O presente trabalho enfrenta o problema do acesso de terceiros a dados de vacinação detidos por entes públicos, nos casos em que se objetiva controlar a atuação estatal e coibir irregularidades no processo de imunização. Nessas hipóteses, tem-se na balança, de um lado, o direito fundamental de acesso à informação e o princípio da transparência administrativa, e, de outro lado, o direito fundamental à proteção dos dados pessoais. O conflito deve ser analisado à luz do critério hermenêutico da razoabilidade. Isso porque se fará necessária a ponderação dos diversos interesses, integrando-se regras, princípios e valores do sistema, para que se possa, ao final, construir a norma do caso concreto que melhor realize a tábua axiológica constitucional.
Na parte I deste artigo, examinou-se a situação de divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação. A partir da análise da incidência simultânea da disciplina da Lei de Acesso à Informação e da Lei Geral de Proteção de Dados Pessoais, lidas à luz dos princípios e valores constitucionais, concluiu-se pela inviabilidade da referida divulgação sem consentimento de cada titular.
Diga-se entre parênteses que a racionalidade da questão em tela não se confunde com a da obrigatoriedade de exibição, pelo próprio titular, de atestado de vacinação para ingresso em determinados ambientes (o chamado “passaporte vacinal”), com suporte fático e pressupostos diversos, inclusive a tutela da saúde de terceiros, o que justifica e fundamenta a exigência da comprovação.
Agora, nesta parte II, serão examinadas duas outras hipóteses: (i) a divulgação, ao público, de dados anonimizados pertinentes ao processo de vacinação e (ii) o acesso a dados pessoais pertinentes ao processo de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública.
Primeiramente, cabe destacar que é viável a divulgação pública de dados anonimizados. Nessa situação, o direito à proteção dos dados pessoais estará resguardado, ao mesmo tempo em que se assegura transparência ao processo de vacinação. Constitui exemplo de publicação de dados nacionais de vacinação o chamado “vacinômetro”, que indica diariamente, no site do Conselho Nacional de Saúde, a quantidade de doses aplicadas no país: em 8/12/21, já haviam sido aplicadas 314.158.730 doses.
A Lei Geral de Proteção de Dados Pessoais qualifica como anonimizado o “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” (art. 5º, III, LGPD). A caracterização do dado como pessoal ou anonimizado é de extrema relevância, em virtude da diferenciação de disciplina aplicável. Nessa direção, o art. 12, caput, da LGPD estabelece que, para os fins da lei, dados anonimizados não são considerados dados pessoais.
Para diferenciar o dado pessoal do dado anonimizado, a lei 13.709/2018 adotou o “filtro da razoabilidade”.1 Assim, quando um dado não puder ser associado, direta ou indiretamente, a um indivíduo, considerando a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, esse dado será considerado anonimizado e a disciplina da Lei Geral de Proteção de Dados Pessoais não incidirá (art. 5º, XI, LGPD). Para concretizar o que se considera razoável, o art. 12, § 1º, da LGPD elege os seguintes fatores: “custo e tempo necessários para reverter o processo de anonimização”, conforme as tecnologias disponíveis, e “utilização exclusiva de meios próprios”.
Desse modo, admite-se a divulgação, ao público, de dados anonimizados pertinentes à vacinação. Faz-se necessário, todavia, o controle da efetividade do processo de anonimização, devendo-se assegurar que o titular não possa ser identificado, considerando o referido filtro da razoabilidade.
É certo, contudo, que, para a finalidade de coibir irregularidades no processo de vacinação, a divulgação de dados anonimizados pode não constituir solução tão eficaz quanto o acesso à lista de vacinados, de modo identificado. Nesse cenário, faz-se mister a análise de outra hipótese: o acesso a dados pessoais pertinentes ao processo de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública. Aqui, também se deve considerar a incidência simultânea da disciplina da Lei Geral de Proteção de Dados Pessoais (lei 13.709/18 - LGPD) e da Lei de Acesso à Informação (lei 12.527/11 - LAI), sempre lidas à luz da tábua axiológica constitucional.
Como visto na parte I deste trabalho, a LAI restringe o acesso à informação pessoal a “agentes públicos legalmente autorizados” e ao seu titular (art. 31, § 1º, I). Os servidores de órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública se caracterizam como “agentes públicos legalmente autorizados”. Além disso, o art. 31, § 2º, da lei 12.527/11 estabelece que aquele que obtiver acesso aos dados pessoais será responsabilizado por seu uso indevido. Assim, o dever de sigilo será transferido ex lege ao órgão público requisitante. Pela disciplina da LAI, é, portanto, viável o acesso a dados de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública.
A mesma conclusão é extraída da disciplina da Lei Geral de Proteção de Dados Pessoais. Isso porque a LGPD permite o tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II), inclusive para dados pessoais sensíveis (art. 11, II, “a”).2 Nessas hipóteses, dispensa-se a obtenção de consentimento do titular. Além disso, o art. 26, caput, da Lei 13.709/18 autoriza o uso compartilhado de dados pessoais pelo Poder Público, desde que a finalidade seja a execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, devendo ser respeitados os princípios de proteção de dados pessoais enumerados no art. 6º da lei. O dever legal de proteção dos dados pessoais será transferido ao órgão público que requereu o acesso.
Em síntese, nesse caso, é permitido o tratamento de dados pessoais e de dados pessoais sensíveis. Deverão, contudo, ser atendidos os princípios previstos no art. 6º da LGPD. De acordo com tal dispositivo, o tratamento de dados pessoais deve ser realizado para finalidade legítima, específica, explícita e devidamente informada, sendo certo que o tratamento não pode se dar para fins discriminatórios ilícitos ou abusivos (princípios da finalidade e da não discriminação). Faz-se mister que a operação prevista seja compatível com a finalidade aventada e que o procedimento ocorra sem excessos, na exata medida para se alcançar o dito propósito. Com efeito, o tratamento de dados pessoais deve ocorrer conforme sua razão justificadora e no limite desse escopo, encerrando-se a operação tão logo haja seu cumprimento (princípios da adequação e da necessidade).3
Assegura-se ao titular do dado pessoal acesso facilitado e gratuito à forma, à duração do tratamento e à integralidade das informações pessoais (princípio do livre acesso). Os dados devem estar corretos, claros, atualizados e se afigurarem relevantes para o atendimento do objetivo da operação (princípio da qualidade dos dados). São garantidas ao titular informações claras, precisas e facilmente acessíveis a respeito dos tratamentos realizados e dos agentes que os promovem, respeitados os segredos comercial e industrial, bem como que a operação seja efetuada de acordo com medidas técnicas e administrativas seguras (princípios da transparência e da segurança). Exige-se a adoção de providências que evitem a ocorrência de danos, determinando-se aos agentes de tratamento a demonstração do implemento das normas de proteção e da eficácia das medidas cumpridas (princípios da prevenção e da responsabilização e prestação de contas).
Mais uma vez, o diálogo entre a Lei Geral de Proteção de Dados Pessoais e a Lei de Acesso à Informação aponta para solução única: a viabilidade do acesso, por órgão público responsável pela defesa da ordem jurídica e pelo controle da Administração Pública, a dados pessoais pertinentes ao processo de vacinação, independentemente de consentimento do titular da informação pessoal. Assim, é individualizada solução coerente e harmônica, que assegura, a uma só vez, a unidade do sistema e a promoção dos valores emanados do topo da pirâmide normativa.4
Na situação vislumbrada, tutela-se o princípio da transparência administrativa, integrante do núcleo axiológico do regime democrático, sem, contudo, se aniquilar o direito fundamental à proteção dos dados pessoais. Na verdade, o dever de proteção e de sigilo será transferido ao órgão público requisitante, o qual se torna responsável por qualquer uso indevido das informações pessoais.
Imagine-se que o MP, “instituição permanente, essencial à função jurisdicional do Estado” e responsável pela “defesa da ordem jurídica, do regime democrático e dos interesses sociais e individuais indisponíveis” (art. 127, caput, CF/88), requeira ao Poder Executivo o acesso a dados de vacinação para fins de instrução de procedimento administrativo regularmente instaurado para apurar irregularidades no processo de vacinação. Como se sabe, a CF/88 atribui ao Ministério Público, como função institucional, “expedir notificações nos procedimentos administrativos de sua competência, requisitando informações e documentos para instruí-los” (art. 129, VI). Será viável, portanto, o atendimento à requisição ministerial.
Veja-se que o direito à proteção dos dados pessoais não pode ser interpretado de forma tão extremada que impeça o acesso a informações de vacinação por instituição pública responsável pela defesa da ordem jurídica. É dizer: não existem direitos absolutos. Tanto o direito fundamental de acesso à informação quanto o direito fundamental à proteção dos dados pessoais encontram limites no arcabouço normativo vigente. Caberá ao intérprete, considerando o ordenamento jurídico em sua unidade, coerência, heterogeneidade e complexidade, individualizar a solução que melhor realize os valores constitucionais, a partir da acurada análise de cada situação concreta.
Diante do exposto na Parte I e na Parte II deste trabalho, conclui-se que, no contexto da pandemia da covid-19, sobressai, mais do que nunca, a preocupação com a pessoa humana e seus valores existenciais, a serem tutelados pelo ordenamento jurídico com máxima prioridade. Os direitos da pessoa demandam, talvez mais do que em qualquer outra quadra da história, deveres de proteção. Nessa toada, proteger os dados pessoais significa amparar e salvaguardar o livre desenvolvimento da personalidade de cada indivíduo, reconhecendo e protegendo sua dignidade.
Nesse cenário, a divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação sem consentimento dos titulares das informações constitui solução inviável, sob pena de se aniquilar o direito à proteção dos dados pessoais, que é diretamente informado pelo princípio da dignidade da pessoa humana, fundamento do sistema jurídico. Há, ademais, outros meios menos gravosos para se assegurar a transparência administrativa e o alcance da finalidade de controle e de fiscalização do processo de vacinação. O prato da balança pende, assim, para a tutela da pessoa humana.
De outro giro, afigura-se viável a divulgação, ao público, de dados anonimizados pertinentes ao processo de vacinação. Nesse caso, o direito à proteção dos dados pessoais estará resguardado, ao mesmo tempo em que se assegura transparência na atuação estatal. Deve haver, contudo, o controle da efetividade do processo de anonimização, assegurando-se que o titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento.
Também se admite o acesso por órgão público responsável pela defesa da ordem jurídica e pelo controle da Administração Pública aos dados de imunização. Nessa situação, tutela-se o princípio da transparência administrativa, sem, contudo, se aniquilar o direito fundamental à proteção dos dados pessoais. Na verdade, o dever de proteção e de sigilo será transferido ao órgão público que requereu o acesso, o qual se torna responsável por qualquer uso indevido das informações pessoais. Nessa hipótese, o consentimento do titular do dado pessoal é dispensado.
Parece urgente, portanto, a modificação na atuação do Estado-legislador, de forma que não sejam mais editadas leis para obrigar a Administração Pública a divulgar, por meio de seu site oficial, a lista nominal de vacinados. Ilustre-se com o recente PL 42/21, que visava a tornar “obrigatória a publicação de dados a respeito dos lotes de vacinação e da população vacinada no âmbito do Plano Estadual de Imunização contra a covid-19”, aprovado pela Assembleia Legislativa do Estado de São Paulo, mas totalmente vetado pelo Governador do Estado, em outubro de 2021, em razão do conflito com o art. 5º, inciso X, da CF/88. O PL 42/21 previa a (inadmissível) obrigatoriedade de publicação, em sítio eletrônico, dos seguintes dados: nome completo da pessoa vacinada, trecho do CPF, grupo de vacinação, data e local da vacinação, lote da vacina aplicada, identificação da dose recebida e identificação nominal e de registro funcional do profissional que aplicou a vacina.
Também parece necessária a pacificação do entendimento jurisprudencial na direção da inviabilidade de se compelir o Poder Executivo a divulgar, ao público, a lista nominal de vacinados. A existência de posicionamentos divergentes na jurisprudência pode ser ilustrada com os casos dos municípios de Nova Odessa, Monte Alto e Santa Cruz das Palmeiras. Nas três hipóteses, o Órgão Especial do TJ/SP enfrentou a questão da edição de leis para obrigar a prefeitura a publicar os nomes completos das pessoas vacinadas, entendendo pela constitucionalidade no caso de Nova Odessa e pela inconstitucionalidade nos casos de Monte Alto e Santa Cruz das Palmeiras.5 Fundamental que o Estado-juiz consolide, em definitivo, sua atuação no sentido de considerar inadmissível a divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação sem consentimento dos titulares das informações.
______
1 Bruno Ricardo Bioni. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2020, p. 66.
2 Considera-se que, no que interessa ao tema do presente trabalho, o art. 23 da LGPD não constitui uma base legal de tratamento autônoma. As hipóteses em que a Administração Pública poderá realizar o tratamento de dados pessoais já estão abrangidas pelas bases legais dos arts. 7º e 11 da LGPD. Como se vê dos próprios termos utilizados pela LGPD, o art. 23 fixa as “regras” que deverão ser observadas pelo Poder Público no exercício de tal atividade.
3 Pietro Perlingieri. La pubblica amministrazione e la tutela della privacy. In: Pietro Perlingieri. La persona e i suoi diritti: problemi del diritto civile. Napoli: Edizioni Scientifiche Italiane, 2005, p. 259.
4 Carlos Edison do Rêgo Monteiro Filho. Reflexões metodológicas: a construção do observatório de jurisprudência no âmbito da pesquisa jurídica. Revista Brasileira de Direito Civil, v. 9, n. 3, 2016, Disponível aqui.
5 TJ/SP, ADI 2047923-56.2021.8.26.0000, Órgão Especial, julg. 07/07/2021; TJ/SP, ADI 2133878-55.2021.8.26.0000, Órgão Especial, julg. 27/10/2021; TJ/SP, ADI 2112146-18.2021.8.26.0000, Órgão Especial, julg. 27/10/2021.