Tribunais de Justiça têm entendimento divergente em relação a responsabilização dos hospitais
Às 20h do dia 16 de junho de 2020, Juliane (nome fictício) recebeu um telefonema de seu marido que havia sido internado no Hospital Nipo-Brasileiro, com suspeita de Covid-19. Ele informou que havia sido atendido por um médico chamado Rafael, que em breve entraria em contato com ela. Passados quinze minutos, o médico telefonou e informou que o estado de saúde do marido, que estaria com suspeita de início de leucemia, era extremamente grave e que ele precisaria fazer exames com equipamentos que o hospital não dispunha. Para isso, seria necessário o depósito de R$4,9 mil para locomoção dos aparelhos, realização dos exames e medicamentos. Depois que a transferência foi feita, no dia seguinte, foram solicitados mais R$ 3,5 mil para uma complementação da medicação.
Sabendo que a doença poderia potencializar os efeitos letais da Covid-19, ela depositou o dinheiro pela segunda vez conta do médico. No entanto, horas depois descobriu ter sido vítima de um golpe. Não existia nenhum Dr. Rafael ou leucemia. As informações pessoais de seu marido foram usadas por um golpista para tirar vantagem dela em um momento de vulnerabilidade. Além do prejuízo financeiro, a vítima ainda acabou sofrendo com a perda do companheiro devido a complicações da Covid-19.
Após o episódio, a mulher processou o hospital requerendo danos materiais e morais pelo vazamento de informações pessoais, pois seria impossível que um golpista aleatoriamente entrasse em contato com ela dando informações tão precisas sobre seu marido.
No entanto, tanto na primeira quanto na segunda instâncias, o entendimento foi o de que a culpa por ter caído no golpe foi exclusivamente da vítima. O desembargador Ruy Coppola, da 32ª Câmara de Direito Privado do Tribunal de Justiça do Estado de São Paulo (TJSP), considerou que o hospital tomou todas as providências que lhe cabia, no sentido de orientá-la sobre atitudes de estelionatários.
“Houve advertência expressa quanto à vedação de pedidos ou oferecimento de qualquer serviço ou medicamento. Não bastasse essa informação direta, inúmeros avisos estão espalhados pelo nosocômio, no mesmo sentido, sobre a prática delituosa. Assim sendo, se o fato ocorreu, se deu por culpa exclusiva do consumidor”, apontou o juiz na sentença.
O magistrado ainda citou a decisão de primeiro grau onde foi dito que o hospital demonstrou através de uma grande quantidade de documentos que todos os atos praticados durante a internação do marido da autora foram devidamente assinados e reconhecidos, não existindo nenhuma conduta ilícita pela parte ré. Sendo assim, o pedido de indenização por danos morais seria improcedente, já que não houve conduta ilícita.
Esse caso é um dos oito processos levantados pela reportagem do JOTA envolvendo golpes aplicados com o uso de dados pessoais de pacientes internados em hospitais. Do total de acórdãos a que a reportagem teve acesso, em apenas três as vítimas tiveram sucesso nos pedidos de indenização.
Há registro de processos movidos após tentativas de golpe em São Paulo, Santa Catarina, Minas Gerais, Paraíba e Distrito Federal. A conduta dos golpistas é sempre a mesma: se passam por médico do hospital em que o familiar está internado e afirmam que o paciente precisa de medicamentos, exames ou procedimento cirúrgico não cobertos pelo plano de saúde. Sendo assim, é necessário o depósito da quantia em dinheiro na conta do profissional com urgência.
O contato é feito geralmente por telefone e WhatsApp e durante a conversa são mencionados vários dados pessoais da pessoa internada. O nível de detalhamento do quadro do paciente é o que costuma enganar os familiares.
Posição dos tribunais nos pedidos de indenização por golpes
O tema tem sido decidido de formas divergentes nos tribunais de justiça do país. No TJSP, por exemplo, existe uma tendência de a culpa ser atribuída exclusivamente à vítima. Dos cinco casos encontrados na busca feita pelo JOTA, em todos os apelantes não foram atendidos.
Os argumentos mais comuns contra os pedidos de indenização pelos golpes em hospitais são alegações de que os estabelecimentos adotam práticas para alertar os consumidores sobre ocorrências anteriores, além de não existir comprovação de falha da instituição quanto ao dever de proteger os dados pessoais dos pacientes.
Já nos tribunais de Minas (TJMG), Paraíba (TJPB) e do Distrito Federal (TJDFT), os processos encontrados mostram que as vítimas conseguiram ter o valor do golpe ressarcido e ainda receberam uma indenização por danos morais.
Ao decidir, os magistrados fundamentam que o vazamento de informações sigilosas e a indevida utilização desses dados por terceiros é de responsabilidade do hospital e que a falha na proteção dos dados pessoais pela entidade causa prejuízo ao consumidor.
Um caso de Minas Gerais é um exemplo desse entendimento. A desembargadora Mariangela Meyer, da 10ª Câmara Cível do Tribunal de Justiça do Estado de Minas Gerais (TJMG), votou para conceder a indenização por danos materiais e morais pedida pelo irmão de uma paciente internada no hospital Lifecenter, que sofreu o golpe por telefone e depositou R$3,8 mil na conta do estelionatário. Foi estabelecido o valor de R$3,8 mil para ressarcir os danos materiais e R$5 mil a título de danos morais.
A magistrada entendeu que a responsabilidade do hospital era evidente, uma vez que ele é detentor de informações privilegiadas de pacientes e falhou na guarda dos dados relativos ao prontuário da enferma, causando prejuízo ao consumidor.
Para fundamentar a decisão, a magistrada declarou que o fornecedor de produtos e serviços responde objetivamente pelos danos decorrentes da falha no serviço, devendo ressarcir o ofendido, nos termos do art. 14 do Código de Defesa do Consumidor (CDC).
O advogado Marcelo Cárgano, especialista em proteção de dados da Abe Advogados, explica que o hospital tem responsabilidade, assim como qualquer empresa, com os dados pessoais dos clientes e que a relação estabelecida entre um hospital e um paciente, de maneira geral, é a responsabilidade de consumo. “Isso quer dizer que tudo o que está previsto tanto na Lei Geral de Proteção de Dados (LGPD) como no Código de Defesa do Consumidor, se aplica a essa relação. Além disso, ela tem alguns contornos adicionais específicos pela natureza dos dados pessoais tratados”, destaca.
Segundo Cárgano, um hospital geralmente tem acesso a dados pessoais de natureza mais íntima, considerados dados sensíveis, e o vazamento dessas informações tem um impacto muito maior do que na maioria das empresas.
De acordo com a LGPD, os dados sensíveis são os que revelam, entre outras coisas, questões genéticas, biométricas e de saúde. A advogada Paula Rodrigues, sócia na área de Direito Digital e Proteção de Dados da Daniel Advogados, detalha que os dados de saúde são considerados sensíveis porque por meio deles é possível inferir informações que vão muito além de dados cadastrais.
“São informações que podem causar um tipo de discriminação ou preconceito e se não utilizadas de forma correta e devida, inclusive, podem gerar um dano à personalidade da pessoa que está tendo a informação vazada”, afirma ela.
Para a advogada, tendo em vista a natureza de prestação de serviço de um hospital, existe a responsabilidade com a segurança das informações, mas além disso, os médicos e profissionais da saúde têm o dever de sigilo. “Quando o hospital tem um cuidado mínimo com a segurança e com a conscientização das pessoas que lidam com esses dados, os riscos de vazamento acabam diminuindo. Mas existe risco e, de fato, a instituição tem responsabilidade e essa questão foi reforçada pela LGPD”, afirma Rodrigues.
A culpa é de quem?
Os advogados consultados pela reportagem afirmam que é preciso analisar caso a caso para entender se a alegação de que foi o estabelecimento de saúde que vazou os dados para o golpista pode ser comprovada e é verossímil.
“A maior discussão nos tribunais é se a vítima tem condições de comprovar que existe essa relação entre a falta de cuidado do hospital em manter as informações protegidas e o golpe sofrido. A depender do tipo de informação, nem sempre é possível estabelecer essa relação de que foi do hospital que partiu a vulnerabilidade da qual os fraudadores se aproveitaram para praticar o golpe”, detalha Rodrigues.
Ela comenta que muitas vezes os próprios pacientes e familiares acabam expondo informações que são dados pessoais por meio de postagem nas redes sociais com a localização do hospital. “O comportamento da vítima para fins de indenização também é relevante”, diz.
Em relação aos danos morais decorrentes do vazamento de dados, Cárgano esclarece que a questão ainda não está pacificada dentro do ordenamento jurídico brasileiro, por ser uma questão nova.
