ASPECTOS GERAIS SOBRE A PROTEÇÃO DE DADOS PESSOAIS NA ÁREA DE SAÚDE

As atividades que envolvem os serviços de saúde sempre tiveram na privacidade um
dos seus maiores postulados éticos. Afinal, todos os cuidados relacionados à saúde
dependem previamente de informações prestadas pelos indivíduos que, via de regra,
pertencem a sua esfera íntima, e que, dessa maneira, não devem ser expostas publicamente.
Essa necessidade de proteção à privacidade que recai sobre os profissionais e
organizações que atuam na área de saúde não atinge apenas os cuidados necessários para
evitar a disseminação indevida das informações prestadas pelo paciente mas também a
própria segurança e restrição no acesso ao registros médicos e prontuários que envolvam a
saúde do indivíduo de um modo geral. E neste último aspecto, os avanços tecnológicos que
possibilitaram o advento de registros médicos eletrônicos e sistemas de gerenciamento de
pacientes levantaram novas preocupações sobre a privacidade na área da saúde, uma vez
que eventuais vazamentos possuem uma alta probabilidade de que esses dados possam
gerar danos à imagem dos interessados.
Nesse âmbito de análise, não se pode deixar de considerar que a informação tem se
tornado um dos mais importantes e valiosos recursos em uma sociedade cada vez mais
informatizada. Na denominada “Era da Informação”, os dados pessoais vêm sendo
considerado como o “novo petróleo” em vista do seu elevado valor econômico à medida
que podem ser rentabilizados de diversas maneiras, seja através do acúmulo, exploração ou
venda dessas informações. Realidades como o Big Data, algoritmos e inteligência artificial
permitem que empresas tracem perfis complexos e precisos sobre as pessoas tornando
essas informações em ativos capitalizáveis. Não é à toa que apenas com acesso à perfis e
opiniões expressadas em redes sociais a Cambridge Analytica disse ser capaz de “ler a mente
de cerca de 200 milhões de americanos”, enquanto que a sua rival Acxiom revela
publicamente que seu banco contém dados de 700 milhões de pessoas ao redor do mundo.
No que diz respeito à área de saúde, a possibilidade de que dados clínicos de
pacientes sejam divulgados de forma massiva é uma das preocupações mais relevantes, pois
ninguém quer que informações referentes a sua saúde sejam de conhecimento público.
Também é necessário considerar que os bancos de dados na área de saúde, além de
despertarem grande interesse econômico para o desenvolvimento de produtos e serviços
por parte de inúmeras organizações como, por exemplo, laboratórios, indústrias, corretoras
de seguro e planos de saúde, também podem, por outro lado, revelar traços íntimos e
sensíveis dos pacientes capazes de causar situações vexatórias e discriminatórias pelo
estigma social que recai sobre certas doenças. Há, sem dúvidas, uma necessidade de
regulação e tratamento adequado aos dados pessoais principalmente para evitar
constrangimentos públicos sobre a saúde dos pacientes.
