Comentário Gabaritado – LGPD e Tratamento de Dados Sensíveis na Saúde

1. Interpretação e Tema Central:
A questão aborda o tratamento de dados pessoais sensíveis (dados de saúde) por hospitais e empresas de tecnologia, com ênfase no consentimento do titular, medidas de segurança e transferência internacional, todos regulados pela Lei Geral de Proteção de Dados Pessoais (LGPD, Lei n° 13.709/2018).

2. Fundamentos Legais:
O art. 11 impõe regras rigorosas para o tratamento de dados sensíveis, exigindo consentimento específico e destacado, salvo exceções estritas. Ademais, o art. 33 detalha condições para transferência internacional, inclusive a necessidade de consentimento do titular ou garantias adequadas.

3. Exemplo Prático:
Suponha um hospital que encaminha laudos de pacientes para análise de uma empresa estrangeira, sem comunicar os pacientes. Se houver vazamento de informações ou ausência de consentimento, há clara infringência à LGPD.

4. Justificativa da Alternativa Correta (B):
A alternativa B é correta pois reúne três infrações fundamentais: a) falta de consentimento expresso e específico do titular para novo uso dos dados (art. 11, I); b) ausência de anonimização (art. 11, III, c); c) insegurança sistêmica. A doutrina de Bruno Bioni reforça: “ausência de consentimento específico para dados sensíveis configura infração à LGPD”.

5. Análise das Alternativas Incorretas:
A) Equívoco: o operador responde solidariamente em caso de descumprimento das instruções do controlador (art. 42), e o compartilhamento internacional não isenta de responsabilidade.
C) Incompleta: ainda que o país seja “adequado”, o consentimento pode ser exigido (art. 33, I e II).
D) Errada: tratamento de dados para pesquisa demanda anonimização, e a pseudonimização não exclui a aplicação da LGPD.
E) Incorreta: O operador pode ser responsabilizado solidariamente se agir com dolo ou culpa (art. 42, §1º).

6. Estratégias de Leitura e Alertas:
Destacar a exigência de consentimento expresso, anonimização e segurança ao tratar dados sensíveis. Atenção à diferença entre operador e controlador: ambos podem ser responsabilizados.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

• LGPD, art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

• I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.

Ausente imprescindibilidade no tratamento (LGPD, art. 11, II) e demonstrada a ausência de medidas segurança (LGPD, art. 6º, VII), conclui-se pela infringência à Lei Geral de Proteção de Dados.

Observação

• LGPD, art. 5º, II. Para os fins desta Lei, considera-se dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Gabarito: b.

@jvmfischer

GABARITO: B

É possível responder a questão com as seguintes informações: é necessária autorização para tratamento de dados sensíveis e o operador responde solidariamente.

Lei n. 13.709/18 (LGPD)

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.

Art. 42 § 1º [...]

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei.

Letra B) (GABARITO) O tratamento de dados sensíveis exige consentimento expresso e específico do titular, e sua ausência, aliada à falta de medidas de segurança e anonimização, caracteriza infração grave à LGPD.  

Art. 5º Para os fins desta Lei, considera-se:

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

Letra C) A transferência internacional de dados sensíveis para servidores na Europa é lícita, desde que o país de destino

possua legislação semelhante à brasileira, independentemente de consentimento do titular.

Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

Letra D) A LGPD não se aplica ao tratamento de dados realizados com fins de desenvolvimento tecnológico e pesquisa científica, desde que os dados sejam pseudonimizados.

Não há essa previsão no art. 4º da LGPD.

Letra E) A responsabilidade pela infração recai exclusivamente sobre o hospital, enquanto controlador, sendo o operador isento de responsabilização por atos realizados no exercício da atividade delegada.

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

Talvez um dos temas mais relevantes no estudo da LGPD seja a ideia e o consequente tratamento concedido aos "DADOS SENSÍVEIS".

Art. 5º, II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Isso porque tais dados estão diretamente relacionados aos direitos da personalidade do indivíduo, ocasionando a necessidade de um maior cuidado no seu tratamento. Se você lembrar disso, já é meio caminho andado.

Mapeando... Caem sempre os mesmos artigos, súmulas, e julgados nos concursos.

LGPD Mapeada

Art. 5º Para os fins desta Lei, considera-se:

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Onde foi cobrado? (clique para ver a questão):

• FGV – 2024 – ENAM I.
• FGV – 2025 – TJ-CE – Magistratura Estadual.
• FGV – 2025 – TJ-SC – Magistratura Estadual.
• FGV – 2024 – TJ-SC – Magistratura Estadual.
• FGV – 2023 – TST – Magistratura do Trabalho.
• IBGP – 2024 – MPE-MG – Ministério Público.
• VUNESP – 2024 – MPE-RO – Ministério Público.
• VUNESP – 2024 – MPE-RO – Ministério Público.
• FGV – 2024 – ENAM I (Reaplicação).
• MPE-RS – 2023 – MPE-RS – Ministério Público.
• CESPE – 2022 – MPE-TO – Ministério Público.
• FCC – 2021 – PGE-GO – Procuradoria Estadual.
• FCC – 2023 – DPE-ES – Defensoria Pública.
• FCC – 2021 – DPE-BA – Defensoria Pública.
• VUNESP – 2022 – PC-SP – Delegado de Polícia.
• VUNESP – 2021 – TJ-GO – Cartório Notas e Registros.
• VUNESP – 2021 – TJ-GO – Cartório Notas e Registros.

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

Onde foi cobrado? (clique para ver a questão):

• FGV – 2025 – TJ-CE – Magistratura Estadual.
• FGV – 2023 – TJ-ES – Magistratura Estadual.
• TRF-3 – 2022 – TRF-3 – Magistratura Federal.
• CESPE – 2022 – MPE-TO – Ministério Público.
• CESPE – 2023 – AGU – Procuradoria da Fazenda Nacional.
• FGV – 2022 – PGE-SC – Procuradoria Estadual.
• FCC – 2021 – PGE-GO – Procuradoria Estadual.
• FGV – 2021 – DPE-RJ – Defensoria Pública. 
• VUNESP – 2021 – TJ-GO – Cartório Notas e Registros. 

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no artigo 43 desta Lei;

Onde foi cobrado? (clique para ver a questão):

• FGV – 2025 – ENAM IV.
• FGV – 2025 – TJ-CE – Magistratura Estadual.
• FGV – 2023 – DPE-RJ – Defensoria Pública.
• FGV – 2021 – DPE-RJ – Defensoria Pública. 

Não consegui postar o mapeamento completo por falta de espaço.

Fonte: Método DPN (direitoparaninjas.com.br)