CompartilharComentarSiga-nos no
A A
1. Introdução
A proteção de dados pessoais tornou-se uma preocupação crescente no meio empresarial, especialmente no que se refere às informações sensíveis dos empregados fornecidas à medicina do trabalho. Recentemente, o STJ, ao julgar o REsp 2.121.904, reafirmou a relevância do tema ao decidir que o vazamento de dados pessoais pode gerar dano moral presumido, independentemente da comprovação de prejuízo concreto.
A questão, contudo, transcende esse caso específico, pois a necessidade de um tratamento adequado dos dados sensíveis dos trabalhadores é contínua e deve acompanhar a evolução social.
Nesse contexto, examinamos as implicações do vazamento de dados sensíveis e a responsabilidade do empregador na medicina do trabalho, ressaltando o dever inescusável das instituições, públicas ou privadas, de garantir a proteção dessas informações.
“Mutatis mutandis”, o julgamento do STJ reforça que a proteção de dados não é apenas uma exigência regulatória, mas um elemento essencial para a segurança e a confiança no ambiente corporativo. Assim, cabe ao empregador assegurar o tratamento diligente dessas informações, prevenindo riscos de vazamento e suas consequências legais e reputacionais.
A proteção de dados sensíveis no ambiente laboral constitui um direito fundamental dos trabalhadores, especialmente no que se refere às informações de saúde coletadas no contexto da medicina do trabalho. A confidencialidade dessas informações está resguardada por normativas nacionais e internacionais, como o Código de Ética Médica e a LGPD – Lei Geral de Proteção de Dados (lei 13.709/18), que impõem deveres rigorosos aos empregadores e profissionais de saúde na gestão desses dados.
A realidade evidencia que violações a essas normas são frequentes, acarretando impactos negativos para os trabalhadores. Um exemplo emblemático desse problema é a recorrente divulgação, por parte do médico do trabalho vinculado ao empregador, de informações médicas sigilosas de servidores sem o devido consentimento. Essas informações, armazenadas em bancos de dados internos ou processos administrativos eletrônicos de entes federativos, permitem, de forma inadequada, o acesso indevido por terceiros alheios à área da saúde ocupacional. A exposição imprópria de dados tão sensíveis não apenas infringe o direito à privacidade, mas também configura um grave dano presumido ao trabalhador.
Nesse contexto, o presente artigo visa o deslinde da presunção do dano decorrente do vazamento de dados sensíveis por parte da instituição empregadora, analisando as consequências jurídicas dessa violação e as medidas de responsabilização previstas na legislação brasileira. Por meio de embasamento normativo, busca-se evidenciar a necessidade de um tratamento rigoroso para coibir tais práticas e assegurar a efetiva proteção dos direitos dos trabalhadores.
2. O conceito de dano presumido no contexto do vazamento de dados
O dano presumido, também denominado “in re ipsa”, é aquele que independe de comprovação concreta, pois decorre diretamente do fato ilícito. No caso do vazamento de dados sensíveis, como informações médicas de empregados, o simples fato da exposição indevida já seria suficiente para configurar o dano moral, sem a necessidade de demonstrar prejuízos específicos.
O entendimento sobre o dano presumido tem sido consolidado pela jurisprudência brasileira, que considera que a exposição indevida de informações pessoais, por si só, compromete direitos fundamentais dos indivíduos, como a privacidade e a dignidade.
3. A responsabilidade civil pelo vazamento de dados na medicina do trabalho
A responsabilidade civil pelo vazamento de dados sensíveis pode ser atribuída a diversas partes envolvidas, incluindo empregadores, empresas terceirizadas de gestão ocupacional e profissionais de saúde. De acordo com a LGPD, aqueles que realizam o tratamento de dados pessoais devem adotar medidas técnicas e organizacionais para garantir a segurança dessas informações.
Nos casos em que há violação da proteção de dados, pode-se aplicar a teoria do risco, que prevê a responsabilidade objetiva do agente que realiza a atividade de tratamento de informações sensíveis. Assim, basta a comprovação do vazamento para que haja a obrigação de indenizar o titular dos dados expostos.
4. Medicina do trabalho e suas responsabilidades
Medicina do trabalho tem como principal objetivo promover e preservar a saúde dos trabalhadores, prevenindo doenças ocupacionais e acidentes de trabalho. Seus deveres incluem: garantir a saúde e segurança do trabalhador, realizar exames médicos ocupacionais (admissionais, periódicos, de retorno ao trabalho, de mudança de função e demissionais); identificar e prevenir doenças ocupacionais e agravos à saúde relacionados ao trabalho, tal qual recomendar medidas para adequação do ambiente de trabalho, visando a redução de riscos à saúde.
