Vazamento de dados sensíveis de HIV/AIDS e a responsabilização do Estado

Em setembro de 2025, a Prefeitura de Feira de Santana (BA) expôs, por suposto “erro de sistema”, os nomes de mais de 240 pessoas vivendo com HIV/AIDS, além de portadores de fibromialgia e anemia falciforme. Embora a gestão tenha admitido a “falha”, o caso configura grave violação à Lei Geral de Proteção de Dados (LGPD) e à dignidade da pessoa humana. Não se trata de mero deslize administrativo, mas de falência do Estado em proteger dados sensíveis, sobretudo os ligados a condições de saúde marcadas por estigmas.

A gravidade decorre da natureza dos dados vazados: o medo da exposição pode gerar discriminação, exclusão social e abandono de tratamento. A Lei 14.289/2022 reforça o dever de sigilo, não como questão de privacidade, mas de garantia de direitos. O sigilo, aqui, é parte da proteção à vida. Danos como perda de emprego, rompimento de relações e recusa em atendimentos são reais e imediatos.

Esse episódio, no entanto, não é isolado. Em 2024, no DF, pacientes foram vítimas de chantagem após vazamento de dados. A resposta do poder público, nesses casos, costuma ser limitada a notas formais e promessas de apuração, evidenciando uma tendência à impunidade quando o infrator é o próprio Estado.

A Autoridade Nacional de Proteção de Dados (ANPD), responsável pela aplicação da LGPD, tem se mostrado tímida frente a violações graves. Apesar de dispor de sanções administrativas (art. 52, §3º), como advertência, bloqueio e eliminação de dados, suspensão de atividades e publicização da infração, raramente aplica medidas além de recomendações a entes públicos. Embora multas não possam ser aplicadas ao setor público, há um leque de penalidades que, na prática, são de difícil execução na saúde pública.

Medidas como bloqueio ou eliminação de dados de hospitais ou secretarias poderiam prejudicar a população, não os responsáveis pela falha. Por isso, defende-se um modelo funcional de atuação da ANPD: identificação técnica das falhas, responsabilização individual de servidores e dirigentes, processos administrativos disciplinares e encaminhamento de elementos que permitam ação regressiva do Estado contra os culpados.

Essa abordagem evita comprometer serviços essenciais e estimula a internalização da cultura de proteção de dados. Ao responsabilizar diretamente os agentes, protege-se o erário e reforça-se a gestão pública responsável. Além disso, urge rever a vedação de multas a entes públicos. A exclusão desse instrumento retira da ANPD uma ferramenta eficaz de coerção. Multas bem calibradas, com destinação a fundos para aprimorar a governança em proteção de dados, poderiam reforçar o sistema sem afetar os serviços.

A combinação entre responsabilização funcional, ação regressiva e revisão do regime sancionatório é o caminho mais equilibrado para garantir a proteção de dados no setor público, em especial na saúde. A timidez da ANPD diante do caso de Feira de Santana reflete a lógica histórica do direito administrativo brasileiro: um Estado tratado como hipossuficiente, acumulando imunidades e prerrogativas, mesmo quando infringe direitos fundamentais.

Essa lógica resulta na manutenção de um “Estado infrator”, autorizado a falhar sem sofrer consequências proporcionais, enquanto os cidadãos arcam com os prejuízos. A responsabilização efetiva do Estado é condição para um verdadeiro Estado de direito. Não basta termos leis modernas se sua aplicação é assimétrica: rigorosa com o setor privado e branda com o público.

No caso das pessoas vivendo com HIV, não é aceitável que a única reparação seja uma ação judicial, com eventual indenização paga anos depois por precatório. Os danos são imediatos e profundos: perda de trabalho, vínculos afetivos, medo de procurar tratamento. Indenizações futuras não reparam a dignidade ferida no presente.

Exige-se da ANPD mais que burocracia: é necessário protagonismo. A autoridade deve apurar responsabilidades, instaurar sanções, determinar medidas corretivas e articular-se com Ministério Público e Tribunais de Contas. Caso contrário, a proteção de dados seguirá sendo apenas retórica — relevante no setor privado, mas inócua no público.

O caso de Feira de Santana deve ser um marco. É essencial investigar se o vazamento foi intencional e aplicar as penalidades previstas na Lei 14.289/2022. A proteção de dados precisa servir à defesa de pessoas em situações de vulnerabilidade extrema. Sem isso, torna-se mera formalidade jurídica. Cabe à ANPD mudar esse cenário.

É hora de superar a lógica do Estado infrator e afirmar que o poder público também deve ser responsabilizado por violações à privacidade e à dignidade. Do contrário, o Brasil continuará a reproduzir desigualdades e fragilizar seu próprio Estado de direito.