1. INTRODUÇÃO
A crescente digitalização de dados no setor de saúde tem provocado significativas discussões sobre privacidade e proteção de informações sensíveis, especialmente com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil. A LGPD busca assegurar que dados pessoais, particularmente os classificados como sensíveis, sejam tratados de forma ética e segura, resguardando a dignidade e os direitos dos titulares. No contexto da saúde, tais dados incluem informações íntimas, como histórico médico e dados genéticos, os quais exigem um tratamento cuidadoso para evitar o uso indevido e discriminações.
Este trabalho propõe-se a analisar a responsabilidade civil imposta às Health techs – empresas que utilizam tecnologia no setor de saúde – no tratamento de dados sensíveis, conforme a LGPD. Dada a importância de garantir que o paciente mantenha o controle sobre suas informações, a pesquisa visa evidenciar as implicações legais da proteção de dados sensíveis na saúde e identificar as medidas necessárias para assegurar a privacidade e segurança dos pacientes.
O problema de pesquisa a ser investigado concentra-se na efetividade da LGPD em garantir a proteção de dados sensíveis e em evitar eventuais violações de privacidade por parte das Health techs e a atribuição de qual modalidade de responsabilidade civil à essas empresas em caso de vazamento ou mau uso desses dados sensíveis. Parte-se da hipótese de que a responsabilidade aplicável é a objetiva e a correta aplicação da LGPD pode reduzir a vulnerabilidade dos pacientes frente ao uso indiscriminado de seus dados.
O objetivo geral deste estudo é examinar a aplicação da LGPD no contexto da responsabilidade civil das Health techs e sua eficácia em proteger os dados sensíveis de saúde. Os objetivos específicos incluem: investigar os princípios da LGPD aplicáveis à área da saúde, analisar a responsabilidade civil imposta às empresas do setor e avaliar as medidas de segurança e consentimento necessário para o tratamento desses dados.
Para alcançar tais objetivos, a metodologia empregada é qualitativa, foram realizadas buscas de estudos relacionados utilizando a plataforma Google Scholar, com o objetivo de identificar referências bibliográficas e artigos acadêmicos sobre a proteção de dados sensíveis na saúde e a responsabilidade civil das Health techs. Além disso, foi fundamental o acesso à Revista dos Tribunais, viabilizado por intermédio do pai da autora, que possui acesso às publicações da revista, enriquecendo a base teórica com artigos relevantes e recentes da área jurídica. Para a consulta às normas técnicas, a pesquisa contou com o acesso à ABNT NBR, por meio de assinatura no site normas.com.br , onde foi possível revisar as regulamentações pertinentes ao tema.
A análise jurisprudencial foi conduzida com base em um recorte temporal de 2020 a 2024, focalizando inicialmente o Tribunal de Justiça de Santa Catarina (TJSC) utilizando as palavras-chave “vazamento,” “dados sensíveis” e “saúde.” Como não foram localizadas jurisprudências específicas nesse tribunal, expandiu-se o recorte espacial para o Tribunal de Justiça de São Paulo (TJSP), onde foram encontradas quatro ocorrências relevantes. Dessas, foram selecionadas para análise as decisões das Apelações Cíveis 1025549-54.2021.8.26.0100 e 1023648-76.2023.8.26.0554, por tratarem diretamente do tema em estudo.
O presente estudo foi estruturado de modo que o primeiro capítulo primeiro capítulo de desenvolvimento, examina a definição de dados sensíveis conforme estabelecida pela Lei Geral de Proteção de Dados Pessoais (LGPD), destacando as particularidades dos dados de saúde. Este capítulo explora como a LGPD impõe normas específicas para o tratamento desses dados, discutindo os princípios de privacidade e segurança, e o impacto da lei no setor de saúde. A análise foca nos desafios e nas exigências legais que envolvem a manipulação de informações sensíveis, considerando o contexto da digitalização e do uso intensivo de tecnologia nas Health techs.
O segundo capítulo de desenvolvimento aborda o papel central do paciente como titular das informações sensíveis de saúde. Neste capítulo, examina-se a titularidade dos dados e os direitos garantidos ao paciente pela LGPD, como o direito à privacidade, o consentimento informado, e o controle sobre o tratamento de suas informações. A discussão enfoca como esses direitos promovem a autodeterminação informativa e a autonomia do paciente, assegurando que ele possua o poder de decidir sobre o uso de suas informações de saúde e de garantir sua privacidade em um ambiente digital.
Por fim, o terceiro capítulo desenvolvimento analisa a responsabilidade civil das Health techs que atuam no setor de saúde no tratamento de dados sensíveis. Este capítulo discute as obrigações legais e as possíveis consequências para as Health techs em caso de vazamento ou uso inadequado de dados de saúde dos pacientes. A partir de uma análise jurídica, o capítulo examina os fundamentos da responsabilidade civil e as medidas que essas empresas devem adotar para proteger as informações de seus usuários, com base nas exigências da LGPD, na jurisprudência e nas melhores práticas de segurança de dados.
2. O TRATAMENTO DE DADOS SENSÍVEIS NA SAÚDE E A LGPD
A possibilidade de lidar com dados na área da saúde, sensíveis ou não, surgiu com a promulgação da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). Com isso, percebe-se que dados sensíveis são aqueles que revelam informações de natureza íntima, por exemplo, origem racial ou étnica, convicções religiosas, opiniões políticas, dados genéticos, biométricos, de saúde, entre outros. Esse tipo de informação desempenha um papel crítico no contexto da saúde, onde estão em jogo a privacidade e a dignidade dos pacientes.
A estrutura do capítulo está organizada de forma a discutir, primeiramente, a definição e a importância dos dados sensíveis na saúde. Em seguida, trata do tratamento desses dados sob a ótica da LGPD e conclui com uma análise dos direitos de personalidade e sua natureza não patrimonial.
2.1 DEFINIÇÃO DE DADOS SENSÍVEIS
A própria definição de dados pessoais no texto é de extrema importância para a correta interpretação da LGPD, uma vez que se refere a informações relacionadas a uma pessoa natural identificada ou identificável. Dados pessoais são informações que identificam uma pessoa natural de forma direta ou indireta - ou seja, mesmo que de maneira indireta. Exemplos de dados indiretos incluem geolocalizações que, em determinadas condições, podem revelar a identidade de um indivíduo. Dessa forma, a extensão desse conceito permite a proteção de um conjunto amplo de informações que, em última análise, poderá ser utilizado para identificar pessoas, de forma direta ou indireta, por meio do cruzamento de dados (Teixeira e Guerreiro, 2022).
Com isso, esse tratamento correto ajuda a prevenir discriminações e assegura que o uso das informações seja tanto responsável quanto ético. A LGPD, assim, impõe uma série de obrigações e normas em relação ao tratamento de dados sensíveis, incluindo aqueles ligados ao setor de saúde, que lidam com informações altamente delicadas e sigilosas. Portanto, deve-se, primeiramente, distinguir o que se entende pelos termos dado e informação.
