Todo cuidado é pouco: os dados pessoais sensíveis referentes à saúde na LGPD

  • Artigo escrito em colaboração com Vinícius Gabriel Krey.

Prelúdio à Lei Geral de Proteção de Dados Pessoais

De quatro em quatro anos, o mundo se prepara para prestigiar os Jogos Olímpicos ou a Copa do Mundo de Futebol. As datas podem variar, é certo, os anos mudam, até mesmo o lugar não será o mesmo, mas a única certeza é a de que o evento ocorrerá, geralmente como imaginado pelos organizadores e até mesmo com a grandeza esperada.

De fato, a presente coluna não versa sobre um evento esportivo específico ou sobre a periodicidade com que eles acontecem. A intenção do texto é abordar a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou (parcialmente) em vigor no mês passado, mais precisamente em 18/09/2020. Pergunta, então, o leitor: qual a relação de tais eventos com a Lei Geral de Proteção de Dados Pessoais?

No mundo do Direito, em se tratando de novas legislações, é muito comum, de tempos em tempos, com a mesma naturalidade e expectativa com que ocorrem os eventos esportivos periódicos, que os operadores do Direito (leia-se: advogados, juízes, consultores jurídicos, CLOs, membros do Ministério Público, Defensores Públicos etc.) estejam abertos a alguma nova tendência, a qual é recebida com muito entusiasmo por novos especialistas no assunto.

O assunto ora em moda, no campo jurídico, é, sem dúvida alguma, a Lei Geral de Proteção de Dados Pessoais[1], não apenas por se tratar de uma legislação nova, mas também pretensamente inovadora e paradigmática (nos hábitos dos consumidores e nas práticas jurídicas).

As raízes da Lei Geral de Proteção de Dados Pessoais

De fato, o Brasil já possuía a proteção constitucional da privacidade (“vida privada”, conforme o artigo 5º, inciso X, da Constituição Federal[2]) e do sigilo das comunicações (artigo 5º, inciso XII, Constituição Federal), além da garantia de habeas data (artigo 5º, inciso LXXII, da Constituição Federal, e Lei nº 9.507/97), aquilo a que os juristas chamam de “remédio constitucional” (ou seja, uma ação gratuita com procedimento específico e facilitado no Poder Judiciário, a exemplo do habeas corpus) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público e para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo.

Contudo, apesar das previsões constitucionais, não existia uma legislação específica a regulamentar a proteção de dados pessoais no Direito brasileiro. Por outro lado, a necessidade de implementação de uma Lei Geral de Proteção de Dados Pessoais brasileira tornou-se ainda maior com o Regulamento Geral sobre Proteção de Dados europeu (GDPR), em vigência desde 2018, que tornou a proteção de dados pessoais uma verdadeira exigência entre os países, na medida em que empresas sujeitas à regulamentação europeia passaram a demandar de seus parceiros e fornecedores no Brasil garantias sobre seu nível de adequação da proteção de dados pessoais[3].

Não bastasse isso, o Brasil assumiu também diversos compromissos internacionais sobre proteção de dados pessoais, a exemplo da Convenção 108 de 28 de janeiro de 1981 do Conselho da Europa sobre proteção de dados pessoais, da qual aparece como observador desde outubro de 2018[4], fator que se tornou também relevante para o ingresso do país como membro da Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

Em suma, a edição da Lei Geral de Proteção de Dados Pessoais, no Brasil, encontra origens em pressões mais externas do que propriamente internas. Não se quer dizer, com isso, — e é importante deixar claro — que se trata de uma “lei para inglês ver” (expressão usada para designar leis ou regras consideradas demagógicas e que não são cumpridas na prática, a exemplo da célebre Lei Eusébio de Queirós, que antecedeu a abolição da escravatura), mas, sim, que a Lei, já em vigor, ainda é deveras desconhecida pelo povo brasileiro, e não houve (nem parece haver) uma verdadeira cultura de reivindicação pela proteção de dados pessoais entre os consumidores brasileiros e a sociedade civil organizada.

