Desde o início da pandemia da Covid-19, incalculável sofrimento vem sendo imposto à humanidade. Depois do fim do mais insólito ano há muito não vivido, 2021 começou com um sopro de esperança.1 Em 17 de janeiro, foi aplicada a primeira vacina contra a doença no país.2 Daí se seguiram milhões de doses aplicadas, de acordo com a ordem de prioridade estabelecida.
Os impactos do início da vacinação reverberaram no campo jurídico. A intervenção do Estado-administrador para protagonizar o combate à Covid-19 por meio do processo de vacinação gerou a correspondente necessidade de controle e de fiscalização da atuação estatal, de modo a se coibir irregularidades, como no caso de desobediência à ordem de prioridades ("fura-fila"). Em alguns locais, o Estado-legislador reagiu editando leis que obrigam a Administração Pública a divulgar, por meio de seu site oficial, a lista nominal de vacinados. Também foi chamado a entrar em cena o Estado-juiz, a partir de ações ajuizadas com o objetivo de compelir o Poder Executivo a publicar a lista de vacinados.
Vejam-se alguns exemplos. O Ministério Público do Estado do Rio de Janeiro propôs ação civil pública, pretendendo compelir o Município do Rio de Janeiro a conferir publicidade ao processo de vacinação que estava sendo implementado, através da disponibilização diária, no site oficial da Prefeitura, de listagem de vacinados. Alegou o Ministério Público que o plano de vacinação continha falhas, com desvios de doses para indivíduos que não faziam parte dos grupos prioritários, e que a publicidade era necessária para permitir o controle e a fiscalização do processo de imunização.
Todavia, em agosto de 2021, a 9ª Vara da Fazenda Pública do Tribunal de Justiça do Estado do Rio de Janeiro julgou improcedente o pedido. Dentre outros fundamentos, o magistrado ressaltou a importância do respeito à disciplina da Lei Geral de Proteção de Dados Pessoais (LGPD). Exemplificou que, embora a pessoa infectada não possa se opor ao compartilhamento de seu nome e demais informações com o Ministério da Saúde, o tratamento de dados pessoais pela Administração Pública deve obedecer aos princípios previstos na LGPD, sendo admissível "a divulgação, ao público, apenas dos números e da divisão dos casos por região do Brasil e não das informações específicas daqueles com diagnóstico positivo e que possam, de alguma forma, servir para identificá-los, ainda que combinados com outros dados".3 O magistrado também havia, anteriormente, indeferido o pedido liminar, o que foi confirmado, em sede de agravo de instrumento, pela 10ª Câmara Cível do Tribunal de Justiça do Estado do Rio de Janeiro.4
Já no Município de Nova Odessa (SP), foi editada a lei municipal nº 3.381, de 23.2.2021, que dispôs sobre a obrigatoriedade de publicação, no site oficial da Prefeitura, da lista de vacinados contra a Covid-19, atualizada diariamente, com indicação do nome completo da pessoa vacinada, número de seu CPF (ocultando os seis primeiros dígitos com asterisco), data e local da vacinação, além da referência ao respectivo grupo prioritário. O Prefeito de Nova Odessa, contudo, ingressou com ação direta de inconstitucionalidade em face do artigo 2º, inciso I, da referida lei, que determinava a publicação do nome completo da pessoa vacinada, alegando, no que interessa ao presente trabalho, a violação da intimidade e da vida privada dos munícipes vacinados (art. 5º, X, CRFB/88).
Em julho de 2021, o Órgão Especial do Tribunal de Justiça do Estado de São Paulo julgou improcedente a ação direta de inconstitucionalidade. Aduziu que a Administração Pública tem o dever fundamental de adotar o quanto necessário para prevenir doenças, inexistindo, na espécie, violação à intimidade ou à vida privada dos cidadãos. Assim, deveria prevalecer o valor da transparência. Também se considerou que a ausência de divulgação da lista nominal comprometeria a decisão do Supremo Tribunal Federal acerca da constitucionalidade da vacinação compulsória, embora não forçada, para preservar a saúde da coletividade (ADIs nº 6.586 e 6.587).5
A partir desses exemplos, vê-se que o debate sobre a viabilidade da divulgação da lista de vacinados é não só atual, como também tem gerado posicionamentos divergentes na jurisprudência. Nesse contexto de incertezas jurídicas, a doutrina assume importante papel de contribuir com a construção da disciplina incidente, por meio do exame do arcabouço normativo imposto pelo ordenamento, dos valores em jogo e dos instrumentos para a ponderação de interesses conflitantes.
O presente trabalho se dividirá em duas partes. Nesta primeira, será analisada a situação de divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação. Na Parte II, serão examinadas duas outras hipóteses: (i) a divulgação, ao público, de dados anonimizados pertinentes ao processo de vacinação e (ii) o acesso a dados pessoais pertinentes ao processo de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública.
