Compreender o contedo e a dinmica de aplicao da Lei Geral de Proteo de Dados - LGPD (Lei n 13.709/2018) fundamental para se evitar prejuzos desnecessrios.

Em dezembro de 2020 a autora desta ao judicial descobriu que estava grvida e, em fevereiro de 2021, foi constatada a perda gestacional. Dias aps o aborto, ela recebeu uma mensagem por WhatsApp da empresa r, com oferta de servios de coleta e armazenamento do cordo umbilical.

Na apelao, alegou a empresa que utilizou apenas dados no sensveis – nome e telefone - da autora.

Inicialmente, sensveis ou no, os dados pessoais somente podem ser utilizados se a finalidade pretendida se assentar numa das hipteses para as quais a LGPD autoriza o uso dos dados (base legal). De outro lado, o estado gestacional da autora um dado pessoal sensvel (relativo sade) e foi utilizado na atividade empresarial, com o objetivo de angariar uma nova cliente. Para efeito da Lei, os dados de sade so compreendidos numa acepo muito ampla, incluindo todos os aspectos, quer fsicos, quer psquicos, da sade de uma pessoa.

Argumentou a empresa que obteve os dados para divulgao dos seus servios, o que seria lcito e regular e amparado pela base legal do “legtimo interesse” (art. 7, IX). Contudo, a LGPD no autoriza o tratamento de dados pessoais sensveis, como um dado relativo sade de uma pessoa, com base no legtimo interesse do agente de tratamento de dados.

Alm disso, seja qual for a natureza do dado pessoal, para que a ele se tenha o, preciso identificar uma base legal adequada, apontar uma finalidade legtima e especfica, a necessidade e a adequao daquele dado para a finalidade apontada. Tais exigncias devem ser cumpridas por parte de quem proporciona o o aos dados, mas tambm por parte de quem os a. O descumprimento por qualquer das partes, de algum dos requisitos legais exigidos, importa na responsabilidade de ambas, quer civil perante o titular dos dados, quer istrativa perante a Autoridade de Controle (ANPD).

Da no procederem os outros argumentos da empresa no recurso, de que a ao judicial deveria ser voltada contra o mdico da autora ou a empresa que compartilhou os dados; e de que, por no ser a Controladora dos dados, no se justifica a imposio da sentena, de que identifique as pessoas que os teriam recebido.

A empresa restou condenada a indenizar a autora em dez mil reais, e a informar, em cinco dias, quem divulgou os dados pessoais, quais dados da autora ela possui, para quem foram reados e a providenciar a sua eliminao.

Determina a LGPD que os agentes de tratamento de dados assegurem a proteo dos dados pessoais contra os no autorizados ou usos ilcitos. Esta perspectiva dirige-se, num primeiro momento, a quem compartilhou ou possibilitou o o aos dados. Mas do lado de quem os ou (a empresa r) houve tambm flagrante desrespeito Lei, conforme j evidenciado acima. Alm disso, dispe a LGPD que todos aqueles que intervenham em uma das fases do tratamento obrigam-se a garantir a segurana da informao.

Uma vez na posse dos dados (mediante o ilegal), a empresa no est dispensada de adotar medidas protetivas e cumprir a LGPD, sob pena de se somarem outras aes violadoras da Lei, agravando a sua responsabilidade. Neste sentido a condenao a que informe ao Juzo, em cinco dias, quem lhe deu o aos dados, quais dados da autora ela possui e para quem foram por ela reados, alm de providenciar a sua eliminao.

Importa ressaltar que no h a “sada” de dizer que j eliminou os dados, ou que no tem registro dos fatos e no consegue demonstr-los. Tais argumentos consistem em violaes ainda mais graves, uma vez que a LGPD institui expressamente que quem utiliza dados pessoais, para qualquer fim, no apenas deve implementar as medidas de proteo, mas deve ser capaz de demonstrar o cumprimento das exigncias legais – trata-se do princpio da responsabilizao e prestao de contas (ability).