A União Europeia apresenta desde 2012, na Carta dos Direitos Fundamentais da União Europeia, a proteção de dados como um dos direitos fundamentais, em seu artigo 8º, dentro do Título II que versa sobre "Liberdades":
1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação.
Em 2016, a União Europeia publicou o Regulamento Geral de Proteção de Dados aplicável a todos os indivíduos na União Europeia. Já há dois anos em vigência produziu como efeitos: multas milionárias, adequação das empresas às diretrizes da lei e muita discussão sobre o tema da privacidade. Há ainda muitas críticas sobre a afetiva aplicação da lei e não se pode dizer que a adesão das empresas foi majoritária, infelizmente.
Nos EUA, o Departamento de Saúde dispõe de um Portal da Violação em que são registrados os casos notificados que envolvam possível incidentes de segurança com informações de saúde. Nos últimos 24 meses, foram reportadas em torno de 560 violações, que afetaram 500 ou mais pessoas, segundo informações contidas no site da instituição. Por lá, desde 2009, vigora a Lei HITECH (Health Information Tecnology for Economic and Clinical Health). A Lei traduz uma preocupação com privacidade das informações sobre saúde transmitidas eletronicamente, fortalecendo as sanções já previstas na HIPPA (Health Insurance Portability and Accountability).
A exigência de padrões de segurança, presente na lei americana desde 1996, foi essencial para que se aumentasse a proteção aos dados de saúde das pessoas. No entanto, mesmo existente a lei há mais de 20 anos, problemas com a violação de dados sensíveis continuam a ocorrer. No entanto, sem padrões rígidos estabelecidos na legislação, as violações seriam certamente superiores às já existentes e, talvez, sequer se soubesse delas.
Fato é que os dados de saúde precisam circular dentro do sistema, não há como impedir que sejam encaminhadas aos planos de saúde as informações dos usuários atendidos para que se processe, por exemplo, um pagamento. Só no sistema suplementar de saúde, segundo a ANS (Agência Nacional de Saúde Suplementar), há 47.039.728 beneficiários. O que se pretende, porém, é que cada vez mais softwares seguros sejam utilizados e que seja desenvolvida uma cultura de proteção de dados e de segurança de informações.
Se consideradas as últimas notícias sobre possíveis ataques cibernéticos e incidentes de segurança, envolvendo HapVida, Hospital Sírio Libanês, Hospital de Câncer de Barretos, chega-se à conclusão de que não se trata de tarefa fácil garantir a privacidade dos dados de saúde.
Pesquisa recente do Centro Regional de Estudos para o Desenvolvimento da Sociedade de Informação (Cetic.br), hoje há no país 134 milhões de usuários de Internet. A população brasileira apresenta mais de 211 milhões de habitantes; ou seja, ainda há milhões de excluídos do mundo digital, mas não por muito tempo.
Em alguns países, o direito à proteção dos dados pessoais tornou-se um direito constitucional, o que faz diferença na prática por se colocar tal direito como fundamental. Aqui no Brasil, espera-se a votação do Projeto de Emenda à Constituição, o PEC n. 17/2019 - do Senado Federal - que "altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais. A referida emenda constitucional trata também da fixação da competência da união para legislar sobre proteção de dados, o que se justifica para que não haja leis estaduais e municipais versando sobre o assunto.
Ainda que a LGPD viva um momento de indefinição quanto ao início de sua vigência, status que cria uma insegurança jurídica injustificável e macula a imagem do país no exterior, todas as organizações precisam se adequar. Cada vez é mais comum que investigações sejam realizadas pelo MPDFT e outros órgãos com o escopo de investigar o uso que empresas possivelmente fazem de dados pessoais sem autorização de seus titulares. No Brasil, enquanto se aguarda a efetiva formação e funcionamento da ANPD (Autoridade Nacional de Proteção de Dados), que será o órgão responsável pelo cumprimento da LGPD, estão bastante atuantes a Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) e o Núcleo de Combate a Crimes Cibernéticos (Ncyber), ambos grupos especiais criados pelo MPDFT.
Alguns exemplos, entre vários existentes, para se citar que inclusive antecedem a publicação da LGPD: em 2015, o site "Cartório Virtual" oferecia como serviços informações que somente poderiam ser obtidas a partir da quebra de sigilo telefônico. A legenda do site sugeria que os serviços seriam indicados "se você tem dúvidas e deseja saber para quem seus parentes e funcionários estão telefonando".
Em julho de 2018 (a LGPD foi publicada em agosto do mesmo ano), o site "tudosobretodos" passou a ser investigado pelo MPDFT (Ministério Público do Distrito Federal e Territórios), em razão de possibilitar o conhecimento do CPF, endereço, parentes e até vizinhos de uma pessoa. Também data de 2018, o Inquérito Civil instaurado pelo mesmo em face do Facebook, após a notícia de vazamento de informações de mais de 50 milhões de usuários pela empresa inglesa Cambridge Analytica para propaganda política nos Estados Unidos. O objetivo do MPF era saber o de saber se também havia dados de brasileiros envolvidos.
Nesse segundo ano de vida da LGPD, ganhou-se muito em discussões sobre a importância da lei, mas não se tem números sobre quantas organizações estariam prontas para sua vigência imediata, até porque muitos pontos ainda precisam ser regulamentados pela Autoridade Nacional de Proteção de Dados.
Enfim, proteger os dados dos cidadãos ganhou importância mundial e no Brasil não pode adiar mais a adoção de políticas de governança de dados e políticas de privacidade que levem em conta a garantia dos direitos dos titulares dos dados. É a hora!
*Sandra Franco é consultora jurídica especializada em Direito Médico e da Saúde, doutoranda em Saúde Pública, MBA/FGV em Gestão de Serviços em Saúde, fundadora e ex-presidente da Comissão de Direito Médico e da Saúde da OAB de São José dos Campos (SP) entre 2013 e 2018, membro do Comitê de Ética para pesquisa em seres humanos da UNESP (SJC) e presidente da Academia Brasileira de Direito Médico e da Saúde