Setzer (1999) elenca:
É necessário reconhecer que nossas caracterizações de dado, informação, conhecimento e competência não são usuais. Por exemplo, é comum considerar "dado" como um subconjunto próprio de "informação", isto é, o dado é um tipo particular de informação. Consideramos útil separar completamente aqueles dois conceitos, isto é, de acordo com as nossas considerações, os dados não são parte da informação. O mesmo se aplica a informação e conhecimento, e a conhecimento e competência. Um dado é puramente objetivo - não depende do seu usuário. A informação é objetiva-subjetiva no sentido que é descrita de uma forma objetiva (textos, figuras, etc.), mas seu significado é subjetivo, dependente do usuário. O conhecimento é puramente subjetivo - cada um tem a experiência de algo de uma forma diferente. A competência é subjetiva-objetiva, no sentido de ser uma característica puramente pessoal, mas cujos resultados podem ser verificados por qualquer um (Setzer, 1999, online).
Diante disso, afirma-se que a distinção entre dado e informação está no fato de que dados são sequências de símbolos mensuráveis e objetivos, que não exigem significado imediato para o receptor, como números ou letras em um texto. Já a informação é uma abstração significativa derivada dos dados, que carrega sentido e relevância para um receptor. Dessa forma, dados podem ser processados por computadores, enquanto a informação requer contexto e interpretação humana.
Ademais, entende-se que a LGPD define como dados passíveis de proteção as partes de informações relacionadas a um indivíduo natural, ou seja, qualquer dado que, isoladamente ou combinado com outros, possa ser utilizado para identificar uma pessoa. Exemplos incluem nome, endereço, número de telefone ou até preferências, como um restaurante favorito ou hábitos de consumo. A LGPD protege esses dados, especialmente quando podem ser usados para identificar ou inferir a identidade de alguém (Soler, 2022).
A LGPD também distingue dados anônimos de dados anonimizados. Dados anônimos são aqueles que, por qualquer meio, não permitem a identificação do indivíduo, o que os exclui do escopo da lei. Já os dados anonimizados, tratados por técnicas como criptografia, não são considerados dados pessoais, desde que a reidentificação do titular não seja viável por meios razoáveis no momento do tratamento. Caso essa reidentificação seja possível, os dados tornam-se pseudonimizados e, portanto, sujeitos às disposições da lei. Essa distinção é crucial para delimitar quais dados demandam tratamento específico e proteção jurídica (Teixeira; Guerreiro, 2022).
Dados anônimos e anonimizados possuem diferenças importantes no contexto da LGPD. Dados anônimos são aqueles que, desde a sua origem, não permitem a identificação do titular, não havendo possibilidade de estabelecer relação entre o dado e uma pessoa natural. Por exemplo, dados estatísticos gerais sobre uma população sem vínculos com indivíduos específicos são considerados anônimos (Harff; Duque, 2021).
Por outro lado, dados anonimizados referem-se a dados originalmente ligados a uma pessoa identificável, mas que passaram por um processo de anonimização, o qual remove ou altera elementos identificadores. Esse processo busca tornar impossível a identificação do titular, usando técnicas e meios técnicos razoáveis disponíveis no momento do tratamento. Quando aplicada corretamente, a anonimização desassocia o dado de seu titular permanentemente (Harff; Duque, 2021).
Contudo, é importante ressaltar que a anonimização difere da pseudonimização. Enquanto a primeira busca eliminar completamente a possibilidade de reidentificação, a pseudonimização apenas substitui dados identificáveis por identificadores alternativos, mas que ainda podem ser revertidos para identificar o titular. Embora a anonimização proteja mais eficazmente a privacidade do titular, é necessário garantir que o processo seja irreversível, de modo que os dados não possam ser recombinados para identificar o indivíduo (Harff; Duque, 2021).
Diante disso, definem-se como dados pessoais sensíveis aqueles que recebem proteção mais rigorosa por envolverem aspectos íntimos, como origem racial, saúde ou convicções religiosas. Esses dados exigem cuidados adicionais, dada a gravidade potencial em caso de violação. A definição e proteção desses diferentes tipos de dados pessoais pela LGPD reforçam a necessidade de cuidado contínuo com a privacidade e segurança das informações que podem impactar diretamente a vida dos indivíduos (Teixeira; Guerreiro, 2022).
No entendimento dos dados sensíveis, destaca-se a Emenda Constitucional (EC) nº 115 de 2022, que alterou a Constituição da República Federativa do Brasil (CF/88) para incluir a proteção de dados pessoais, inclusive nos meios digitais, como direito fundamental. Ela estabelece a competência privativa da União para legislar, organizar e fiscalizar o tratamento e a proteção desses dados, conferindo a responsabilidade de regulamentar as normas sobre proteção de dados no Brasil. Dessa forma, a proteção de dados pessoais torna-se uma garantia constitucional, reforçando a privacidade e segurança das informações pessoais dos cidadãos brasileiros (Brasil, 2022).
Assim, Soler (2022, p. 12) define:
Com o entendimento de dados pessoais, passamos à questão de dado pessoal sensível, os quais basicamente são dados que detalham um pouco mais a intimidade e a vida privada, podendo, grosso modo, quando tratados, inclusive, causarem prejuízos/danos21, ou mesmo, fazerem com que seus titulares sofram algum tipo de discriminação oriunda do preconceito de terceiros22. Por tais motivos, os dados relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, são considerados dados sensíveis e recebem uma atenção especial da lei, demandando maior cuidado daquele que desejar ter acesso a eles.
Com isso, afirma-se que dados sensíveis, como origem racial, convicções religiosas ou saúde, expõem a intimidade e podem gerar discriminação. Por isso, a lei exige maior proteção e cuidado no tratamento dessas informações.
Ademais, o conceito de dado pessoal sensível, conforme estabelecido pela LGPD, refere-se a qualquer informação que revele aspectos íntimos e vulneráveis de uma pessoa natural, como origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, ou dados biométricos e genéticos. Esses dados exigem uma proteção maior, pois a exposição indevida pode resultar em discriminação ou prejuízos ao titular, comprometendo sua privacidade e acesso a direitos fundamentais (Cardoso, 2021).
A distinção entre dados pessoais sensíveis e dados pessoais em sentido estrito é fundamental para a aplicação da LGPD. Enquanto os dados pessoais comuns permitem identificar uma pessoa, como nome, CPF, ou endereço, os dados sensíveis tratam de informações que, além de identificar, podem ser usadas para discriminar negativamente o indivíduo. Dessa forma, o tratamento de dados sensíveis está sujeito a regras mais rigorosas de consentimento e uso, estabelecidas para garantir a segurança e integridade do titular (Cardoso, 2021).
Além disso, o conceito de dado sensível não se limita a situações de discriminação direta. Mesmo quando o tratamento não visa prejudicar o titular, o simples fato de a informação tratar de características íntimas e pessoais já justifica a necessidade de proteção diferenciada. Por isso, a legislação prevê que qualquer dado relacionado à saúde, genética, ou aspectos filosóficos e religiosos seja sempre considerado sensível, independentemente do contexto em que é tratado (Cardoso, 2021).
Importante frisar o conceito de Proxies e a sua correlação com o entendimento de dados sensíveis, proxies são representações de dados que, embora aparentemente neutras ou triviais, podem carregar informações que se correlacionam com outros dados, inclusive dados pessoais sensíveis. Um exemplo comum é o uso de CEP ou de prenomes que, ao serem analisados em conjunto com outros dados, podem revelar a origem racial, a religião ou até mesmo a situação financeira de uma pessoa. Assim, proxies podem ser um meio indireto de acessar dados sensíveis, potencialmente gerando discriminação ou tratamento desigual quando não são devidamente controlados (Koga, 2024).
Essa correlação entre proxies e dados sensíveis levanta importantes questões no âmbito da proteção de dados, especialmente sob a ótica da LGPD. Quando proxies são usados para inferir informações que dizem respeito à origem racial, convicção religiosa, opinião política ou saúde, esses dados devem ser tratados com o mesmo nível de cuidado que os dados sensíveis, conforme previsto no Art. 11. da LGPD. Isso inclui, por exemplo, a necessidade de consentimento explícito e o uso limitado a finalidades específicas (Koga, 2024).
Assim, o uso de proxies demanda a aplicação rigorosa de princípios como o da precaução e da prevenção para evitar riscos potenciais de discriminação. Mesmo quando a intenção do controlador de dados não é discriminatória, o uso imprudente de proxies pode resultar em discriminações indiretas, como mostrado em estudos de casos. Assim, é essencial que os agentes de tratamento considerem o impacto das proxies no contexto do tratamento de dados sensíveis e adotem medidas que assegurem a proteção adequada dos direitos dos titulares (Koga, 2024).
Ademais, Vigliar (2022, p. 26) delineia:
[...] para além de uma breve ambientação do texto legal, parecem predizer a hipótese aqui aventada: a de que todo esse regramento, para além de funcionalizar direitos fundamentais já assim enunciados e consagrados em gerações históricas antecedentes no trajeto da sua afirmação, como os de liberdade, privacidade, livre desenvolvimento, iniciativa, concorrência e defesa do consumidor; delineiam aspectos que indicam a proteção de dados e seu tratamento como um direito autônomo e substancialmente fundamental numa sociedade marcada pela revolução tecnológica.
Assim, diante das transformações tecnológicas, essa proteção se torna essencial para garantir a defesa da privacidade e da liberdade individual. Assim, o tratamento de dados assume papel central na preservação dos direitos fundamentais.
A distinção entre dados anônimos, anonimizados e dados sensíveis se torna ainda mais importante no contexto da LGPD. Quando ocorre a análise das implicações jurídicas e a necessidade de proteção de cada tipo de dado. Dados sensíveis, conforme definidos pela LGPD, são aqueles que dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicatos, saúde, vida sexual, e dados genéticos ou biométricos. Esses dados, por sua natureza, estão diretamente ligados a aspectos íntimos e vulneráveis do titular, sendo protegidos de maneira mais rigorosa pela legislação para evitar a discriminação ou danos à dignidade pessoal (Lucca; Martins, 2024).
Enquanto os dados anônimos e anonimizados, quando tratados corretamente, escapam da abrangência das normas mais rigorosas da LGPD, os dados sensíveis sempre exigem tratamento diferenciado e cuidadoso. Mesmo que um dado sensível passe por um processo de anonimização, a reidentificação inadvertida poderia acarretar sérios riscos para o titular, pois poderia expor informações que podem ser usadas para discriminação ou causar danos à reputação. Isso ressalta a necessidade de políticas robustas de segurança e controle no tratamento desses dados, especialmente em setores como saúde e finanças, onde os dados sensíveis são amplamente utilizados (Lucca; Martins, 2024).
Diante disso, a correta classificação e tratamento de dados é essencial para assegurar que a privacidade dos titulares seja respeitada e que os direitos fundamentais sejam preservados. A LGPD estabelece que, além da anonimização de dados sensíveis, as empresas devem adotar medidas de segurança técnicas e administrativas que garantam a proteção desses dados contra acessos não autorizados, bem como a garantia de que a anonimização, quando realizada, seja irreversível. A falha nesse processo pode expor empresas a penalidades e ao dever de indenizar os titulares por eventuais danos (Lucca; Martins, 2024).
Destaca-se como a pandemia de COVID-19 trouxe uma nova visibilidade ao conceito de dados sensíveis, especialmente no que tange à saúde. Com a necessidade de medidas como rastreamento de contatos, passaportes de vacinação e até mesmo o monitoramento de sintomas, o tratamento de informações ligadas à saúde se intensificou. Isso gerou debates sobre o limite entre a necessidade de coletar dados para o bem público e a proteção da privacidade dos indivíduos (Rego, 2022).
No Brasil, a LGPD entrou em vigor durante a pandemia, o que colocou em destaque as normas que regulam o uso de dados sensíveis, como os relacionados à saúde. A LGPD classifica como sensíveis os dados que podem revelar informações sobre a saúde de uma pessoa, e esses passaram a ser ainda mais requisitados, seja para controle de vacinação ou monitoramento de casos. O desafio que surgiu foi equilibrar a transparência necessária para o controle da pandemia com a privacidade e a proteção dos direitos dos titulares desses dados (Rego, 2022).
Diante disso, Harff e Duque (2021, p. 8) destacam:
Um segundo desafio para a disciplina dos dados sensíveis se dá pelo grau de sensibilidade dos dados. Isso significa que a informação pode ter um nível de sensibilidade maior ou menor. Alguns doutrinadores ainda advogam que todos os dados conteriam um nível mínimo de sensibilidade. De acordo com o Grupo de Trabalho 29, é o que se dá quando na categoria saúde são englobadas desde a informação sobre um resfriado ou uma gripe até uma doença altamente estigmatizante.81 Imagine-se na conjuntura que surgiu a partir da pandemia da Covid-19, o nível de repercussões que podem surgir a partir da coleta e tratamento de dados relativos a resultados de exames virais. Sob um ângulo, coloca-se a estigmatização decorrente da divulgação de diagnósticos; por outro, o interesse da autoridade sanitária em localizar pessoas infectadas, para proceder à sua quarentena e ao combate mais eficaz da pandemia.
