"Vacinômetro": prefeituras divulgam ilegalmente dados de vacinação da população

Prefeituras de pelo menos dez estados do país estão descumprindo a lei ao tornar públicos dados sensíveis da população em seus sites oficiais. Entre as informações divulgadas estão: dados de vacinação, como lote, data da vacinação e número de doses; suas comorbidades, como obesidade e diabetes; e também informações pessoais como CPF e Cartão Nacional de Saúde (CNS). 

Advogados consultados por A Investigação questionam a publicação destas informações e alegam graves violações à Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, à Lei de Acesso à Informação (LAI), Lei nº 12.527/2011, e aos princípios constitucionais de privacidade. Eles alertam para o potencial perigo que essas práticas podem representar para os cidadãos, incluindo a possibilidade de perseguição, discriminação e fraude.

Criada no Brasil para tratar da proteção de dados pessoais, a LGPD estabeleceu diversos critérios para manipulação de dados e determinou uma atenção especial em termos de proteção e segurança dos chamados ”Dados Pessoais Sensíveis” — que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e dados relacionados à saúde ou vida sexual de uma pessoa. 

Já a LAI estabelece que o tratamento das informações pessoais deve respeitar a intimidade, vida privada, honra e imagem das pessoas, liberdades e garantias individuais. Essas informações pessoais devem ter seu acesso restrito, independentemente de classificação de sigilo, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem, não podendo ser divulgadas sem previsão legal ou consentimento expresso da pessoa a que se referem. 

Assim sendo, estas duas leis foram violadas com a exposição dos dados de vacinação da população. Os advogados também destacam que essas ações ilegais têm consequências jurídicas severas, podendo acarretar instauração de Inquérito Civil, ações de improbidade administrativa e até inelegibilidade de agentes públicos responsáveis.

Dados divulgados

O levantamento feito por A Investigação identificou que pelo menos 64 cidades estão divulgando informações sensíveis da população, variando de dados sobre a condição de saúde a dados identificativos mais diretos, como CPF, nome da mãe e número do CNS. No total, podem ter sido afetadas cerca de 4,3 milhões de pessoas que moram nestas cidades, segundo dados do Censo Demográfico de 2022, realizado pelo Instituto Brasileiro de Geografia e Estatística (IBGE). Destacamos oito cidades que exibem os CPFs: Theobroma, cidade de Rondônia que fica a 312 km da capital Porto Velho, cujo “Vacinômetro” exibe os nomes, CPFs, data de nascimento e o sexo, além do lote e fabricante de cada uma das 17 mil doses de vacinas contra Covid-19 aplicadas na cidade. 

Há o caso de Salitre, no Ceará, exibindo nome, CPF e informações detalhadas sobre cada dose de vacinação. Mais de 21 mil ocorrências são encontradas no sistema e estão disponíveis para download. E também Redenção Gurguéia, no Piauí, e Lago Verde, no Maranhão, que exibem o sexo, os CPFs, os nomes dos vacinados e de suas mães, datas de nascimento e detalhes sobre a vacinação. Há ainda três cidades no Pará exibindo os dados de vacinação da população e incluindo o CPF: Magalhães Barata, Medicilândia e Óbidos.

O estado de Sergipe se destaca por ter o maior número de cidades com dados de CPFs divulgados. Em Itabaiana são disponibilizados dados de cerca de 2 mil pessoas vacinadas em 2021, incluindo nome, CPF, detalhes sobre condição de saúde, como obesidade e diabetes, além do lote e laboratório fabricante. Uma fonte questionou a prefeitura e recebeu como resposta de uma funcionária que a ordem teria “vindo de cima”, do Ministério Público. Em janeiro de 2021, o Ministério Público Federal, o Ministério Público do Estado de Sergipe e o Ministério Público do Trabalho expediram uma recomendação para que as prefeituras do estado divulgassem todos os dados sobre a imunização para “evitar o desrespeito à lista de prioridades”. As prefeituras tinham 24 horas para informar se acatavam a recomendação.

Em Frei Paulo, além dos dados exibidos em Itabaiana, fornece a idade, nome da mãe, endereço e telefone de mais de 250 cidadãos. De maneira semelhante, São Francisco divulga o CPF e o número do Cartão Nacional de Saúde (CNS), data de nascimento, nome da mãe, e os detalhes de vacinação como tipo de dose e lote. Os dados de nome da mãe e idade podem ser particularmente sensíveis pois são comumente usados como resposta de segurança em questões de recuperação de contas. Em Umbaúba, é apresentado o CPF, a profissão e a idade do cidadão, assim como o lote e a dose da vacina. 