Diante desse cenário, já há algum tempo existem normas que disciplinam o dever de
sigilo aos dados pessoais na área da saúde, inicialmente nos Códigos de Ética Profissionais,
como o dos médicos, dos enfermeiros e dos fisioterapeutas. Mais recentemente, novas
regulamentações surgiram para a proteção da privacidade e confidencialidade das
informações pessoais dos pacientes, como por exemplo:
• Lei 8.078/90, Código de Defesa do Consumidor, que trata dos bancos de dados nas
relações de consumo, como ocorre entre pacientes e prestadores de serviços de
saúde;
• Portaria nº 5/2002 da SDE/MJ, que trata como abusiva as cláusulas em contratos de
consumo que autorizam o envio de dados pessoais sem o consentimento prévio dos
consumidores;
• Resolução CFM Nº 1.821/07, que trata sobre o prontuário eletrônico de dados
médicos, considerados sensíveis;
• Resolução ANVISA da Diretoria Colegiada nº 44/2009, que dispõe sobre Boas Práticas
Farmacêuticas para prestação de serviços farmacêuticos, inclusive o uso de dados
pessoais;
• Resolução Normativa ANS – RN Nº 305/2012, que estabeleceu o Padrão obrigatório
para Troca de Informações na Saúde Suplementar – Padrão TISS – dos dados de
atenção à saúde dos beneficiários de Plano Privado de Assistência à Saúde;
• Lei nº 13.021/2014, que dispõe sobre o exercício e a fiscalização das atividades
farmacêuticas e trata do preenchimento de fichas farmacoterapêuticas com dados
pessoais normais, que podem ser considerados dados consumeristas, e dados
pessoais sensíveis, como os que revelam alguma característica fisiológica de
pacientes;
• Lei 12.965/2014, conhecida como Marco Civil da Internet (“MCI”), que estabeleceu
direitos, limites e obrigações de usuários e serviços de Internet, inclusive plataformas
e aplicativos de saúde, tratando também de questões ligadas ao uso de dados
pessoais;
• Decreto 8.771/16, que regulamentou aspectos do MCI, inclusive sobre o uso de dados
pessoais, estabelecendo limites, como a obrigação de se coletar dados somente para
uma finalidade determinada, apenas na quantidade e nos tipos necessários para
atingir esse propósito.
Mas não obstante a existência de normas esparsas e pontuais sobre a proteção da
privacidade das informações na área de saúde, o Brasil ainda carecia de uma normatização
geral sobre a proteção de dados pessoais. Diante da necessidade de regulação sobre o
tratamento da proteção de dados, a nova Lei Geral de Proteção de Dados – LGPD (Lei nº
13.709/2018), que entrará em vigor em agosto de 2020, impõe a obrigação de adequação
de todos os processos internos, especialmente para aquelas organizações que lidam em suas
rotinas com dados pessoais sensíveis, como ocorre na área de saúde como um todo. E, de
forma mais específica para clínicas, laboratórios e hospitais, também foi promulgada a Lei
sobre Digitalização e a Utilização de Sistemas Informatizados para a Guarda,
Armazenamento e o Manuseio do Prontuário do Paciente (Lei nº 13.787/18).
Desse modo, todas as organizações que atuam na área de saúde como hospitais,
clínicas, laboratórios e operadoras de planos de saúde, deverão promover as adequações
necessárias em seus processos internos para a correta proteção de todos os dados coletados
no atendimento ao paciente. Em caso de violação aos dados pessoais após a vigência da Lei
Geral de Proteção de Dados a organização envolvida poderá receber desde uma simples
advertência como a imposição de multas equivalentes a até 2% do seu faturamento,
limitadas ao valor de R$ 50 milhões, além da responsabilidade civil e criminal pelos danos
causados, dependendo da violação.
Um caso emblemático ocorrido em Portugal foi a multa de 400 mil Euros imposta a
um hospital por permitir acessos indevidos a registros médicos. Apesar desse hospital
possuir em seu quadro 296 médicos, os sistemas internos permitiam que mais de 900
médicos continuassem com as contas de acesso a repositórios clínicos ativos. Contas de
assistentes sociais, falhas no sistema de autenticação e a inexistência de regras de acesso
também contribuíram para a aplicação dessa multa pelo Conselho Nacional de Proteção de
Dados de Portugal. Um outro exemplo que mostra a vulnerabilidade na proteção de dados
na área de saúde foi o improvável vazamento de dados que atingiu o maior grupo de saúde
de Singapura, o SingHealth, que tornou público dados pessoais de 1,5 milhão de pacientes,
além de prescrições médicas de 160 mil.
Portanto, o mapeamento, implementação e acompanhamento de um Programa de
Proteção de Dados adequado, com a identificação de vulnerabilidades e consequente
adequação para o cumprimento das disposições legais para a proteção de dados pessoais,
deve ser efetivado por todas as organizações que atuam na área de saúde, evitando,
também, o risco de condenações e imposição de pesadas multas e indenizações pelo
descumprimento dessas normas.