Fruto de importação do Direito europeu, a Lei Geral de Proteção de Dados Pessoais brasileira há de exigir bastante dos operadores do Direito, não somente no âmbito dos tribunais, das repartições públicas e dos escritórios de advocacia, mas especialmente no que diz respeito à conscientização dos consumidores e da população em geral. Não é novidade, mas convém relembrar: o Brasil não é a Europa, e a música — embora idêntica, como até mesmo o texto da lei pode ser em alguns aspectos — muda sensivelmente quando os instrumentos musicais e os músicos não são os mesmos[5].

Na prática, como já vem ocorrendo[6], considerando o modelo de sociedade adotado no Brasil — com um representante dos interesses sociais designado pela Constituição Federal[7] —, a Lei Geral de Proteção de Dados Pessoais tende a se tornar parâmetro para o ajuizamento de inúmeras Ações Civis Públicas (também chamadas, no meio jurídico, de “ACPs”) pelo Ministério Público visando à condenação das empresas e demais instituições que não se adequarem aos padrões de proteção dos dados pessoais estabelecidos na legislação por danos coletivos aos consumidores e demais multas aplicáveis. Eis o motivo para o título da coluna: todo cuidado, no tratamento dos dados pessoais sensíveis referentes à saúde, é pouco.

Os dados pessoais sensíveis na LGPD

A Lei Geral de Proteção de Dados Pessoais, em essência, estabelece o tratamento de dados pessoais, inclusive nos meios digitais (atenção: nos meios físicos também!), por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (isto é, eu ou você, qualquer um).

Por sua vez, a Lei prevê um rol bastante amplo — e aberto — de atividades que compõem o denominado “tratamento” de dados pessoais. De acordo com o próprio texto legal, o tratamento de dados pessoais constitui toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Além dos dados pessoais (considerados informações relacionadas a pessoa identificada ou identificável), a Lei faz questão de especificar dados considerados “sensíveis”, ou seja, carentes de maior atenção pelo operador e/ou controlador quando do seu tratamento. Sobre isso, vale destacar: controlador é a quem compete as decisões referentes ao tratamento de dados pessoais; operador é quem realiza o tratamento de dados pessoais em nome do controlador. A título meramente exemplificativo, uma operadora de plano de saúde é caracterizada como controladora de dados pessoais, ao passo que seus médicos cooperados responsáveis pela prestação de serviços são caracterizados como operadores dos dados pessoais. É certo, contudo, que a operação e o controle dos dados pessoais podem ser responsabilidade da mesma pessoa natural ou jurídica, de direito público ou privado (ou seja: a LGPD também se destina aos entes públicos, isto é, ao Estado, e terá de “conviver” com a Lei de Acesso à Informação, Lei 12.527 de 2011).

Seriam dados pessoais sensíveis, de acordo com a Lei, aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Em termos de dados referentes à saúde ou a ela relacionados (tais como vida sexual, dado genético ou biométrico), portanto, o impacto da Lei Geral de Proteção de Dados Pessoais é bastante significativo, na medida em que prevê tais dados como “sensíveis”, demandando atenção e cuidado ainda maiores pelo operador e/ou controlador dos dados.

Os cuidados com os dados pessoais sensíveis referentes à saúde

A Lei Geral de Proteção de Dados Pessoais enumera especificamente em quais situações será possível “tratar” os dados pessoais sensíveis, dentre eles aqueles referentes à saúde. Assim, as operações com dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

  • quando o titular dos dados pessoais sensíveis ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  • sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
  1. cumprimento de obrigação legal ou regulatória pelo controlador dos dados pessoais sensíveis;
  2. tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  3. realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis (entendida como a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo);
  4. exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
  5. proteção da vida ou da incolumidade física do titular ou de terceiro;
  6. tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
  7. garantia da prevenção à fraude e à segurança do titular dos dados pessoais sensíveis, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Como se vê, as condições para o tratamento dos dados pessoais sensíveis são bastante exigentes: deve haver um consentimento expresso, em documento separado e para uma finalidade específica, ou o agente de tratamento de tais dados deve se valer de alguma das sete hipóteses especificadas pela legislação para a operação de tais dados pessoais sensíveis.

Além disso, a Lei é expressa ao proibir a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares dos dados. A comunicação ou o uso compartilhado só serão permitidos para a portabilidade de dados, quando solicitada pelo titular, ou para as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde.

Da mesma forma, é proibido às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Ou seja, sob nenhuma hipótese os planos de saúde podem utilizar-se de dados pessoais sensíveis para verificar os riscos e eventual lucratividade da contratação com determinada pessoa.

Com isso, é certo que o mercado deverá repensar uma série de práticas já consolidadas, tais como registrar o nome do paciente em notas fiscais para faturamento por distribuidores contra operadoras de planos de saúde e\ou hospitais, fazer bancos de dados com informações de saúde e cirurgias de pacientes para posterior realização de pesquisas por equipes médicas, envio de exames para plano de saúde como evidências da realização de cirurgia, reutilização de papéis com dados de pacientes para novas impressões (no verso), compartilhamento de dados de saúde entre médicos e/ou hospitais, envio de exames e demais dados de saúde de maneira informal ou por meios informais de comunicação etc[8].

De modo geral, na área da saúde, a comunicação entre agentes de tratamento  de dados deverá ser objeto de muita cautela e diversos cuidados. Os agentes de tratamento  de dados também precisarão saber, com certa segurança, quando estão a cumprir uma obrigação legal ou regulatória (para declaração de tributos, por exemplo) e quando exercem regularmente seus direitos, até mesmo para a execução do contrato firmado com o paciente. A documentação e a certificação de todos os cuidados tomados, como não haveria de ser diferente, há de ser essencial no dia a dia dos operadores e controladores de dados de saúde, inclusive para comprovar a inexistência de qualquer falha de segurança em situações de suspeita ou questionamento pelos órgãos responsáveis e/ou titulares.

Por fim, mas não menos importante, é preciso observar que os dados anonimizados não são considerados dados pessoais (muito menos “sensíveis”) para os fins da LGPD. Assim sendo, todos aqueles dados, ainda que referentes à saúde ou genéticos ou biométricos ou sobre comportamento sexual, desde de que dissociados, de forma irreversível, direta ou indiretamente, de um indivíduo, podem ser compartilhados ou tornarem-se objeto de comunicação, a exemplo de um banco de dados anônimo com tendências sobre saúde de acordo com o perfil das pessoas, desidentificadas, submetidas à investigação (idade, sexo, hábitos sexuais, alimentação, prática de atvidade física etc.).

O que fazer, então?

Considerando os parâmetros estabelecidos pela Lei Geral de Proteção de Dados Pessoais para o tratamento de dados pessoais sensíveis, algumas medidas podem ser adotadas tanto por operadores e controladores de dados pessoais de saúde como por pacientes, as quais são listadas abaixo.

Aos controladores (a quem compete as decisões referentes ao tratamento de dados pessoais):

