A Lei Geral de Proteção de Dados (Lei n.º 13.709/2018) foi recentemente alterada pela conversão da Medida Provisória n.º 869/2018 em lei, a Lei nº 13.853/2019. O texto final da LGPD, aprovado pelas duas casas legislativas, foi finalmente sancionado no último dia 8 de julho, e trouxe, entre outras modificações, relevantes alterações na proteção de dados sensíveis relativos à saúde.
A lei original trazia, e isso não mudou com a MP, as definições de dado pessoal e dado pessoal sensível. De acordo com seu artigo 5.º, I, dado pessoal seria toda informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível, por outro lado, é qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados, assim, que podem dar margem a qualquer comportamento discriminatório em relação ao seu titular. A esses dados, a lei deu proteção ainda mais efetiva.
Os dados relacionados à saúde, assim, são considerados dados sensíveis, e, por conseguinte, possuem regramentos específicos, previsto nos artigos 11 a 13, da LGPD, em capítulo próprio. A Medida Provisória nº 869/2018, contudo, trouxe relevantes alterações a esse respeito.
A redação original do artigo 11 enunciava:
"§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto os casos de portabilidade de dados quando consentido pelo titular."
Com a alteração, o dispositivo passou a dispor da seguinte forma:
"§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.
- 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários." (NR)
A alteração não é apenas na forma da redação do dispositivo, já que traz duas novas possibilidades importantes de comunicação ou uso compartilhado de dados sensíveis entre controladores mesmo sem o consentimento do titular do dado.
Sendo assim, é importante compreender as reais implicações que essa alteração da lei traz aos operadores e titulares dos dados.
A versão original do texto trazia apenas uma possibilidade de controladores comunicarem ou compartilharem entre si dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica: somente nos casos de portabilidade de dados quando consentido pelo titular.
A nova versão, por sua vez, dispôs que essa comunicação e compartilhamento de dados de saúde entre controladores é possível em caso de portabilidade com o consentimento do titular (como na redação original), mas também para a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados e para as transações financeiras e administrativas resultantes do uso e da prestação dos serviços anteriormente mencionados.
Ou seja, a lei trouxe duas novas possibilidades da comunicação ou compartilhamento de dados mesmo sem o consentimento dos titulares.
Essas novas hipóteses de comunicação de compartilhamento de dados são bastante amplas, o que poderia ensejar usos indevidos pelos operadores. Dessa forma, é necessário entender as novas permissões legais de comunicação e compartilhamento de dados.
É bem verdade que a natureza, interpretação e limites dessa abrangência somente serão de fato conhecidos quando a autoridade nacional passar a se pronunciar em casos concretos, bem como elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade. Contudo, por ora, é possível identificar comportamentos já existentes no setor, bem como adaptações que possam desde agora ser implementadas para uma boa adequação à LGPD. E mais, é preciso identificar comportamentos que não serão mais tolerados por contrariarem os preceitos da lei.
De fato, ao observar o setor de saúde regulamentado, é fácil notar os inúmeros compartilhamentos de dados sensíveis entre operadores, e entre operadores e titulares de dados. Na realidade, esse compartilhamento de dados está no núcleo central da prestação de serviços de saúde.
Como exemplo, temos o pedido de reembolso por despesas médicas aos seguros de saúde,em que o titular dos dados somente recupera os valores gastos se o médico que o atendeu encaminhar um descritivo do procedimento médico realizado. No mesmo sentido, a operadora de saúde só autoriza a realização de procedimentos médicos mediante o fornecimento de laudo de exames do titular dos dados.
Profissionais de saúde compartilham informações e exames entre si em discussões de casos, em busca de um melhor tratamento ao paciente/titular dos dados. Nesse compartilhamento entre colegas, informações clínicas e exames de imagens são encaminhados através de aplicativos de mensagens entre colegas a fim de trocar opinião na busca de uma bom tratamento ao titular dos dados.
Ainda, o titular do dado, ao aderir ao seguro de saúde, preenche a declaração de saúde onde faz constar dados sensíveis como doenças pré-existentes.