“Há várias decisões que entendem que o vazamento de dados pessoais por si só é suficiente para causar um dano à pessoa e sua integridade psíquica, e isso causaria a responsabilidade para a indenização por dano moral. Em outras decisões é entendido que não, que você tem que ter a comprovação do dano, ou seja, a pessoa teria que ter sofrido um golpe ou fraude para ser indenizada”, afirma.
O advogado acrescenta que há tribunais que entendem que o sofrimento psicológico causado às vítimas de golpes com dados médicos vazados ensejaria dano moral, além do dano material, pois “só houve o golpe porque houve vazamento”.
LGPD e os hospitais
A LGPD foi criada para que as pessoas tenham consciência das informações que estão sendo utilizadas pelas instituições e também para que o tratamento desses dados seja feito de forma correta e concisa, com a padronização de regulamentos e práticas.
O presidente da Federação Brasileira dos Hospitais (FBH), Adelvânio Francisco Morato, afirma que no ambiente hospitalar os dados pessoais recebem um tratamento peculiar por serem classificados como dados sensíveis, exigindo o consentimento explícito dos pacientes – salvo em hipóteses excepcionais que os dispensem, como em casos de preservação da vida ou da integridade física.
“A organização hospitalar é encarregada de fornecer uma interface para que o indivíduo possa autorizar, bloquear ou revogar o consentimento para o tratamento de dados pessoais a qualquer momento. No mais, é obrigatório que haja, à disposição dos pacientes, uma maneira fácil de revogar o seu consentimento, ainda que a instituição tenha um controle e um armazenamento de documentos relativos a ele (digitais ou físicos)”, elucida Morato.
Ele destaca ainda que além de armazenar e cuidar dos dados dos pacientes, é dever da instituição informar ao público a razão que justifica a coleta de seus dados.
Medidas de segurança
Muitos hospitais e clínicas já adotam práticas para alertar os clientes sobre tentativas de golpes. Em algumas unidades, avisos pelos corredores advertem sobre a prática criminosa e, no ato da internação, o paciente e os familiares assinam um termo de consentimento que explica sobre a possibilidade de fraude por terceiros e esclarece que a instituição não realiza contato para depósitos bancários.
Cárgano comenta que essas são boas práticas para minimizar a possibilidade de um dano, porém isso não isenta a responsabilidade das instituições. “Um hospital que toma medidas proativas para avisar os pacientes pode impedir o golpe, mas isso não muda o fato de que, se houve um vazamento de dados, o hospital é responsável por isso”, conclui Cárgano.
Questionada sobre a adoção de protocolos de segurança para diminuir a incidência de vazamentos e golpes, a FBH afirma que lançou, em 2019, um guia para auxiliar as gestões hospitalares na implementação da LGPD.
Segundo o presidente da entidade, neste guia os estabelecimentos são orientados a seguirem diversos passos, entre eles: elaborar um programa de governança em proteção de dados pessoais, disseminar a cultura e os valores sobre o tratamento adequado junto a colaboradores; estruturar um comitê gestor de LGPD; e mapear o caminho percorrido pelos dados dentro dos hospitais, desde a sua coleta até o seu descarte.
O presidente da FBH também pontua que para aumentar a segurança dos dados eles recomendam o uso de tecnologias que codifiquem as informações. “Uma alternativa viável, que exclui a possibilidade de acesso indevido dos dados, é a criptografia. Ela, além de ser evidentemente mais segura, impede, em caso de vazamento, que os dados consigam ser interpretados, evitando que mesmo profissionais com acesso privilegiado alcancem o conteúdo. Aliás, é bastante recomendado que a instituição invista em equipamentos com bases de proteção atualizadas constantemente, com especial importância em um ambiente crítico como o hospital”, conclui.
Os casos citados na reportagem, na sequência, são os de número 1025481-47.2020.8.26.0001 (TJSP) e 1.0000.20.530514-7/001 (TJMG).
Procurado, o Hospital Nipo-Brasileiro afirmou que o caso “foi julgado totalmente improcedente”.
Procurada, a NotreDame Intermédica, que administra o hospital Lifecenter informou que “a situação ocorreu no hospital antes da aquisição do mesmo (sic) pela operadora de saúde. Além disso, o caso foi resolvido junto à família e encontra-se arquivado. Para evitar fraudes, a empresa conta com informações em seus canais oficiais, onde os clientes encontram esclarecimentos, notícias e comunicados sobre seu plano”.
Matéria publicada no portal JOTA.