  • Coletar o consentimento de forma clara e inequívoca do titular dos dados pessoais, quando não houver outra hipótese legal para o tratamento de dados.
  • Indicar, de forma pública, o encarregado (isto é, a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados) pelo tratamento de dados.
  • Manter o registro das operações de tratamento de dados pessoais que realizarem.
  • Elaborar o relatório de impacto à proteção de dados pessoais, inclusive de dados pessoais sensíveis, referente a suas operações de tratamento de dados.
  • Comunicar à Autoridade Nacional de Proteção de Dados Pessoais e ao titular dos dados de saúde a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
  • Fiscalizar e exigir a observância das normas de proteção de dados, quando o tratamento de dados for realizado por um operador (isto é, um terceiro).
  • Quando for dispensado o consentimento do titular, quando envolver dados sensíveis ou for requerido pela Autoridade Nacional de Proteção de Dados Pessoais, elaborar Relatório de Impacto à Proteção de Dados Pessoais.
  • Implementar um Programa de Governança em Privacidade, que respeite os requisitos mínimos trazidos pela LGPD.
  • Atender os direitos dos titulares de dados pessoais.
  • Certificar-se de quais são as obrigações legais ou regulatórias que devem cumprir e como elas influenciam no tratamentos dos dados pessoais de saúde dos pacientes (em diversas situações, será preciso armazenar e compartilhar tais dados com autoridades públicas).
  • Certificar-se, no desempenho de suas atividades, em que situações exercem regularmente seus direitos no compartilhamento e/ou na comunicação de dados pessoais de saúde dos pacientes (para a execução de alguns serviços de saúde, é imprescindível o tratamento de dados, a começar pela requisição de exames ou dos resultados de exames requisitados).
  • Jamais, sob hipótese alguma, compartilhar dados de saúde para a obtenção de vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, quando previsto no contrato com o paciente, e para a execução das transações financeiras e administrativas resultantes do uso e da prestação dos serviços.
  • Jamais, sob hipótese alguma, operar dados pessoais de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários de planos de saúde.
  • Buscar, sempre que possível e desde logo, a anonimização dos dados de saúde caso tenha interesse em trabalhar com um banco de dados de características de determinada população (o que vale também para entes públicos).
  • Certificar e documentar todos os cuidados tomados no tratamento e na proteção de dados pessoais de saúde dos pacientes, com vistas a evitar problemas futuros e comprovar o atendimento dos parâmetros estabelecidos pela Lei Geral de Proteção de Dados Pessoais.
  • Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
  • Buscar, sempre, auxílio jurídico perante profissionais qualificados ou entidades profissionais de classe (sindicatos, conselhos e afins).

Aos operadores (quem realiza o tratamento de dados pessoais):

  • Indicar, de forma pública, o encarregado (pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados) pelo tratamento de dados.
  • Manter o registro das operações de tratamento de dados pessoais que realizarem.
  • Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
  • Comunicar à Autoridade Nacional de Proteção de Dados Pessoais e ao titular dos dados de saúde a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
  • Implementar um Programa de Governança em Privacidade, que respeite os requisitos mínimos trazidos pela LGPD.
  • Realizar o tratamento segundo as instruções fornecidas pelo controlador, desde que alinhado aos princípios da LGPD e às boas práticas para o tratamento de dados pessoais.
  • Certificar-se de quais são as obrigações legais ou regulatórias que devem cumprir e como elas influenciam no tratamentos dos dados pessoais de saúde dos pacientes (em diversas situações, será preciso armazenar e compartilhar tais dados com autoridades públicas).
  • Certificar-se, no desempenho de suas atividades, em que situações exercem regularmente seus direitos no compartilhamento e/ou na comunicação de dados pessoais de saúde dos pacientes (para a execução de alguns serviços de saúde, é imprescindível o tratamento de dados, a começar pela requisição de exames ou dos resultados de exames requisitados).
  • Buscar, sempre que possível e desde logo, a anonimização dos dados de saúde caso tenha interesse em trabalhar com um banco de dados de características de determinada população (o que vale também para entes públicos).
  • Certificar e documentar todos os cuidados tomados no tratamento e na proteção de dados pessoais de saúde dos pacientes, com vistas a evitar problemas futuros e comprovar o atendimento dos parâmetros estabelecidos pela Lei Geral de Proteção de Dados Pessoais.
  • Buscar, sempre, auxílio jurídico perante profissionais qualificados ou entidades profissionais de classe (sindicatos, conselhos e afins).

Aos pacientes:

  • Tomar ciência dos direitos que possui quanto aos seus dados pessoais de saúde elencados na Lei Geral de Proteção de Dados Pessoais.
  • Compreender que seus dados pessoais, especificamente os dados pessoais de saúde, apresentam importância comercial gigantesca, e podem ser utilizados para diversos fins, inclusive contra seus interesses.
  • Documentar qualquer suspeita de compartilhamento ou uso compartilhado de dados pessoais de saúde por distintos controladores (recebimento de SMS, mensagens de WhatsApp, e-mails, cartas etc.).
  • Informar às autoridades eventual comunicação ou uso compartilhado suspeitos de dados pessoais de saúde por distintos controladores.
  • Atentar para eventual consentimento para o tratamento de seus dados pessoais solicitado pelo prestador de serviços de saúde, especialmente dados de interesse de empregadores, seguradoras ou planos de saúde.
  • Adotar, sempre, todos os procedimentos de segurança recomendados para a proteção de senhas e/ou guarda de documentos relativos a dados de saúde.
  • Evitar compartilhar com pessoas desconhecidas ou de que não confia seus dados pessoais de saúde.
  • Buscar, sempre, auxílio jurídico perante profissionais qualificados ou entidades de proteção ao consumidor.

Vinícius Gabriel Krey é acadêmico da Faculdade de Direito da Universidade Federal do Rio Grande do Sul (UFRGS). Coordenador do Grupo de Propriedade Intelectual da Assessoria Jurídica Hernani Estrella (AJHE/ UFRGS). Pesquisador de Iniciação Científica nas áreas de Proteção de Dados, Direito Digital e Propriedade Intelectual. Estagiário na área de Propriedade Intelectual e Direito Digital do Silveiro Advogados

Rafael Wobeto Pinter é advogado, Bacharel em Ciências Jurídicas e Sociais – Direito pela UFRGS, Mestre em Direito (UFRGS) e Sócio da Agrega Pesquisa e Desenvolvimento em Biotecnologia. Além disso, faz parte da equipe de colunistas do portal Infohealth.


LEIA MAIS COLUNAS:
Doutor, você errou: breves dilemas e diretrizes sobre a caracterização do erro médico.
O que posso esperar do meu plano de saúde?
Fornecimento de remédios pelo Estado: afinal, qual é o meu direito?

[1] Para acessar a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), v. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

[2] Para consultar a Constituição Federal, acesse http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm.

[3] Sobre isso, v. https://www.conjur.com.br/2020-set-23/direito-digitala-vigencia-lgpd-desafio-adequacao-brasil-brasil.

[4] Nesse sentido, v. https://www.coe.int/en/web/data-protection/-/brazil-and-the-data-protection-commission-of-gabon-to-join-the-committee-of-convention-108-as-observers-

[5] Trata-se de célebre frase a respeito dos chamados “transplantes jurídicos”. Mais precisamente, v. DAMAŠKA, Mirjan. The Uncertain Fate of Evidentiary Transplants: Anglo-American and Continental Experiments. American Journal of Comparative Law, v. 45, n. 4, 1997. p. 840.

[6] Nesse sentido, v. https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2020/12384-mpdft-ajuiza-1-acao-civil-publica-com-base-na-lgpd; https://veja.abril.com.br/blog/radar-economico/lgpd-ja-tem-sua-primeira-acao-civil-publica

[7] Por todos, sobre isso, v. ARANTES, Rogério Bastos. Ministério Público e política no Brasil. São Paulo: Educ/Sumaré, 2002; NUNES, Fábio José Kerche. O ministério público no Brasil: autonomia, organização e atribuições. Universidade de São Paulo, São Paulo, 2003.

[8] Alguns dos exemplos foram retirados de https://grupomidia.com/hcm/lgpd-saude/#:~:text=Na%20%C3%A1rea%20da%20sa%C3%BAde%2C%20o,expresso%2C%20em%20documento%20separado%20e

Rafael Wobeto Pinter
Primeiro site de notícias de saúde do Brasil.

Faça um comentário

Deixe seu comentário

Artigos Relacionados

Redes Sociais

3,814FãsCurtir
603SeguidoresSeguir
56SeguidoresSeguir

Atualizações