O uso contínuo de medicamentos pode ensejar a participação de alguns programas de descontos, condicionados ao preenchimento de cadastros nas farmácias participantes. Aliás, o uso contínuo de medicamentos também pode ensejar outro tipo de tratamento de dados, o cadastro no Sistema Único de Saúde para o programas público de fornecimento de medicação, o que seria exemplo de "assistência farmacêutica", prevista no parágrafo 4.º.
Observe que esses são apenas algumas situações que demonstram como o compartilhamento dos dados pessoais é essencial para o funcionamento do setor de prestação de serviços de saúde. No entanto, justamente em função de sua essencialidade, o setor deverá adequar o uso dos dados ao que dispõe os princípios da LGPD. Não cabe aqui discorrer longamente sobre esses princípios, mas é válido reforçar que não se pode perder de vista que o objeto de proteção da lei é o respeito à privacidade, à inviolabilidade da intimidade, da honra e da imagem, dos direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoais naturais. É, em última instancia, a proteção de direitos fundamentais dos titulares dos dados.
A permissão legal do uso, compartilhamento e comunicação de dados, por mais amplo que seja, deve ter em vista a boa prestação do serviço médico, farmacêutico e terapêutico "em benefício do titular dos dados". É precisamente esse trecho do parágrafo 4º que restringe as práticas dos operadores de saúde, na medida em que não podem comunicar ou compartilhar dados a menos que seja para prestar o serviço de assistência à saúde e em benefício do titular. Essa parte do dispositivo é muito importante, porque elimina, por exemplo, compartilhamentos que tenham como objetivo principal a obtenção de lucro. Um exemplo dessa prática, a partir de agora proibida, é a coleta de dados pessoais de consumidores em farmácias para posterior venda a parceiros comerciais. Se os dados dos titulares forem coletados com o propósito de concessão de descontos, eles só poderão ser usados para essa finalidade.
Assim, é preciso ficar claro que os tratamentos de dados podem e devem ser realizados sem, contudo, perder o foco do objeto de tutela da lei.
Dessa forma, os tratamentos de dados deverão coexistir com os princípios gerais previstos na Lei Geral de Proteção de Dados. A intrínseca dependência do uso de dados de saúde para o setor não permite que seja diferente, mas é evidente que a partir de agora os dados pessoais só poderão ser tratados se os princípios da LGPD forem efetivamente colocados em prática, para que sempre haja o respeito à boa-fé, respeito à finalidade do propósito do tratamento, adequação do tratamento à sua finalidade, limitação do tratamento ao mínimo necessário para o cumprimento do seu propósito, garantia aos titulares do livre acesso aos seus dados, garantia da qualidade dos dados e de sua transparência, garantia de proteção aos dados, prevenção de danos em virtude do tratamento, e, a demonstração pelo agente de que adotou medidas eficazes e capazes de comprovar a observância das normas de proteção.
Atendendo aos princípios da norma geral de proteção de dados é a única maneira se se operar com a comunicação e compartilhamento de dados sensíveis de saúde.
Além disso, o novo texto da LGPD, modificado pela Medida Provisória nº 869/2018 busca regulamentar a prática do setor, em consonância com o que já dispunha normas setoriais, como a Súmula Normativa nº27, de 10 de junho de 2015, da Agência Nacional de Saúde Suplementar (ANS).
Citada súmula já vedava a prática de seleção de riscos pelas operadoras de planos de saúde na contratação de qualquer modalidade de plano privado de assistência. O parágrafo 5º, incluído ao artigo 11 da nova redação da LGPD tem precisamente essa preocupação, a de proibir que o uso de dados dos titulares seja destinado para prejudica-los na contratação de um plano de assistência médica.
O setor de saúde está essencial e fundamentalmente baseado no uso de dados pessoais de saúde dos titulares, e isso não pode ser mudado. O que precisa mudar para a conformidade com a lei, bem como para a adequação aos novos parâmetros mundiais de respeito aos direitos dos titulares dos dados, são as boas práticas nos tratamentos desses dados.
*Ana Maria Roncaglia, especialista em proteção de dados na área da saúde, advogada do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados
