento dos seus dados.
Em sede de defesa, a Clínica se limitou em alegar que não seria parte legítima para figurar na ação, vez que teria obtido os dados pessoais da Autora por meio de algum de seus parceiros comerciais (clínicas e médicos). No mérito, aduziu que não teria incorrido em qualquer violação da LGPD, vez que teria tratado apenas dados “não sensíveis” como nome e telefone da Autora, os quais inclusive seriam não sigilosos. Fundamentou ainda que o tratamento dos dados estaria amparado no inciso IX, do art. 7º. Pugnando, por fim, a ausência do dever de indenizar os danos morais perseguidos pela Autora.
Finda a fase instrutória, a ação veio a ser julgada procedente em primeira instância, vez que o MM. Juiz entendeu que a conduta da Clínica violou a esfera da vida privada da Autora e ao que dispõe a Lei Geral de Proteção de Dados Pessoais, não somente isto, asseverou ainda que os dados relativos a gravidez da Autora são considerados dados sensíveis, nos termos do que dispõe a LGPD. Houve recurso, mas o Tribunal manteve a decisão de primeira instância.
Mas, o que podemos aprender com o este caso?
Em primeiro lugar, em que pese as alegações da Clínica, a sua posição como agente de tratamento é de Controladora ou no mínimo de Co-Controladora de dados, mas jamais de operadora. Isto porque, para que pudesse ser considerada meramente como operadora de dados, teria de ter comprovado que os dados pessoais da Titular estavam sendo tratados a mando de um controlador, para uma finalidade específica. No passo em que a Clínica abordou a Titular para oferecer os seus serviços, assumiu a posição de controladora daqueles dados, no que dispõe o art. 5º, VI da LGPD.
Ainda que se considerasse a Clínica como uma operadora, cabia a mesma indicar quem seria o controlador, ou seja, quem teria sido o parceiro comercial que veio a compartilhar os dados da Titular, o que nada houve neste sentido (art. 18, § 4º, I).
Em segundo lugar, para além dos dados pessoais como nome e telefone, a Clínica também tratou dados relativos a saúde da Titular (gravidez), que segundo nos informa a LGPD são considerados dados sensíveis (art. 5, II). Inclusive, este foi o entendimento do E. Tribunal de Justiça do Estado de São Paulo.
Por fim, em terceiro lugar, ainda que a Clínica tenha fundamentado o tratamento dos dados pessoais da Titular com base na hipótese do legítimo interesse, prevista no art. 7º, IX, deveria, também, ter minimamente apresentado o LIA – Legitimate Interests Assessment (art. 10), que guardada as controvérsias doutrinárias, seria obrigação acessória do Controlador ao optar por utilizar tal base legal, obrigação que busca coibir o abuso na utilização desta base legal, que dada a sua generalidade, pode vir a ser utilizada em qualquer situação ou ainda a elaboração de um DPIA (Relatório de Impacto) demonstrando o cuidado e medidas adotadas para assegurar a proteção dos dados sensíveis tratados pela empresa. Entretanto, a Clínica nada produziu de prova neste sentido.
Diante disto, qual a conclusão que podemos chegar?
Considero que a Clínica não tinha muito clara a sua real posição como agente de tratamento de dados pessoais, vez que alegou ser mera operadora de dados, quando na verdade ocupava a posição de controladora. Inclusive, neste sentido, a própria ANPD já editou um Guia orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado[2].
A Clínica também, poderia e deveria ter indicado expressamente por meio de qual parceiro obteve os dados pessoais da Titular.
Ademais, ao ter indicado que a base legal utilizada para tal tratamento seria o legítimo interesse (art. 7, IX), poderia, ao menos como boa-fé e prestação de contas, ter apresentando o LIA.
Em razão dessas inobservâncias, outro não poderia ser o desfecho senão a condenação da Clínica ao pagamento de indenização pelos danos morais causados à Titular, que sem sombra de dúvidas teve a sua esfera privada violada em razão da inobservância dos preceitos e fundamentos da LGPD.
Em meu último artigo escrevi sobre o tratamento de dados pessoais sensíveis, busquei demonstrar que não há qualquer impedimento para a sua utilização, desde que fosse observado as obrigações e condições impostos pela LGPD, o que certamente não ocorreu no caso em questão.
Concluo que ainda há um longo caminho pela frente a ser perseguido no que tange a adequação das empresas à LGPD e promoção de uma cultura forte de proteção de dados pessoais, que muito dependerá da atuação da própria ANPD, do Poder Judiciário e da Sociedade Civil.
[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
[2] https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf