Atualmente, enfrentamos grandes discussões sobre a constitucionalidade e a possibilidade de exigência, pelos entes públicos e privados, do comprovante de vacinação contra o covid-19.
Diariamente a mídia veicula novas medidas de restrição para o ingresso e permanência em ambientes fechados ou abertos com grande aglomeração de pessoas.
A situação se agrava, ainda mais, com a divulgação, em 10/12/21, da invasão por hackers nos dados do Ministério da Saúde.
Contudo, retirando-se toda e qualquer discussão política sobre o tema, o certo é que a exigência do comprovante de vacinação se trata de uma questão que requer uma resposta multidisciplinar e que envolve, por certo, aspectos da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18 - "LGPD"), norma que se encontra totalmente em vigor desde o dia 1º de agosto de 2021.
Afinal, tanto no comprovante de vacinação quanto nos atestados médicos, justificando a impossibilidade de vacinação, constam informações de saúde do titular, considerados dados pessoais sensíveis e que merecem toda uma atenção especial pela legislação brasileira.
Em conformidade com a LGPD, todo e qualquer tratamento de dado pessoal sensível somente poderá ser realizado, tanto por ente público quanto privado, se este estiver em conformidade com referida norma.
Estar em conformidade ou compliance, com a lei significa demonstrar, no mínimo, que serão atendidos todos os princípios previstos no artigo 6º da LGPD. Ou seja, o ente deverá ser capaz de informar qual a finalidade do tratamento do dado, onde este será armazenado, qual o prazo de descarte, quem terá acesso a ele, se a plataforma onde será mantido oferece a segurança necessária para o seu tratamento, bem como indicar o Encarregado de Dados (ou Data Protection Officer - "DPO"), que é a pessoa indicada para atuar como canal de comunicação entre os envolvidos pelo tratamento dos dados pessoais, ou seja, pelo controlador, pelos titulares de dados e pela Autoridade Nacional de Proteção de Dados Pessoais ("ANPD").
Importante notar que a LGPD não visa impedir que os entes públicos ou privados realizem o tratamento dos dados pessoais em suas mais diversas atividades rotineiras. Afinal, isso seria impossível. No entanto, a lei certamente visa criar uma responsabilidade no uso desses dados, que é ainda mais exigente no caso de dados sensíveis, como os de saúde nos quais estão incluídos os comprovantes de vacinação.
Não havendo a comprovação por parte do ente público ou privado de que está em compliance com a LGPD, poderá ser configurada uma violação à norma, passível de aplicação das sanções administrativas pela ANPD em conformidade com o disposto no artigo 52 da LGPD. Esse artigo traz, dentre outras, a aplicação de multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração; a suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses; a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, entre outras sanções. Importante destacar, neste ponto, que ainda não há definição do termo "por infração" para a aplicação de sanções pecuniárias, o que poderá elevar, sobremaneira, o valor das multas mencionadas em referido dispositivo legal.
Saliente-se, ainda, que a aplicação de sanções administrativas pela ANPD não impede o ajuizamento de ações judiciais individuais e coletivas pelos titulares que se sentirem lesados em seus direitos.
Neste cenário, apenas a título de exemplificação, trazemos a hipótese da recusa do indivíduo em apresentar o comprovante de vacinação, não por questão política ou ideológica, mas, simplesmente, porque a vacinação não lhe foi autorizada ou recomendada pelo seu médico. Diante da apresentação de atestado médico justificando a negativa na vacinação, o ente deverá observar o procedimento adequado em conformidade com a LGPD para o tratamento de referido dado sensível, devendo indicar, claramente, no mínimo, quem receberá e analisará o documento, onde e por quanto tempo ele será armazenado e quem terá acesso a ele.
Portanto, como forma de mitigar problemas judiciais e administrativos futuros, antes de exigir o passaporte sanitário e a obrigatoriedade da vacinação contra o covid-19, verifique se o ente público ou privado atende a todos os requisitos da LGPD, inclusive, se foi nomeado o DPO. Se não estiver, o ente poderá estar, simplesmente, gerando o ajuizamento desnecessário de demandas judiciais e administrativas futuras.
*Rosana Pilon Muknicka, advogada, sócia da área de TMT (tecnologia, mídia e telecomunicações), do escritório Tocantins & Pacheco Advogados