Encontramos também outras 62 cidades em diversos estados que, embora censurem os dados do CPF, exibem informações sobre a vacinação, incluindo a quantidade de doses e o CNS. Alguns sistemas são similares e particularmente problemáticos por permitirem o download dos dados. Além disso, são exibidas informações médicas de crianças e adolescentes, dados que requerem ainda mais atenção de acordo com a LGPD.

Confira a relação completa das cidades no documento abaixo ou neste link: 

Entre as capitais, apenas Recife exibe dados da população. João Pessoa exige que sejam inseridos dados para acessar, mas o sistema pode ser burlado pois se auto completa ao iniciar-se o preenchimento do nome. A maioria das outras capitais apenas exibe a soma dos dados em painéis interativos. No caso de Campo Grande, o sistema exige usuário e senha; Macapá inclui apenas o primeiro nome e as iniciais; no sistema de Cuiabá é preciso inserir o CPF para acessar os dados.

A prefeitura de Florianópolis, apesar de não exibir dados sensíveis da população em sua plataforma, inclui em seu site um aviso de “potencial violação de dados”. Em janeiro de 2021, a prefeitura identificou um acesso não autorizado em seu sistema e dados sensíveis dos usuários do seu sistema de saúde foram expostos.— como informações sobre testagem para Covid-19, nome, CPF, data de nascimento, nome da mãe, endereço, informações de contato, cor ou raça e sintomas causados pela Covid-19. 

Em razão deste vazamento e para evitar futuros acessos não autorizados, a prefeitura de Florianópolis informou o incidente à Autoridade Nacional de Proteção de Dados, órgão que fiscaliza o cumprimento da LGPD. A prefeitura ainda alertou que “este tipo de ocorrência pode resultar em crimes financeiros, fraudes e extorsões”.

Justificativas

Nossa reportagem questionou diversas prefeituras presentes na lista. Até o momento desta publicação, apenas Recife e Triunfo, ambas em Pernambuco, responderam. Em nota, a Prefeitura de Recife explicou que a divulgação da lista contendo os nomes das pessoas vacinadas na cidade ocorreu após um acordo com o Ministério Público de Pernambuco, visando “maior transparência do Plano Municipal de Vacina”.

A cidade de Recife argumenta que antes do início de sua campanha de vacinação, consultou os órgãos de controle, como o Tribunal de Contas do Estado de Pernambuco (TCE-PE) e o Ministério Público de Pernambuco (MPPE), para apresentar o plano “Recife Vacina” e colher sugestões para aprimorar os serviços. 

“Ressalta-se, que inicialmente, o TCE-PE ordenou a publicação do CPF completo (Resolução TC nº 122/2021), tendo Recife questionado e argumentado em favor da privacidade do cidadão. Como resposta, aquela Corte reconheceu os fundamentos e reformulou o texto originário para não expor o CPF de forma completa, através da Resolução TC nº 132/2021”, afirmou em nota.

A resolução citada exige que os municípios do estado divulguem em seus sites, de forma transparente e de fácil acesso, leitura e interpretação pela população, com atualização diária: dados de todas as vacinações realizadas pelo Estado e pelos Municípios, indicando, no mínimo, CPF (omitindo-se parte dos dígitos para preservação de informações pessoais) e nome completo do vacinado; circunstância (relativa à idade, condição física ou ocupação profissional) que justifica a pertinência de sua inclusão em grupo prioritário à luz do Plano Nacional de Operacionalização da Vacinação Contra a COVID-19, descrevendo, no caso de ser trabalhador da saúde, a função exercida e respectivo local de trabalho; nome da vacina/fabricante; datas da vacinação (1ª e 2ª doses); e local da vacinação".

A prefeitura de Recife também afirma que a disponibilização dos dados no site de transparência é “amparada pelo cumprimento de políticas públicas”, conforme “art. 7º, inciso III da LGPD, e ainda, em cumprimento de obrigação legal ou regulatória, conforme art. 7º, inciso II da LGPD, inclusive sem a necessidade de consentimento do titular, conforme art. 11, inciso II, alínea “b” da LGPD”.