Não obstante, as inúmeras atribuições de prevenção e monitoramento de acidentes de trabalho, cumprimento de legislação trabalhista e de saúde ocupacional, a medicina do trabalho deve manter os registros médicos dos trabalhadores de forma segura e sigilosa, conforme a LGPD – Lei Geral de Proteção de Dados.
Nessa esteira, a medicina de fato deve devotar zelo pelo sigilo médico e ética profissional, trocando em miúdos respeitar o sigilo das informações médicas dos empregados, compartilhando dados apenas quando autorizado ou exigido por lei, evitando qualquer hipótese de discriminação de trabalhadores por questões de saúde, atuando com independência técnica, sem sofrer pressões da empresa para omitir ou alterar diagnósticos.
5. Norma preceitua observações à medicina do trabalho
Entre as inúmeras motivações que justificam a elaboração deste artigo, destaca-se a necessidade de distinguir com clareza a atuação do médico do trabalho, à luz dos princípios consagrados na CF/88 e na legislação vigente. Em resumo o médico do trabalho atua em colaboração com seus colegas, defendendo os interesses da instituição, seja ela pública ou privada. No entanto, ao atender os colaboradores, é fundamental que todos os dados sensíveis sejam tratados com o devido cuidado e proteção.
Assim, se um médico do trabalho deixar dados de um empregado vulneráveis ou acessíveis a funcionários da empresa que não fazem parte da área médica, isso pode resultar em diversas infrações, dependendo do contexto e da legislação aplicável. A seguir, apresento as principais implicações dessa situação.
6. Princípios esculpidos em CF protege dados sensíveis
Nossa carta política preceitua o vazamento de dados sensíveis, especialmente aquele sob guarda dos médicos ligados à medicina do trabalho de uma instituição ( seja ela público ou privada) representa uma séria violação aos princípios constitucionais da intimidade, privacidade e dignidade da pessoa humana, assegurados no art. 5º, incisos X e XII, da CF/88. Informações médicas dos colaboradores, como diagnósticos, tratamentos e condições de saúde, são protegidas pelo sigilo profissional e não podem ser divulgadas sem consentimento, sob risco de causar danos morais e discriminação no ambiente de trabalho, conforme segue:
Art. 5º, (…) X: Garante a inviolabilidade da intimidade, vida privada, honra e imagem, assegurando indenização pelo dano material ou moral decorrente de sua violação.
Demais disso, a quebra do sigilo médico fere os princípios da isonomia e da proteção ao trabalhador, podendo resultar em práticas abusivas, como demissões discriminatórias ou restrições indevidas a oportunidades dentro da empresa. O art. 1º, inciso III, da CF/88, que estabelece a dignidade da pessoa humana como fundamento da república, reforça a necessidade de proteger essas informações para evitar constrangimentos e violações de direitos fundamentais.
Nessa quadra, recente decisão do STJ reconheceu o dano presumido decorrente do vazamento de dados sensíveis, ressaltando que o empregador, seja público ou privado, deve adotar medidas de segurança digital mais eficazes, garantindo conformidade com a LGPD – Lei Geral de Proteção de Dados e os princípios constitucionais.
Todavia, a implementação de políticas rigorosas de sigilo e a responsabilização dos agentes que permitirem ou facilitarem tais vazamentos são essenciais para a preservação dos direitos fundamentais, sobretudo aqueles os princípios insculpidos em magna carta. Para garantir a proteção desses dados, as empresas devem adotar políticas de compliance alinhadas à LGPD e às normas do Conselho Federal de Medicina.
A rigor o descumprimento dessas regras pode acarretar responsabilidade civil, administrativa e até penal para o profissional e para a organização. Demais a mais, exige-se a implementação de medidas preventivas eficazes para evitar prejuízos aos trabalhadores e à própria reputação empresarial ou institucional, especialmente nos casos de vazamento de dados na medicina do trabalho de órgãos públicos.
7. O Código de Ética Médica preceitua zelo a dados sensíveis
O sigilo das informações médicas é um dos pilares fundamentais da relação entre médico e paciente. A preservação da confidencialidade dos dados sensíveis está diretamente relacionada à dignidade da pessoa humana e à segurança do paciente, sendo um dever ético e legal dos profissionais de saúde.
Conforme exposto alhures, reiteramos que o vazamento dessas informações pode acarretar sérias consequências, tanto no âmbito ético quanto no legal e social.
Não é outro a inteligência inserte no Código de Ética Médica, instituído pelo CFM – Conselho Federal de Medicina, o qual prevê em seus artigos a obrigatoriedade do sigilo profissional, reforçando que as informações obtidas no exercício da medicina só podem ser reveladas em situações expressamente previstas em lei ou com a devida autorização do paciente. O art. 73 do Código estabelece que:
“É vedado ao médico revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por justa causa, dever legal ou autorização expressa do paciente.”
Na mesma toada, os arts. 74 e 75 prescreve o comando taxativo sobre a violação de dados sensíveis, “verbum ad verbum”:
Art. 74: É vedado ao médico utilizar dados confidenciais do paciente para obtenção de vantagem pessoal ou de terceiros;
Art. 75: É vedado ao médico permitir o manuseio ou o conhecimento de prontuários médicos por pessoas não obrigadas ao sigilo.
Nesse esteio, mister destacar que a quebra indevida desse sigilo configura falta ética grave e pode resultar em sanções disciplinares aplicadas pelo CRM – Conselho Regional de Medicina, como advertência, censura, suspensão do exercício profissional e, em casos extremos, a perda do registro profissional.
8. Previsões da LGPD – Lei Geral de Proteção de Dados (lei 13.709/18)
Além das obrigações éticas inerentes à profissão médica, o vazamento de dados sensíveis no contexto médico também acarreta sérias consequências jurídicas. A LGPD – Lei Geral de Proteção de Dados Pessoais (lei 13.709/18) estabelece diretrizes para a coleta, armazenamento e compartilhamento de dados pessoais, incluindo informações sensíveis, como as relacionadas à saúde.
O art. 42 da LGPD prevê penalidades para o uso indevido dessas informações, podendo incluir multas de até 2% do faturamento da empresa ou entidade responsável, limitadas a R$ 50 milhões por infração. A divulgação não autorizada de dados sensíveis configura uma violação expressa aos seguintes dispositivos:
(…)
Art. 5º, II e X: Dados de saúde são considerados sensíveis e demandam maior proteção legal;
(…)
Art. 7º: O tratamento de dados pessoais exige consentimento expresso do titular ou finalidade legítima e clara;
(…)
Art. 46: O controlador deve adotar medidas de segurança, técnicas e administrativas para proteger os dados.
9. Na violação de dados sensíveis o dano moral presumido
Dentro desse contexto, os chamados dados pessoais sensíveis recebem proteção legal ainda mais rigorosa, pois sua exposição pode resultar em discriminação. Entre eles estão informações relacionadas à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação sindical ou a organizações de cunho religioso, filosófico ou político, além de dados sobre saúde, vida sexual, genética ou biometria (art. 5º, II, da LGPD).
A LGPD – Lei Geral de Proteção de Dados preceitua o tratamento diferenciado para os dados pessoais, de acordo com seu nível de sensibilidade, visando à proteção dos direitos fundamentais e ao livre desenvolvimento da personalidade da pessoa natural. Os dados pessoais são definidos como o conjunto de informações que permitem identificar uma pessoa (art. 5º, I, da LGPD).
O tratamento de dados pessoais – incluindo coleta, armazenamento e compartilhamento – deve obedecer às hipóteses previstas no art. 7º da LGPD. No caso dos dados sensíveis, as exigências são ainda mais rigorosas, sendo, em regra, obrigatório o consentimento específico e destacado do titular para seu uso. Essa proteção reforçada está prevista no art. 11 da LGPD, conforme se observa:
(…)
11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
(…) f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
10. Responsabilidade objetiva em vazamento de dados sensíveis
Inobstante o exposto acima, o vazamento de dados pessoais deve se tornar uma preocupação no ambiente corporativo, especialmente quando envolve informações sensíveis fornecidas à medicina do trabalho. A responsabilidade do empregador vai além da mera coleta e armazenamento seguro dessas informações, abrangendo também a obrigação de garantir que seus parceiros e prestadores de serviço adotem medidas rigorosas para prevenir acessos indevidos e exposições não autorizadas.
Porquanto deve-se devotar zelo a mínima hipótese de vazamento de dados sensíveis no contexto médico, posto que isso pode acarretar graves repercussões a vida do colaborador e disso recorre a consequências jurídicas. De fato, a LGPD – Lei Geral de Proteção de Dados Pessoais (lei 13.709/18) estabelece diretrizes para a coleta, armazenamento e compartilhamento de dados pessoais, incluindo aqueles classificados como sensíveis, como informações sobre a saúde do trabalhador.
Nesse passo, a responsabilidade do empregador é objetiva, ou seja, independe de culpa, bastando a ocorrência do dano para que haja obrigação de reparação. Esse entendimento decorre da aplicação do art. 42 da LGPD e do art. 927, parágrafo único, do CC, que preveem a responsabilização independentemente da comprovação de dolo ou culpa sempre que a atividade representar risco aos direitos de terceiros.