Como se sabe, a Constituição da República de 1988 contemplou, como direitos fundamentais, o direito de acesso à informação e o direito à proteção dos dados pessoais.6 Trouxe, ainda, como princípio, a transparência na atuação da Administração Pública.
Nas situações em que a informação detida por ente público a que se pretende ter acesso é um dado pessoal de terceiro, entram em rota de colisão, de um lado, o direito fundamental de acesso à informação e o princípio da transparência administrativa, e, de outro lado, o direito fundamental à proteção dos dados pessoais. Em um dos pratos da balança, valores integrantes do núcleo axiológico do regime democrático; no outro prato da balança, interesses existenciais que são diretamente informados pelo princípio da dignidade da pessoa humana. Quid juris?
Nesses casos, haverá a incidência simultânea da disciplina da Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018 - LGPD) e da Lei de Acesso à Informação (lei 12.527/2011 - LAI). A interpretação deve ser sistemática, promovendo-se o diálogo entre as normativas, à luz dos princípios e valores constitucionais.
Pense-se no exemplo de divulgação de lista que contém o nome das pessoas vacinadas naquela localidade, acompanhado da doença que a inclui no denominado “grupo de risco” da Covid-19 e que justificou a sua vacinação prioritária, por meio de disponibilização no sítio eletrônico oficial do ente público. A lista de vacinados conterá, inevitavelmente, dados pessoais e dados pessoais sensíveis.
A lei 13.709/2018 conceitua dado pessoal como aquele titularizado por pessoa natural identificada ou identificável, excluindo de sua proteção a informação relativa à pessoa jurídica (art. 5º, I e V, LGPD). Por outro lado, com relação ao dado pessoal sensível, a LGPD traz lista exemplificativa em seu artigo 5º, II: informação "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". A qualificação de determinado dado pessoal como sensível deve ocorrer concretamente, conforme a identificação da maior probabilidade de uso discriminatório por terceiros.
Na disciplina da LGPD, o tratamento de dados pessoais só pode ocorrer se estiver fundamentado em uma das bases legais previstas nos artigos 7º e 11. O artigo 7º da LGPD contempla como bases legais, em linhas gerais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) execução de contrato ou de procedimentos preliminares relacionados a contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) tutela da saúde; (ix) legítimo interesse e (x) proteção do crédito.
De outro giro, o artigo 11 da LGPD fornece disciplina específica para os dados pessoais sensíveis, e prevê, resumidamente, as seguintes bases legais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo ou arbitral; (vi) proteção da vida ou da incolumidade física do titular ou de terceiro; (vii) tutela da saúde; (viii) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
A partir da análise das bases legais previstas na LGPD, vê-se que a divulgação pública de dados pessoais pertinentes ao processo de vacinação não pode ocorrer, senão mediante consentimento de cada titular. Se, de um lado, não se encontra base legal para fundamentar o tratamento desses dados pessoais sem consentimento (sensíveis ou não), de outro lado é certo que a exposição pública da lista de vacinados aniquila o direito à proteção dos dados pessoais.
A mesma conclusão decorre do exame da disciplina da Lei de Acesso à Informação. O artigo 3º estabelece as diretrizes de aplicação da lei: (i) observância da publicidade como regra e do sigilo como exceção; (ii) divulgação de informações de interesse público, sem que se faça necessária solicitação; (iii) emprego de meios de comunicação viabilizados pela tecnologia da informação; (iv) estímulo ao desenvolvimento da cultura de transparência na administração pública; (v) edificação do controle social da administração pública. De mais a mais, o artigo 8º prevê que os órgãos e as entidades públicas têm o dever de divulgar informações de interesse coletivo ou geral por eles produzidas ou custodiadas, no âmbito de suas competências. A publicação deve se dar em local de fácil acesso e prescindir de requerimento.
No entanto, a LAI contempla disciplina específica para as informações pessoais, que não pode ser desconsiderada pelo intérprete. A normativa traz limites ao direito fundamental de acesso à informação, concretizando o comando do artigo 5º, XXXIII, da CRFB/88, que prevê o direito do indivíduo a receber informações de interesse particular, ou de interesse coletivo ou geral detidas por órgãos públicos, mas ressalva aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado.
Nessa direção, o artigo 6º, III, da LAI determina a proteção tanto da informação sigilosa quanto da informação pessoal, observados os aspectos de disponibilidade, autenticidade, integridade e eventual restrição de acesso. Passo adiante, o artigo 31, caput, da LAI estabelece que o tratamento dos dados pessoais deve ser feito com transparência e respeito às liberdades e garantias individuais e aos direitos à intimidade, à privacidade, à honra e à imagem. As informações pessoais terão seu acesso restrito a agentes públicos legalmente autorizados e ao seu titular, pelo prazo máximo de cem anos a contar de sua produção, independentemente de classificação de sigilo (art. 31, § 1º, I, LAI). O acesso a dado pessoal por terceiro só será admitido diante de previsão legal ou consentimento expresso da pessoa a que a informação se refere (art. 31, § 1º, II, LAI).