Revela-se, assim, a complexidade inerente ao tratamento de dados sensíveis, especialmente no campo da saúde, onde as informações podem variar em nível de sensibilidade. Com isso, entende-se que a pandemia de COVID-19 exemplificou essa questão, ao expor dados que vão desde resfriados comuns até doenças estigmatizantes, exigindo um delicado equilíbrio entre o direito à privacidade e a necessidade de saúde pública.
Além disso, o cenário pandêmico revelou vulnerabilidades em relação ao vazamento de dados sensíveis, como o ocorrido no Sistema Único de Saúde (SUS), onde milhões de informações sobre pacientes foram expostas. Esses incidentes reforçaram a importância da implementação de medidas de segurança adequadas e do tratamento responsável dos dados sensíveis. O uso de tecnologias como QR-Codes e plataformas de saúde também trouxe à tona a necessidade de se garantir que o tratamento desses dados fosse feito com total respeito às normas de proteção de dados pessoais, evitando possíveis violações e discriminações (Rego, 2022).
2.1.1 Dados Sensíveis de Saúde
A tutela da privacidade na sociedade da informação, especialmente em relação aos dados sensíveis de saúde, tornou-se uma questão central na era digital. O aumento do uso de tecnologias de comunicação e informação, como o e-Saúde, e a crescente interconexão de bancos de dados criaram desafios para a proteção da privacidade dos indivíduos. Dados de saúde, por serem considerados sensíveis, exigem um tratamento mais cuidadoso, pois sua exposição indevida pode resultar em discriminação, estigmatização ou outras violações de direitos fundamentais (Lima; Vasconcelos, 2022).
A LGPD do Brasil trouxe um arcabouço normativo robusto para a proteção desses dados, estabelecendo que informações relacionadas à saúde são consideradas sensíveis e, portanto, requerem consentimento expresso e qualificado para seu tratamento. No ambiente do e-Saúde, onde o uso de plataformas digitais e registros eletrônicos de saúde se tornou comum, a proteção da privacidade dos pacientes deve ser garantida por meio de medidas técnicas e organizacionais adequadas, que assegurem o sigilo e a confidencialidade desses dados (Lima; Vasconcelos, 2022).
Entretanto, a implementação dessas medidas enfrenta desafios significativos, especialmente no que se refere ao controle sobre o fluxo de dados e à transparência do tratamento. A coleta, armazenamento e compartilhamento de dados de saúde por meio de plataformas digitais, muitas vezes sem o consentimento explícito dos pacientes, coloca em xeque o direito à autodeterminação informacional. Isso exige um equilíbrio entre a utilização de tecnologias para melhorar a prestação de serviços de saúde e a proteção efetiva da privacidade e dos direitos dos indivíduos (Lima; Vasconcelos, 2022).
Ademais, a crescente utilização de tecnologias que processam dados pessoais, como plataformas digitais de saúde e ferramentas de análise de dados, trouxe à tona novos desafios relacionados à proteção de dados sensíveis. Além do tratamento direto de informações sensíveis, a capacidade dessas tecnologias de inferir dados a partir de informações aparentemente inofensivas amplia os riscos à privacidade. Nesse contexto, a distinção entre dados sensíveis e não sensíveis começa a se tornar menos clara, pois dados triviais podem, ao serem cruzados e analisados por algoritmos complexos, revelar informações altamente pessoais e protegidas, como a orientação sexual, saúde mental ou religiosa dos indivíduos.
Diante disso, a inferência de dados sensíveis no direito da União Europeia (UE) ganhou destaque no julgamento do caso C-184/20 pelo Tribunal de Justiça da União Europeia (TJUE). Discutiu-se a possibilidade de se inferir dados sensíveis a partir de informações aparentemente não sensíveis, como o nome do cônjuge de um declarante em um site de órgão público na Lituânia. O tribunal concluiu que, mesmo quando os dados não são originalmente sensíveis, eles podem revelar informações que se enquadram na categoria de dados sensíveis, como a orientação sexual ou religiosa, quando combinados ou analisados em um determinado contexto (Machado; Mendes, 2022).
Esse caso ilustra um ponto crucial sobre a proteção de dados na UE: o Regulamento Geral de Proteção de Dados (GDPR) não limita a proteção de dados sensíveis apenas àqueles explicitamente classificados como tal, mas também abrange dados inferidos que possam revelar características protegidas. A decisão do TJUE destaca a importância de considerar o efeito cumulativo de dados, mesmo que inicialmente não sensíveis, que podem, ao serem combinados, revelar aspectos íntimos e vulneráveis da vida privada de indivíduos. Isso coloca uma responsabilidade adicional sobre os controladores de dados, que devem garantir que esses dados sejam tratados com o devido rigor e proteção (Machado; Mendes, 2022).
Portanto, a inferência de dados sensíveis impõe desafios para a conformidade com as normas de proteção de dados na UE, especialmente no contexto de tecnologias avançadas, como a inteligência artificial e o big data, que facilitam a derivação de perfis a partir de dados aparentemente inofensivos. O caso C-184/20 estabelece um precedente importante, indicando que, mesmo quando o dado original não é diretamente sensível, a possibilidade de inferir informações sensíveis a partir dele exige que os mesmos padrões rigorosos de proteção sejam aplicados (Machado; Mendes, 2022).
2.2 A RELEVÂNCIA DOS DADOS SENSÍVEIS NO SETOR DE SAÚDE
A crescente relevância dos dados sensíveis no setor de saúde é inegável, especialmente com a inserção de soluções tecnológicas, como as novas Health techs. Com a digitalização dos serviços de saúde, a coleta e o armazenamento de dados, como histórico médico, condições clínicas e diagnósticos, são centralizados em plataformas digitais, o que facilita o acesso por profissionais de saúde, mas também aumenta o risco de violações de privacidade. Esses dados, por sua natureza sensível, requerem um tratamento rigoroso para garantir a proteção dos pacientes contra o uso indevido de suas informações, especialmente no ambiente digital, onde brechas de segurança podem comprometer seriamente sua confidencialidade (Martins; Soares, 2020).
Assim, Silva e Picorelli (2020, p.1) entendem:
Na área da saúde a questão é ainda mais relevante, pois dados de saúde potencialmente são capazes de causar constrangimento e prejuízos. Os sistemas informatizados em que estes dados são inseridos em hospitais, clínicas e consultórios médicos certamente não são capazes e não estão preparados para evitar vazamentos e exposições. A questão ainda não se resume a sistemas eletrônicos, pois é comum ver no dia-a-dia de estabelecimentos de saúde papéis, fichas e outros documentos amontoados sobre as mesas contendo dados pessoais e sensíveis de pessoas naturais.
Diante do trecho acima, é importante ressaltar que, apesar da evolução tecnológica, a insegurança no tratamento de dados de saúde persiste. Muitos sistemas informatizados ainda falham em proteger informações sensíveis, enquanto documentos físicos continuam expostos em hospitais e clínicas. A transição para o digital não eliminou os riscos, perpetuando a vulnerabilidade dos dados pessoais.
Com isso, a inserção de Health techs e e-Saúde revolucionou o modo como os serviços médicos são oferecidos, promovendo uma maior agilidade no atendimento e acompanhamento de pacientes. No entanto, ao mesmo tempo em que o e-Saúde otimiza o fluxo de informações, ele também apresenta novos desafios jurídicos e éticos. A necessidade de garantir que os dados de saúde sejam utilizados exclusivamente para os fins de tratamento médico e não explorados comercialmente ou de forma inadequada coloca em foco a importância da LGPD. Nesse contexto, o consentimento expresso do paciente e o uso de tecnologias de criptografia e anonimização se tornaram ferramentas cruciais para evitar a exposição indevida de informações sensíveis (Martins; Soares, 2020).
Dessa forma, o uso de tecnologias de e-Saúde demanda não apenas inovações no tratamento médico, mas também no âmbito da governança de dados. As instituições de saúde que adotam esses sistemas devem implementar mecanismos robustos de segurança da informação para garantir que os dados sensíveis estejam protegidos contra acessos não autorizados. Esse cenário demonstra que a proteção de dados no setor de saúde deixou de ser um mero detalhe operacional para se tornar um elemento essencial na prestação de serviços, com impactos diretos na confiança dos pacientes e no cumprimento de normativas legais como a LGPD (Martins; Soares, 2020).
A relevância dos dados sensíveis de saúde é fundamental para garantir a proteção da privacidade dos pacientes e a segurança no tratamento dessas informações. Os dados sensíveis, como histórico médico, exames, e informações genéticas, possuem características que, se mal utilizados, podem expor os indivíduos a discriminações, fraudes e até riscos à sua saúde (Guanaes, 2018).
Além de garantir a privacidade, o correto tratamento dos dados sensíveis no setor de saúde promove um ambiente de confiança entre os pacientes e os profissionais da saúde. Isso é essencial para que os pacientes se sintam seguros ao compartilhar informações necessárias para o diagnóstico e tratamento. As Health techs, ao adotarem medidas de segurança robustas e seguirem as normativas legais, como a criptografia e a anonimização, asseguram que essas informações não sejam acessadas indevidamente por terceiros, evitando assim violações à privacidade dos indivíduos (Guanaes, 2018).
Ainda, a manipulação responsável de dados sensíveis de saúde é também um fator crucial para o avanço da pesquisa científica. A utilização desses dados, de forma anonimizada e dentro dos parâmetros legais, possibilita estudos e desenvolvimentos de novos tratamentos e medicamentos, beneficiando a saúde pública de forma geral. No entanto, para que isso ocorra de maneira ética, é necessário que haja um equilíbrio entre o uso desses dados para a pesquisa e a proteção dos direitos dos titulares (Guanaes, 2018).
Assim, ressalta-se a correlação entre a relevância dos dados sensíveis de saúde e a exigência de consentimento para o seu tratamento é um ponto central na proteção da privacidade e segurança do paciente. Os dados relacionados à saúde são classificados como sensíveis pela LGPD, devido à sua natureza delicada e ao potencial de causar discriminação ou prejuízos aos titulares. Para garantir o uso adequado dessas informações, a LGPD estabelece que o tratamento de dados sensíveis requer o consentimento explícito do titular, exceto em casos específicos onde o tratamento pode ocorrer sem ele, como em emergências de saúde pública ou na prestação de serviços médicos (Dantas, 2021).
O consentimento do titular, nesse contexto, é fundamental para assegurar que os dados só sejam utilizados de acordo com a vontade da pessoa, garantindo maior transparência e controle sobre as informações compartilhadas. Isso é especialmente relevante neste setor, onde a confiança entre o paciente e os profissionais de saúde depende da confidencialidade e do tratamento ético dos dados. O consentimento, quando obtido de forma clara e destacada, também permite que os pacientes tenham maior poder sobre suas informações, sendo informados das finalidades específicas para as quais seus dados serão utilizados, conforme destacado na LGPD (Dantas, 2021).
Entretanto, a exigência de consentimento encontra algumas exceções no setor de saúde, como em emergências ou quando o tratamento de dados é necessário para a tutela da saúde por profissionais da área. Nesses casos, o consentimento pode ser dispensado para garantir a rápida atuação dos serviços de saúde e a proteção da vida do paciente. Ainda assim, mesmo nessas situações, o tratamento dos dados sensíveis deve respeitar os princípios da minimização e da necessidade, assegurando que apenas as informações estritamente necessárias sejam processados (Dantas, 2021).
Um exemplo prático da relevância desses dados na sociedade pode ser observado no contexto da divulgação de informações sobre os vacinados contra a COVID-19. A questão central envolve o equilíbrio entre a transparência necessária para a formulação de políticas públicas e a proteção dos direitos à privacidade dos indivíduos. Os dados relacionados à saúde, como a situação vacinal, são considerados sensíveis e, se divulgados de maneira inadequada, podem expor os indivíduos a riscos de discriminação, estigmatização ou até mesmo ataques à sua integridade pessoal (Rivabem, 2021).
A divulgação de dados sobre os vacinados, por exemplo, pode ser essencial para o acompanhamento da cobertura vacinal e para garantir a eficácia das campanhas de vacinação. No entanto, esses dados devem ser tratados com o máximo cuidado, garantindo que informações pessoais, como nome, endereço ou outras identificações, sejam anonimizadas para proteger a privacidade dos indivíduos. A exposição inadequada desses dados poderia levar a prejuízos sociais e legais, como a violação do direito à privacidade e à confidencialidade dos dados médicos (Rivabem, 2021).
Esse cenário demonstra a importância de se estabelecer protocolos rigorosos de proteção de dados no setor de saúde, especialmente em emergências sanitárias. A legislação exige que as autoridades e as instituições de saúde sejam responsáveis pela coleta, tratamento e eventual compartilhamento dessas informações, sempre com base em fundamentos legais que priorizem a segurança e a proteção dos direitos individuais, minimizando os riscos associados ao uso inadequado de dados sensíveis (Rivabem, 2021).
Ainda, diante da evolução da prática médica, o surgimento da telemedicina se configurou como uma ferramenta essencial na atualidade, permitindo que serviços de saúde sejam acessados de forma remota e rápida. No entanto, com o aumento da utilização de plataformas digitais para a realização de consultas médicas, surge a maior relevância desses dados sensíveis e a consequente necessidade de reforçar a proteção dos dados de pacientes. Informações de saúde, que incluem diagnósticos, prescrições e históricos médicos, são classificadas como dados sensíveis pela LGPD de extrema relevância, e seu tratamento inadequado pode acarretar sérias consequências para os indivíduos e para a sociedade como um todo (Rego, 2022).