Justificativa semelhante foi apresentada pela prefeitura de Triunfo, que informou em nota que segue uma determinação do TCE-PE para “conferir maior transparência e melhores controles interno, externo e social sobre o Plano de Vacinação contra a Covid-19”. Por fim, a prefeitura de Triunfo acrescenta que no que se refere à LGPD, o dado sensível "CPF", é publicado omitindo-se parte dos dígitos para preservação de informação.

Em outros estados, verifica-se também ações do Ministério Público para obrigar prefeituras a exibir estes dados. Em janeiro de 2021, o Tribunal de Justiça do Rio de Janeiro rejeitou um pedido feito pelo MP-RJ para obrigar a prefeitura da capital a divulgar diariamente a lista de pessoas vacinadas contra a Covid-19. Segundo a CNN, a solicitação foi negada porque não comprovou a existência de fraude na aplicação dos imunizantes, e a Justiça entendeu que a medida criaria um custo extra para a prefeitura.

Questão legal

O advogado Jaime Ferreira, consultor e pesquisador da área de privacidade e proteção de dados, explica que antes mesmo de qualquer exibição pública das informações sobre vacinação da população, os dados pessoais dos indivíduos já passaram por várias operações e manipulações, como coleta, compartilhamento e armazenamento. Ele explica que a LGPD não proíbe essas atividades, mas estabelece critérios específicos para a sua realização, definindo princípios orientadores e especificando situações que justificam essas operações.

Ele afirma encontrar um potencial de aplicação de “execução de políticas públicas” como base legal, ou justificativa, para o caso em questão, mas mesmo assim há a possibilidade de questionar quanto à finalidade e necessidade dessa exibição. Para execução de políticas de epidemiologia e controle de vacinação, é possível que os órgãos governamentais documentem, e entre si troquem essas informações. Inclusive, é desta forma que é possível, individualmente, verificar informações sobre a vacinação no sistema ConecteSUS, pois há documentação e compartilhamento. O advogado acrescenta que o problema não é haver uma lista de indivíduos vacinados com seus respectivos CPFs, mas essa lista ser pública. E, segundo ele, há um potencial de violação maior, pois revela quem tomou (e, consequentemente, quem não tomou) a vacina. 

“Essa informação é um dado referente à saúde, considerado pela LGPD como um dado pessoal sensível. Em tempos de dicotomia e uma considerável hostilidade a quem tem um posicionamento divergente, é possível que o conhecimento de quem tomou (e não tomou) vacina provoque perseguição em diversos círculos sociais”, afirma Ferreira, que explica que a LGPD, assim como o restante do ordenamento jurídico brasileiro, expressa um cuidado particular com os menores, apresentando dispositivos que tratam exclusivamente do manuseio de informações deste público, sempre visando o melhor interesse dos menores. Um destes dispositivos é o consentimento de pelo menos um dos pais. 

“Diante disso, como as justificativas para o tratamento de dados de crianças e adolescentes são reduzidas, na hipótese levantada, a divulgação de dados precisaria de autorização dos pais. Caso isso não seja observado, estaríamos diante de um descumprimento de obrigação estabelecida pela LGPD. Essa infração possui o potencial de ser considerada ‘grave’, pois envolve criança e adolescente”, explica.

O advogado acrescenta que eventos que envolvam a violação de privacidade e proteção de dados podem ser denunciados tanto à Autoridade Nacional de Proteção de Dados, quanto ao Ministério Público. As pessoas que tiveram os seus dados violados podem buscar tanto a via judicial quanto a via administrativa. Entre as consequências judiciais, haverá a possibilidade de condenação do infrator a pagar danos morais. 

Na via administrativa, a Autoridade Nacional de Proteção de Dados poderá aplicar uma sanção, caso tenha identificado o descumprimento. Estão previstas entre as sanções: advertências, multas, publicização da infração, eliminação de dados pessoais, e até proibição do exercício de atividades relacionadas a tratamento de dados. A Autoridade definiu os critérios de aplicação através do Regulamento de Dosimetria, em fevereiro de 2023.

“É claro que a ANPD observará o princípio da proporcionalidade, verificará reincidência de infrações e outras circunstâncias para decidir por uma sanção. No caso em questão, na hipótese de a Autoridade Nacional entender que houve violação, entendo que inicialmente veríamos a aplicação de uma multa, além, é claro, da ordem para que a violação seja sanada, seja pela retirada do conteúdo, pela anonimização, ou outro meio que entenda mais adequado”, conclui.

Violação de direitos

Segundo o advogado e consultor jurídico Silvio Kuroda, especialista em Direito Público e ex-assessor de ministro de Tribunal Superior, a situação não se resume apenas à publicação ilegal de dados sensíveis da LGPD, mas à proibições expressas na Lei de Acesso à Informação. Para ele, houve violação dos direitos difusos, coletivos e individuais homogêneos de crianças e adolescentes, os quais têm proteção especial no ordenamento jurídico.

“Em tese, uma violação desta magnitude gera o dever ao Ministério Público de instaurar Inquérito Civil e, consequentemente, aforar uma Ação Civil Pública contra o ente estatal. Inicialmente, visando impedir a continuidade desta forma de divulgação de dados, de modo que a conduta fique adequada à lei. Por fim, obter um provimento judicial para garantir que isto não volte a ocorrer e que os danos sejam devidamente reparados, inclusive, os danos morais coletivos. Neste caso, os valores serão pagos individualmente para cada cidadão e o restante destinado a um Fundo específico, conforme a lei”, explica.

De acordo com o advogado, o agente público que, dolosamente, realizou ou ordenou a divulgação ilegal, se devidamente investigado, pode responder: pelo crime de Violação de Sigilo Funcional, previsto no artigo 325 do Código Penal; Ato de Improbidade Administrativa por Dano ao Erário (Lei 8.429/92); e ainda, após condenado, se tornar inelegível conforme dispõe a Lei das Inelegibilidades (LC 64/90). 

Kuroda acrescenta que a Lei do Prontuário Médico garante o sigilo, a confidencialidade e a preservação da intimidade dos pacientes e a Lei de Acesso à Informação, em seu artigo 31, parágrafo 3º, inciso II, proíbe expressamente a identificação das pessoas vacinadas, e — com maior ênfase — a LGPD determina que, no caso de saúde pública, em nenhuma hipótese os dados pessoais devem ser revelados. O advogado alerta que a observância dessas regras é ainda mais importante quando se trata da população infanto-juvenil.

Para a advogada Amanda Costa, especialista em Direito Médico e da Saúde, a proteção inadequada dos dados dos cidadãos vacinados contra a Covid-19 não é apenas ilegal, mas também infringe a Constituição da República, pois o direito à intimidade é uma garantia constitucional e um dever fundamental das organizações de saúde para com seus pacientes. 

Além disso, a advogada explica também que mesmo no caso do Sistema Único de Saúde (SUS), que é uma organização pública, há a obrigação de seguir o Código de Ética Médica, coadunando com a Resolução do Conselho Federal de Medicina para respeitar o dever de sigilo. Ela destaca ainda que a quebra do sigilo médico é aceitável apenas em raras exceções, e não deve ser a norma. 

"Além de toda essa ofensa aos direitos dos pacientes e sigilo, a exposição fere a Lei Geral de Proteção de Dados, uma vez que dados referentes à saúde do cidadão são dados sensíveis e que devem ser protegidos, cabendo até mesmo aplicação de multa, e passível de ações indenizatórias", afirma.

O advogado Paulo Faria, presidente da Associação Brasileira de Defesa dos Usuários da Internet (ABDU), criticou severamente a divulgação de informações sensíveis dos cidadãos por parte de várias cidades. Segundo ele, o poder público deve se abster de manipular os dados sem autorização. 

"Esse tipo de conduta viola a LGPD e também a intimidade. Isso é absolutamente ilegal. Além disso, esses dados são sensíveis e podem ser usados para abrir contas ou cadastros, número de celular. Com isso, abre-se a possibilidade de golpistas terem amplo e fácil acesso a dados de pessoas, muitas dessas doentes ou idosas, favorecendo a prática de crimes ds extorsão, estelionato, falsidade ideológica contra essas pessoas ou seus familiares. Estão facilitando a fraude, o que é gravíssimo”, afirma.

Faria também acrescenta que quem se sentir prejudicado pode acionar a justiça e exigir indenização por causa de violação a direitos individuais, a honra, principalmente a intimidade. De acordo com o advogado, essa violação gera o dever do Estado de indenizar, principalmente, àquele que sofreu algum tipo de fraude com a divulgação desses dados. Corrreção: No texto anterior afirmamos que sete cidades incluem o número do CPF da população. Atualizamos para incluir a cidade de Lago Verde no Maranhão, que também inclui o dado. Incluímos também o total de pessoas que moram nestas cidades, segundo dados do CENSO 2022 do IBGE.