O consentimento do titular, todavia, não será exigido quando os dados forem necessários: (i) à prevenção e diagnóstico médico, nas situações em que a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico; (ii) à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo proibida a identificação do titular das informações; (iii) ao cumprimento de ordem judicial; (iv) à defesa de direitos humanos; (v) à proteção do interesse público e geral preponderante; (vi) à apuração de irregularidades em que o titular dos dados estiver envolvido e (vii) em ações que visam à recuperação de fatos históricos de maior relevância (art. 31, § 3º, I a V, e § 4º, LAI). Ponha-se entre parêntese que, embora o artigo 10, § 3º, da LAI proíba a exigência relativa a motivos determinantes do pedido de acesso à informação, essa vedação não se aplica a informações pessoais, caso em que a solicitação precisará estar fundamentada em uma das hipóteses descritas que excepcionam a restrição de acesso.
Ocorre que, novamente, nenhuma das referidas exceções é capaz de fundamentar a divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação, a demandar a obtenção de consentimento de cada titular. Há, portanto, na espécie, a incidência simultânea da Lei de Acesso à Informação e da Lei Geral de Proteção de Dados Pessoais. O diálogo entre as normativas aponta para solução única: a inviabilidade da divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação sem consentimento de cada titular. À luz do princípio da dignidade da pessoa humana, é individualizada solução coerente e harmônica, que assegura, a uma só vez, a unidade do sistema e a promoção da tábua axiológica constitucional.
O direito à proteção dos dados pessoais é diretamente informado pelo princípio da dignidade da pessoa humana, fundamento do sistema jurídico (art. 1º, III, CRFB/88).7 Assim, a exposição pública da lista de vacinados, ao aniquilar o direito à proteção dos dados pessoais, viola, em última análise, o princípio da dignidade da pessoa humana, o que, evidentemente, não se pode admitir.
Há, ademais, outros meios menos gravosos de se assegurar a transparência administrativa e o alcance da finalidade de controle e de fiscalização do processo de vacinação. É deste tema que se ocupará a Parte II deste trabalho – cenas do próximo capítulo.
*Carlos Edison do Rêgo Monteiro Filho é professor Titular de Direito Civil da UERJ (graduação, mestrado e doutorado) e ex-coordenador do Programa de Pós-Graduação em Direito da UERJ. Doutor em Direito Civil e Mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Membro da Comissão de Direito Civil da OAB/RJ, do IBDCivil e da AHC-Brasil. Advogado, parecerista em temas de direito privado.
**Diana Loureiro Paiva de Castro é procuradora do Estado de São Paulo. Coordenadora do Núcleo de Propriedade Intelectual e Inovação da PGE-SP. Mestre em Direito Civil pela UERJ. Professora em cursos de pós-graduação da UERJ, da PUC-Rio e da ESNAP/USP. Associada Fundadora do IAPD. Membro do IBDCivil, do IBERC e da AHC-Brasil. Vice-Presidente da Região Sudeste na ANAPE. Foi Procuradora da FAPESP.
__________
1 Carlos Edison do Rêgo Monteiro Filho. Pandemia e responsabilidade: a pessoa no centro do tabuleiro. Revista IBERC, v. 3, n. 3, 2020. Disponível aqui.
2 Portal do Governo. “Estado de São Paulo inicia vacinação contra COVID-19”. Disponível aqui.
3 TJ/RJ, ACP nº 0015047-74.2021.8.19.0001, 9ª Vara da Fazenda Pública, julg. 19/08/2021.
4 TJ/RJ, AI nº 0004292-91.2021.8.19.0000, 10ª Câmara Cível, julg. 14/07/2021.
5 TJ/SP, ADI nº 2047923-56.2021.8.26.0000, Órgão Especial, julg. 07/07/2021.
6 Cabe mencionar, em enunciação exemplificativa, os incisos X, XII, XIV, XXXIII e LXXII do artigo 5º e o caput e o inciso II do § 3º do artigo 37, todos da Constituição da República de 1988. Sublinhe-se também que o Plenário do Senado Federal aprovou, em outubro deste ano, a Proposta de Emenda à Constituição (PEC) 17/2019, que visa a prever expressamente a proteção de dados pessoais como um direito fundamental, tema objeto de recente artigo nesta coluna.
7 Carlos Edison do Rêgo Monteiro Filho; Diana Loureiro Paiva de Castro. Proteção de dados pessoais e cláusulas de não indenizar. Migalhas. Disponível aqui.