A utilização da telemedicina expõe os pacientes a riscos relacionados à violação de privacidade, visto que os dados de saúde são altamente vulneráveis a ataques cibernéticos ou ao uso indevido por terceiros. Conforme demonstrada a sua importância, a responsabilidade civil em casos de tratamento indevido desses dados tem sido um ponto central nos debates recentes. Nesse contexto, é imperativo que as empresas e profissionais de saúde invistam em tecnologias de criptografia e outras ferramentas de segurança para assegurar que os dados dos pacientes sejam armazenados e transmitidos de maneira segura, respeitando os direitos garantidos pela LGPD e promovendo a confiança no uso dessas ferramentas (Rego, 2022).
Além disso, o impacto da proteção de dados sensíveis de saúde na sociedade transcende o âmbito individual, pois a confiança no sistema de saúde digital é um fator determinante para a adesão da população a esses serviços. A falta de segurança pode não apenas comprometer a integridade dos dados, mas também afetar a relação de confiança entre médico e paciente, desincentivando o uso de telemedicina. Para evitar tais impactos negativos, é fundamental que as regulamentações sejam claras e rigorosamente aplicadas, garantindo que tanto os profissionais de saúde quanto as plataformas de telemedicina estejam adequadamente preparados para lidar com esses desafios éticos e tecnológicos (Rego, 2022).
Com relação ao avanço tecnológico, Sarlet e Ruaro (2021, p. 83) esclarecem:
Não se pode desconhecer que, curiosamente, o meio ambiente virtual apresenta facetas muito singulares, vez que as suas dimensões não se circunscrevem ao espaço e tampouco ao tempo. Outro aspecto relevante encontra-se diretamente relacionado com a capacidade de avanço e de incremento da tecnologia e, dessa maneira, deve ser considerada a impermanência desse ambiente, pois constantemente se altera o próprio conceito de dados pessoais, sobretudo quando se analisa as condições e os graus de identificabilidade que mudam rapidamente em razão de novos modos de armazenamento, de tratamento e de reidentificação dos dados.
Diante disso, revela-se a impermanência do conceito de dados pessoais, impactado por novas formas de armazenamento e reidentificação, especialmente em ambientes virtuais. Quando aplicado aos dados sensíveis de saúde, esse fenômeno se torna ainda mais crítico, dada a vulnerabilidade desses dados à identificação indevida.
Assim, como já evidenciado, a era da tecnologia trouxe uma revolução nos sistemas de saúde, permitindo o armazenamento e compartilhamento de dados de pacientes de maneira mais ágil e acessível. No entanto, com esses avanços surgem também desafios complexos, especialmente no que diz respeito à proteção de dados sensíveis de saúde. Informações como diagnósticos, tratamentos e históricos médicos estão cada vez mais vulneráveis a vazamentos e acessos não autorizados. Quando expostos, esses dados podem ser utilizados indevidamente por terceiros, comprometendo a privacidade do paciente e gerando consequências graves, tanto em termos de segurança pessoal quanto de discriminação no ambiente social e profissional (Sarlet; Ruaro, 2021).
Os impactos de um vazamento de dados sensíveis de saúde podem ser devastadores para os indivíduos afetados. A exposição dessas informações pode resultar em estigmatização social, exclusão no mercado de trabalho e até mesmo em dificuldades de acesso a seguros e outros serviços essenciais. Além disso, o vazamento desses dados pode comprometer a relação de confiança entre médicos e pacientes, fundamental para um tratamento eficaz. A falta de proteção adequada e a negligência no tratamento de dados sensíveis geram um clima de insegurança, desincentivando os pacientes a utilizar serviços de telemedicina ou plataformas digitais de saúde, que são cada vez mais comuns na atualidade (Sarlet; Ruaro, 2021).
Nesse cenário, com a maior importância dada a proteção de dados de saúde, sobreveio a prioridade para a legislação de muitos países, como a LGPD no Brasil, que estabelece diretrizes claras para o tratamento dessas informações. Ainda assim, a rápida evolução tecnológica, associada ao uso de Big Data e inteligência artificial, exige constante atualização das práticas de segurança digital. Sistemas de criptografia avançada, medidas de compliance rigorosas e a conscientização sobre o manejo ético dos dados são cruciais para minimizar os riscos de vazamentos e proteger a privacidade dos pacientes em um mundo cada vez mais digitalizado (Sarlet; Ruaro, 2021).
Diante disso, ressalta-se o princípio da integralidade do SUS, o qual visa garantir que os serviços de saúde ofereçam assistência completa e contínua, abrangendo tanto ações preventivas quanto curativas, e em todos os níveis de complexidade. Para que esse princípio se concretize, é essencial que os dados de saúde dos pacientes sejam gerados e compartilhados de forma ágil e eficiente, permitindo que as informações fluam entre os diferentes níveis de atendimento e possibilitem um cuidado adequado e oportuno. No entanto, apesar de haver a existência da LGPD, a população carece da noção da real importância da proteção desses dados, acarretando a falta de um controle mais rigoroso por parte do próprio paciente (Camara et al, 2021).
Dentro desse contexto, os dados sensíveis de saúde, como históricos médicos e informações sobre tratamentos, precisam ser geridos de maneira que equilibre a necessidade de agilidade com a proteção de privacidade. A geração rápida de dados é crucial para garantir um atendimento eficaz e para a formulação de políticas públicas de saúde baseadas em evidências. No entanto, a insegurança tecnológica, como vulnerabilidades em sistemas de e-Saúde e o risco de vazamento de informações, pode comprometer a confiança dos pacientes no sistema de saúde, além de potencialmente violar os direitos de privacidade assegurados pela LGPD. Assim, é necessário investir em tecnologias que assegurem tanto a velocidade quanto a segurança na manipulação desses dados (Camara et al, 2021).
2.3 A LGPD E O TRATAMENTO DE DADOS SENSÍVEIS NO BRASIL
Importa-se em frisar como a principiologia destacada pela LGPD norteia o tratamento adequado e eficaz dos dados sensíveis no Brasil. Diante disso, o princípio da finalidade, estabelecido no Art. 6º, inciso I, determina que os dados só podem ser coletados e tratados para fins específicos, legítimos e informados ao titular. É imprescindível que o responsável pelo tratamento tenha uma clara justificativa para cada dado solicitado, evitando a generalidade e a alteração da finalidade sem o consentimento prévio. Um exemplo disso seria o tratamento de dados financeiros por uma empresa para processar o pagamento de uma compra, sem usá-los para outros fins (Soler, 2022).
Outro princípio essencial é o da adequação, previsto no Art. 6º, inciso II, que estabelece que o tratamento dos dados deve estar de acordo com a finalidade declarada. Isso significa que não é permitido coletar ou utilizar dados que não sejam necessários para o objetivo específico. Por exemplo, uma loja de alimentos não necessita saber a orientação sexual de um cliente, pois esse dado é irrelevante para a venda. Este princípio reforça a necessidade de limitar a coleta e o uso de informações ao estritamente necessário, evitando excessos e minimizando os riscos de abusos (Soler, 2022).