No que tange à imprescindível proteção de dados sensíveis prevista na LGPD, é fundamental considerar o entendimento doutrinário sobre o tema. Como destaca Miriam Wimmer:
“A LGPD estabelece um regime de responsabilidade robusto e coerente com os desafios da sociedade da informação, impondo obrigações não apenas na adoção de medidas preventivas, mas também na reparação de danos decorrentes do tratamento inadequado de dados pessoais, especialmente os sensíveis.” (Proteção de Dados Pessoais no Brasil, 2021)”
Ao ensejo, a conformidade com a LGPD não deve ser vista apenas como uma exigência legal, mas como um imperativo estratégico, evitando não apenas sanções administrativas, mas também prejuízos reputacionais e financeiros às empresas e órgãos públicos.
11. Impacto do REsp 2.121.904 julgado pelo STJ
A recente jurisprudência do STJ reforça a importância da proteção de dados pessoais. No REsp 2.121.904, a Corte consolidou o entendimento de que o vazamento de dados pode gerar dano moral presumido, sem necessidade de comprovação de prejuízo concreto. Essa decisão amplia a responsabilidade das empresas e destaca a necessidade de adoção de medidas rigorosas de segurança da informação para garantir conformidade com a LGPD – Lei Geral de Proteção de Dados.
Em 11/2/25, o STJ trouxe à baila precedente significativo reafirmando que a simples exposição indevida de dados pode, por si só, comprometer a privacidade e segurança dos titulares, dispensando a comprovação de danos materiais ou psicológicos. Embora o caso analisado envolvesse uma seguradora, a decisão tem repercussões amplas, atingindo todas as empresas que lidam com informações pessoais, incluindo aquelas que compartilham dados de empregados com serviços de saúde ocupacional.
No contexto da medicina do trabalho, os empregadores têm a obrigação legal de coletar e compartilhar dados dos funcionários com profissionais e empresas terceirizadas para atender às normas de saúde ocupacional. No entanto, a LGPD exige que essa transmissão ocorra sob padrões elevados de segurança, garantindo a confidencialidade e a integridade dessas informações.
A decisão do STJ reforça o entendimento de que a responsabilidade objetiva se aplica em casos de vazamento de dados sensíveis. Os ministros enfatizaram o disposto na LGPD, que estabelece:
“Aquele que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo” (art. 42, LGPD).
Dessa forma, quando ocorre uma violação ao direito do titular, especialmente no caso de dados sensíveis, não há justificativa para afastar a responsabilidade objetiva do empregador, consoante se depreende da inteligência inserte em decisão do STJ em REsp 2.121.904.
12. Epilogo
Considerando o exposto acima, entendo que o julgamento do STJ reforça que a proteção de dados não é apenas uma exigência regulatória, mas um elemento essencial para a segurança e a confiança tanto no ambiente corporativo quanto no funcionalismo público. No âmbito trabalhista, a Justiça do Trabalho tem consolidado entendimentos no sentido de que o vazamento de dados sensíveis dos empregados pode ensejar a responsabilidade do empregador, com fundamento na LGPD e nos princípios da dignidade da pessoa humana e da privacidade previstos na CF/88.
Diversos julgados reconhecem que a exposição indevida de informações como prontuários médicos pode resultar na obrigação de indenizar os trabalhadores pelos danos materiais e morais sofridos. O TST, em recentes decisões, tem reiterado que a inobservância das normas de proteção de dados pode configurar violação aos direitos da personalidade, justificando a condenação do empregador ao pagamento de indenizações compatíveis com o prejuízo causado.
Assim, tanto empresas privadas quanto instituições públicas devem adotar medidas rigorosas para assegurar o tratamento adequado dos dados sensíveis de seus colaboradores, prevenindo riscos de vazamento e suas consequências legais e reputacionais. O cumprimento das diretrizes da LGPD, aliado à observância da jurisprudência trabalhista, é indispensável para mitigar responsabilidades e preservar a integridade das relações de trabalho.
É imprescindível destacar o recente julgamento do STJ, que evidencia a proteção de dados não apenas como uma exigência regulatória, mas como um elemento fundamental para a segurança e a confiança no ambiente corporativo e no funcionalismo público. Nesse contexto, cabe ao empregador, seja uma empresa privada ou uma instituição pública, assegurar que os dados sensíveis de seus colaboradores sejam tratados com a devida diligência, prevenindo riscos de vazamento e suas consequências legais e reputacionais.
Por fim, ressalto que o vazamento de dados sensíveis na medicina do trabalho representa uma grave ameaça aos direitos fundamentais dos trabalhadores, exigindo das empresas uma postura proativa e diligente na proteção dessas informações. A caracterização do dano presumido nesses casos reforça a necessidade de um tratamento seguro e responsável dos dados, sob pena de responsabilização civil e aplicação de sanções legais.
Hélio Silva de Vasconcelos Mendes Veiga
Procurador, Parecerista e Especialista em Direito Penal, Pós-Graduado em Direito Público (FDDJ), Orientador do IBCCRIM, é autor de diversas obras e publicações na área jurídica.
