Informação sobre gravidez é dado sensível, segundo o TJSP.
Em caso relevante, a 1ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo reconheceu, com base na Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18), que qualquer dado relativo à gravidez constitui dado pessoal sensível, condenando a empresa ré em danos morais. O julgamento ocorreu em maio deste ano.
De acordo com o acórdão publicado, a titular soube estar grávida em dezembro de 2020 através de exames laboratoriais mas sofreu aborto em fevereiro. Porém, dias depois da perda, recebeu por meio de whatsapp a oferta de serviços de coleta e armazenamento de cordão umbilical de uma empresa a qual jamais teve qualquer vínculo.
O interessante é que a decisão reconheceu que qualquer informação sobre gravidez constitui dado sensível por estar relacionado à saúde do titular. Nesse caso, dados sobre confirmação ou negativa de gestação, período, intercorrências gestacionais e até o aborto podem ser considerados dados pessoais sensíveis, recebendo proteção especial pela lei.
O compartilhamento de dados pessoais sensíveis ou deve acontecer mediante prévio consentimento do titular ou, para ser realizado sem consentimento, deve observar as restritas situações que a lei autoriza. No caso julgado, a empresa atuou como agente de tratamento mas não esclareceu ao juízo a origem dos dados, desrespeitando o art. 18, parágrafo 3º da LGPD.
O que são dados pessoais sensíveis?
Os dados sensíveis estão previstos na LGPD e são aqueles relativos a "origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural".
De acordo com o art. 11 do mesmo diploma, os dados pessoais sensíveis podem ser tratados em situações específicas e, em caso de consentimento, este deve ser dado de forma específica e destacada e para finalidades determinadas. Surge, então, uma obrigação aos agentes de tratamento para criarem mecanismos que possibilitem o fornecimento de consentimento segundo o que a lei determina.
Pela prova dos autos, segundo o acórdão, não houve consentimento da titular que moveu a ação. Por outro turno, não houve prova que o tratamento de dados realizado pela empresa ré incidiu nas situações previstas no art. 11, inciso II da lei.
Quem são os agentes de tratamento?
Outra importante questão do acórdão diz respeito aos agentes de tratamento os quais, por lei, são o controlador e o operador. De acordo com o art. 5º, controlador é aquela "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais" e operador, é "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador".
Há uma relação de subordinação que pode ser determinada por norma ou contrato, a depender da natureza jurídica dos agentes. Por conta do poder de gerência sobre o tratamento, a responsabilidade desses agentes é marcada por diferenças.
Quais direitos do titular de dados pessoais foram violados?
Os direitos dos titulares estão previstos ao longo da LGPD mas existe, contudo, capítulo específico na lei (artigos 17 a 22). Todo titular tem direito a obter do controlador, a qualquer momento, informação sobre a existência de tratamento de dados, acesso, eliminação e com quem esses dados foram compartilhados (art. 18).
Embora a lei coloque como uma obrigação afeta ao controlador, no caso dos autos não era possível saber ao certo qual posição a empresa ré ocupava. Se, por um lado, comprovou atuar como operadora via de regra, por outro, ao abordar a titular e não esclarecer ao juízo como os dados foram obtidos, evidenciou sua postura como sujeito que tomou decisões a respeito do tratamento de dados pessoais.
O processo tramitou no TJSP sob o número 1041607-35.2021.8.26.0100.