A segurança dos dados, conforme o Art. 6º, inciso VII, é outro aspecto vital, garantindo que as medidas técnicas e administrativas adequadas sejam implementadas para prevenir vazamentos, acessos não autorizados ou incidentes. As empresas devem trabalhar em conjunto com suas áreas de tecnologia para proteger os dados pessoais de ataques cibernéticos ou acidentes, adotando práticas de auditoria regulares e manutenção de sistemas de segurança. A prevenção de danos é um aspecto crítico, reforçado pelo princípio da prevenção, que exige a adoção de medidas proativas para evitar que os dados sejam comprometidos, garantindo, assim, o respeito aos direitos dos titulares (Soler, 2022).
Antes da entrada em vigor da LGPD, o tratamento de dados de saúde no Brasil carecia de uma regulamentação específica e abrangente. As leis existentes, como o Código de Defesa do Consumidor e o Marco Civil da Internet, ofereciam algumas diretrizes sobre a privacidade e a proteção de dados, mas não tratavam diretamente da sensibilidade dos dados de saúde. Esses dados eram muitas vezes manipulados de forma despadronizada por empresas, hospitais e profissionais de saúde, sem critérios claros para obtenção de consentimento ou protocolos robustos de segurança. Consequentemente, não havia uma supervisão adequada quanto à forma de coleta, armazenamento e compartilhamento dessas informações (Sernégio, 2022).
Diante disso, expressa-se entendimento de Lima (2017, p. 17):
Em matéria de saúde não é diferente, a saúde eletrônica exige do cidadão que, para ter acesso à prestação do serviço à saúde, forneça dados pessoais, os quais são armazenados; e o perigo ocorre exatamente no uso secundário desses dados. Isso porque por vezes o uso secundário acontece não só para a utilização de aperfeiçoamento dos serviços saúde pública, ou para pesquisas, estatística e controle epidemiológico, conforme já ressaltado. Mas pode calhar, que em razão da facilidade do acesso a esses dados, eles recaiam no domínio de terceiros não envolvidos na prestação dos serviços de saúde, como entidades privadas, prestadoras de serviços e produtos no mercado de consumo.
Percebe-se, assim, que na ausência de transparência e segurança no armazenamento dessas informações agrava a vulnerabilidade dos indivíduos, tornando difícil a responsabilização em casos de uso indevido. Isso evidencia a necessidade urgente de normas que garantam o controle dos pacientes sobre seus próprios dados e assegurem práticas de proteção adequadas.
A falta de normas específicas fazia com que os pacientes tivessem pouca ou nenhuma garantia de controle sobre os seus dados de saúde. Informações sensíveis, como histórico médico, diagnósticos e tratamentos, podiam ser compartilhadas com terceiros sem consentimento explícito, muitas vezes para finalidades comerciais, como seguros ou marketing. A ausência de transparência também dificultava a fiscalização e tornava complexa a responsabilização em casos de vazamento ou uso indevido dos dados de saúde. Era comum que esses dados fossem armazenados de maneira vulnerável, muitas vezes sem a adoção de medidas adequadas de proteção contra acessos não autorizados (Sernégio, 2022).
Além disso, embora existissem normas éticas no campo da medicina e diretrizes profissionais que orientassem os profissionais da saúde sobre a confidencialidade, essas medidas eram limitadas. Não havia um padrão legal unificado que exigisse, por exemplo, o uso de técnicas de anonimização ou criptografia para proteger as informações de saúde dos pacientes. Isso deixava tanto as instituições quanto os indivíduos vulneráveis, uma vez que não havia um arcabouço jurídico claro para a responsabilização ou para a reparação de danos em casos de falhas na proteção de dados pessoais de saúde (Sernégio, 2022).
A ausência de uma regulamentação clara dentro da LGPD em termos de proteção cibernética dos dados de saúde leva à adoção de práticas variadas e, muitas vezes, insuficientes. As instituições precisam recorrer a padrões internacionais ou diretrizes específicas da indústria para desenvolver seus mecanismos de segurança. Essa falta de padronização pode resultar em vulnerabilidades, já que diferentes organizações adotam abordagens dispares, o que facilita a atuação de criminosos cibernéticos. Além disso, a rápida evolução das ameaças cibernéticas exige que as soluções de proteção sejam constantemente revisadas e atualizadas (Farias, 2022).
O cenário se agrava quando se trata de dados sensíveis, que vão além das informações pessoais e incluem dados sobre a saúde física e mental dos indivíduos, que podem ser explorados para diversos fins ilícitos. A fragilidade na proteção desses dados pode causar prejuízos irreparáveis aos titulares, incluindo a discriminação, extorsão ou mesmo o uso indevido dessas informações para fins comerciais. Nesse contexto, é essencial que empresas e governos trabalhem juntos para criar e implementar soluções de segurança cibernética robustas, garantindo a integridade e confidencialidade dos dados sensíveis (Farias, 2022).
Ademais, a vulnerabilidade dos mecanismos de gestão de dados sensíveis no setor público, especialmente no tratamento de dados da população coletados pela administração pública municipal, é uma questão urgente. Esses dados, como informações de saúde, biométricas e de perfil socioeconômico, precisam ser protegidos de forma eficiente para garantir a privacidade dos cidadãos. No entanto, a administração pública, muitas vezes, não implementa de forma adequada os mecanismos de proteção estabelecidos pela LGPD, expondo a população a riscos de vazamento e uso indevido das informações sensíveis (Balbino; Silva, 2024).
À título de exemplo, os procedimentos de gestão para o tratamento de dados sensíveis na administração pública municipal da região do Alto Paranaíba carecem de atualização e adequação às inovações normativas e tecnológicas. A ausência de uma abordagem uniforme no tratamento desses dados coloca em evidência a vulnerabilidade cibernética dos sistemas municipais, já que muitos não possuem políticas claras ou infraestrutura tecnológica robusta para evitar a exploração de falhas. Além disso, a falta de treinamento contínuo dos servidores públicos aumenta o risco de práticas inadequadas, que podem comprometer a segurança dos dados da população (Balbino; Silva, 2024).
Uma mudança necessária nos procedimentos de gestão envolve não apenas a implementação de tecnologias de ponta, mas também o desenvolvimento de programas de governança e compliance específicos para a proteção de dados sensíveis. A capacitação periódica dos servidores é essencial para assegurar que as novas regulamentações e ferramentas sejam aplicadas corretamente, minimizando os riscos de vazamentos. A adoção de programas de compliance dentro da administração pública municipal pode ser um fator decisivo para a implementação de uma governança eficiente, garantindo que os dados sensíveis sejam tratados com o nível de segurança exigido pela legislação vigente (Balbino; Silva, 2024).
No que diz respeito à implementação de políticas robustas de segurança da informação, é fundamental a adoção de abordagem proativa na proteção de dados sensíveis. Isso inclui a modernização das infraestruturas tecnológicas e a criação de protocolos claros para o tratamento de dados, com medidas preventivas contra vazamentos e acessos não autorizados. Além disso, a adoção de programas de governança digital, alinhados com as melhores práticas internacionais, pode garantir que os dados da população sejam protegidos de forma eficiente, reforçando a confiança dos cidadãos nos serviços prestados pela administração pública. A conscientização contínua dos servidores e o investimento em tecnologias apropriadas são passos essenciais para garantir a segurança e a privacidade das informações (Balbino; Silva, 2024).
2.4 DIFERENÇA ENTRE A TITULARIDADE E A PROPRIEDADE DOS DADOS
Titularidade e propriedade são conceitos fundamentais no campo do direito, mas possuem diferenças claras em suas definições e aplicações. A titularidade está relacionada ao direito de exercer controle, gestão ou administração sobre determinado bem, sem que isso implique necessariamente na posse plena desse bem. Em outras palavras, o titular pode ter o direito de uso, fruição e até de dispor do bem em algumas circunstâncias, mas não é, necessariamente, o proprietário. Já a propriedade é um direito mais amplo e absoluto, que confere ao proprietário o domínio total sobre o bem, permitindo-lhe usar, gozar, dispor e reivindicá-lo contra terceiros. A propriedade, portanto, é um direito real que envolve a plena e total integração entre o indivíduo e o bem (Oliveira; Borges, 2009).
A titularidade, em muitos casos, pode ser entendida como uma fração ou um aspecto dos direitos que compõem a propriedade. Por exemplo, no caso de um contrato de arrendamento, o arrendatário tem a titularidade do uso do bem durante o período acordado, mas a propriedade permanece com o arrendador. O arrendatário pode usar o bem e, em alguns casos, até obter benefícios econômicos com ele, mas não pode vendê-lo ou transferi-lo sem o consentimento do proprietário. A titularidade, portanto, é um direito mais limitado, muitas vezes restrito a um período específico ou a uma função determinada, enquanto a propriedade é um direito de caráter permanente, salvo exceções legais ou contratuais (Oliveira; Borges, 2009).
A propriedade, por outro lado, confere ao proprietário um conjunto mais abrangente de em direitos sobre o bem. O proprietário tem o direito de usar o bem de forma irrestrita, salvo limitações legais, além de poder usufruir dos frutos gerados por ele e dispor do bem da maneira que desejar, seja vendendo, doando, alugando ou transmitindo como herança. Além disso, o direito de propriedade permite que o proprietário reivindique a posse do bem contra terceiros que estejam indevidamente em sua posse, configurando um direito erga omnes, ou seja, oponível contra todos. Essa amplitude de poderes distingue claramente a propriedade da titularidade, que pode ser temporária ou restrita (Oliveira; Borges, 2009).
Assim, a distinção entre titularidade e propriedade está principalmente no escopo e na permanência dos direitos conferidos a cada figura. A titularidade envolve o controle de alguns aspectos do bem, sem necessariamente conferir a posse plena, sendo, muitas vezes, transitória e sujeita a condições específicas. A propriedade, em contrapartida, é um direito mais robusto e abrangente, que envolve a totalidade dos poderes sobre o bem e confere ao proprietário o direito de dispor dele de maneira definitiva. Dessa forma, embora ambos os conceitos estejam relacionados ao controle de um bem, a titularidade reflete uma relação mais limitada e condicionada, enquanto a propriedade garante um domínio pleno e duradouro (Oliveira; Borges, 2009).
A LGPD define a titularidade de dados pessoais de maneira centralizada no conceito de “titular,” que é a pessoa física a quem os dados se referem. Ou seja, o titular é o verdadeiro dono dos seus dados pessoais, independentemente de quem os coleta, armazena ou processa. A LGPD assegura ao titular o controle sobre suas informações, garantindo-lhe o direito de saber como seus dados estão sendo usados e a possibilidade de solicitar sua correção, exclusão ou até mesmo a revogação do consentimento previamente concedido para o tratamento (Sousa, 2020).
Com isso, Feijó (2019, p. 67), define a lógica proprietária em relação aos dados pessoais:
A propriedade é um direito perpétuo, absoluto e ilimitado que, apesar das ressalvas constitucionais 305 e legais (art. 1.228. do CC/02)306 quanto à sua função social, possui uma lógica individualista e excludente, incompatível com a fluidez dos dados. Há uma dimensão intrínseca aos dados pessoais que diz respeito às consequências sociais e do próprio interessado, a qual não pode ser ignorada. [...] Com efeito, a caracterização dos dados pessoais como objeto do direito de propriedade modificaria a própria natureza do direito à proteção dos dados pessoais como herdeira da privacidade. Os dados pessoais tornar-se-iam nada mais do que um dos muitos títulos negociados no mercado, sem o cabimento de restrições imprescindíveis para a concretização da proteção de dados. Entretanto, esse direito se insere no quadro dos direitos da personalidade, e, por isso, qualquer intervenção na relação entre o indivíduo e suas próprias informações exige pelo menos o pressuposto do real consentimento do titular, em vista do efetivo controle dos próprios dados pessoais, o que provavelmente restaria prejudicado com a aplicação do raciocínio proprietário.
Assim, diferentemente da lógica de propriedade tradicional, a titularidade de dados pessoais na LGPD não implica posse, como ocorre com bens materiais. A LGPD estabelece que o tratamento dos dados deve respeitar o consentimento explícito e informado do titular, além de outros princípios como finalidade, adequação e necessidade. Dessa forma, o titular mantém o controle sobre suas informações e tem o direito de determinar para quais finalidades seus dados serão utilizados, podendo revogar essa permissão a qualquer momento (Sousa, 2020).
A titularidade dos dados também implica uma série de direitos específicos garantidos pela LGPD, como o direito de acessar os dados que estão sendo processados, solicitar a portabilidade para outro fornecedor de serviços e ser informado sobre qualquer compartilhamento com terceiros. Esses direitos refletem o princípio da autodeterminação informacional, que busca proteger a privacidade e garantir que o titular tenha a última palavra sobre o destino e uso de seus dados pessoais, independentemente de serem sensíveis ou não (Sousa, 2020).
Diante disso, recapitula-se que a lógica proprietária aplicada aos dados pessoais e a titularidade desses dados são temas que se mostram incompatíveis. No direito de propriedade, os bens são apropriáveis, passíveis de alienação total ou parcial, conferindo ao titular o poder de dispor, usar e gozar conforme sua vontade. Contudo, os dados pessoais não se enquadram nesse conceito. Eles estão profundamente conectados à identidade e personalidade do indivíduo, configurando-se mais como uma extensão da pessoa e não como um objeto de propriedade que possa ser livremente comercializado ou alienado (Feijó, 2019).
