Desde a aprovação da Lei Geral de Proteção de Dados (LGPD) pela Presidência da República, em 14.08.2018, empresas e governo tem se debruçado sobre as implicações dela decorrentes.
Dita regulamentação emerge de uma necessidade surgida a partir da digitalização da economia, onde os dados circulam com total liberdade em uma sociedade sem fronteiras físicas, alimentando bancos de dados espalhados pelo planeta e alterando sobremaneira os conceitos e padrões que até então o cidadão tinha de privacidade e intimidade.
Na esteira do que fez a União Europeia, cujo regulamento de notável rigor teve sua vigência iniciada em 25.05.2018, o Brasil se apressou em legislar o assunto, impedindo a fuga de investimentos, na medida em que, desde a vigência do regulamento europeu, nenhuma empresa ou grande organização quer investir em um país que não tenha regras claras sobre a proteção dos dados pessoais.
Um caso recente ocorrido no Brasil ilustra bem a questão ora tratada. Soube-se, em janeiro deste ano de 2018, que o aplicativo E-Saúde, do Ministério da Saúde, em razão de considerável falha de segurança, expôs, ao longo de sete meses, informações pessoais referentes à saúde dos brasileiros. Esta falha permitiu que dados médicos de milhões de brasileiros fossem acessados, de forma indiscriminada, por qualquer interessado.
Os dados vazados pelo aplicativo E-Saúde detém um valor de mercado inestimável, na medida em que podem ser utilizados para a formação do perfil médico dos usuários de planos de saúde, como por exemplo, doenças pré-existentes ou tendências patológicas, impedindo ou limitando a própria contratação de algum plano ou estipulação de mensalidades discriminatórias.
Este é apenas um exemplo que demonstra a relevância do tema “dados x saúde”. Inúmeras são as situações que atribuem aos dados médicos dos cidadãos um enorme potencial lesivo caso os mesmos sejam tratados de forma inadequada.
Abrangência
O regramento trazido pela nova lei se impõe de forma ampla e irrestrita a toda e qualquer pessoa jurídica, seja de direito público ou privado, desde que efetue algum tratamento de dados pessoais, em formato físico ou digital.
Dados Pessoais
De acordo com o disposto no artigo 5º, inciso I da LGPD, consideram-se dados pessoais toda e qualquer informação relacionada à pessoa natural, identificada ou identificável, como por exemplo, nome, idade, endereço, e-mail, estado civil, etc.
Tratamento
O mesmo artigo 5º, em seu inciso X, define tratamento como toda e qualquer operação realizada com dados pessoais, desde a coleta, armazenamento, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Implicações na Área da Saúde – Dados Sensíveis
Para as empresas e profissionais que atuam na área da saúde, contudo, a LGPD traz regramento bem específico, inclusive no tocante às penalidades, na medida em que categoriza os dados pessoais tratados por este ramo como sendo dados sensíveis.
Dados sensíveis, segundo o artigo 5º, inciso II da LGPD, abarcam: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A partir do que se define por dados sensíveis, é possível constatar que a LGPD afetará, diretamente, a forma como hospitais, consultórios e clínicas médicas, operadoras de planos de saúde, postos de saúde, laboratórios, indústria farmacêutica e afins tratam os dados de seus pacientes, usuários e consumidores.
Não há mais espaço para amadorismo quando o assunto for dados pessoais e seu tratamento, situação que se agrava em relação aos dados sensíveis relacionados com a saúde do titular, diante do maior potencial lesivo em caso de utilização indevida.
E isto ocorre porque a lei visa resguardar os direitos fundamentais de liberdade, intimidade e de privacidade dos cidadãos e consumidores.
É possível afirmar que a LGPD traz em seu bojo o objetivo maior de proteger o cidadão/consumidor do uso indevido de seus dados pessoais médicos para a criação de políticas comerciais discriminatórias e economicamente desvantajosas.
A par disso, impõe-se às empresas que atuam na área da saúde a premente necessidade de adoção de um programa de governança verdadeiramente eficaz destes bancos de dados, garantindo a segurança das informações e impedindo acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.
Em relação à possibilidade de tratamento de dados sensíveis, o artigo 11, inciso I da LGPD aponta os requisitos necessários para que isto ocorra, merecendo destaque, a necessidade inarredável do consentimento expresso do titular.
O consentimento fornecido pelo usuário/consumidor deve conter, de forma clara e inequívoca, as finalidades específicas do tratamento, sendo nula autorização genérica, com conteúdo enganoso ou abusivo. Poderá ser fornecido por escrito ou outro meio que demonstre, de forma inequívoca, a manifestação de vontade do titular.
Em algumas situações bem específicas, a LGPD permite, excepcionalmente, o tratamento de dados pessoais sensíveis sem fornecimento de consentimento, merecendo destaque as seguintes situações:
- para cumprir obrigação legal ou regulatória: diante do caráter amplo e genérico da norma, acredita-se que órgãos regulatórios, como a ANS (Agencia Nacional de Saúde Suplementar), venham a definir o que seriam estas obrigações, com risco para mitigação da norma.
- execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos: neste caso, a exceção proposta pela LGPD deverá, necessariamente, estar enquadrada dentro dos planos de governo no que toca à saúde dos cidadãos brasileiros.
- estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis: os dados que vierem a embasar estudos deverão ser mantidos em sigilo ou passar por processo seguro de anonimização, garantindo a privacidade do titular em caso de vazamento.
- exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral: esta exceção está intrinsicamente ligada à garantia constitucional do exercício regular do direito de defesa, ressalvados o sigilo médico e profissional.
- proteção da vida ou da incolumidade física do titular ou de terceiro: deve ser considerado, em tese, o direito do cidadão de recusar-se à submissão à determinado procedimento/tratamento por razões pessoais, religiosas, etc.
- tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias: a dúvida que se impõem é, quem seriam, para a LGPD, profissionais da área da saúde e quais os procedimentos abarcados? Lacunas que decorrem de previsões amplas e genéricas e que deverão ser preenchidas a partir da análise dos casos concretos ou regulações específicas.
- garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Ainda dentro das especificidades da LGPD em relação à área da saúde e os dados sensíveis que dela decorrem, fica vedado qualquer comunicação ou uso compartilhado de dados sensíveis referentes à saúde caso o objetivo seja a obtenção de vantagem econômica, ressalvados os dados anonimizados, desde que o processo de anonimização não seja suscetível de reversão.
Os dados sensíveis poderão, mediante consentimento expresso do titular, ser objeto de portabilidade. Exemplo típico desta portabilidade é quando o titular migra para outra operadora de plano de saúde, podendo, a partir da vigência da LGPD, requerer a portabilidade de seus dados.
Crianças e Adolescentes
Além dos dados sensíveis que estão diretamente ligados à área da saúde, outro dado que demanda atenção especial pela LGPD são os dados de crianças e adolescentes.
Em relação a tais dados, o artigo 14 dispõem que o tratamento somente poderá ser realizado em atenção ao melhor interesse do menor.
Ainda, o tratamento destes dados exigirá um consentimento específico e destacado, concedido por pelo menos um dos pais ou pelo responsável.
Direitos do Titular
Além da portabilidade, a LGPD em seu artigo 18, conferiu uma série de direitos ao titular dos dados, os quais seguem:
- confirmação da existência de tratamento: neste caso, é dever das empresas informar, sempre que instadas, se os dados do titular estão sendo objeto de algum tipo de tratamento.
- acesso aos dados: as empresas deverão, sempre que solicitadas pelo titular, permitir o acesso aos dados, os quais poderão ser fornecidos em meio eletrônico ou impresso, a critério do titular.
- correção de dados incompletos, inexatos ou desatualizados: é possível ao titular, a qualquer momento, requerer a retificação dos dados pessoais caso ocorra mudança de endereço, nome, estado civil, etc.
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei: o titular pode requerer que seus dados pessoais sejam anonimizados (o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo), bloqueados (suspensão temporária de qualquer operação de tratamento) ou eliminados (exclusão de dado ou de conjunto de dados armazenados em banco de dados), total ou parcialmente, caso entenda que não estão sendo tratados em observância a legislação.
- eliminação dos dados pessoais tratados: passa a ser permitido ao titular dos dados a possibilidade de requerer a exclusão de dado ou de conjunto de dados armazenados em banco de dados.
- informação das entidades públicas e privadas com as quais tenha sido realizado uso compartilhado de dados: o titular dos dados pode requerer informações a respeito de quais as entidades, pública ou privada, com as quais possa ter havido o uso compartilhado dos seus dados pessoais.
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: o titular não é obrigado a consentir com o tratamento dos seus dados pessoais, devendo, para tanto, ser ampla a claramente informado sobre as implicações decorrentes desta recusa, como por exemplo, ter o acesso a algum produto ou serviço negado ou limitado.
- revogação do consentimento: o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, mantidos os tratamentos realizados até então, salvo se houver requerimento de eliminação.
Todas as prerrogativas acima elencadas deverão ser requeridas expressamente pelo titular e atendidas de forma imediata e sem qualquer ônus.
Sanções Administrativas e Judiciais
Em caso de infrações cometidas às normas previstas na LGPD, os agentes de tratamento ficam sujeitos às seguintes sanções administrativas, nos termos do artigo 52:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total R$ 50.000.000,00 (cinquenta milhões de reais);
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração.
As sanções previstas pela LGPD para a esfera administrativa não afastam a possibilidade de ação judicial, a ser promovida pelo titular dos dados ou entidades de proteção ao consumidor, quando constatada a ocorrência de dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais.
Conclusão
A partir de fevereiro de 2020, empresas e governos deverão estar ajustados à LGPD.
A lei conferiu um prazo de 18 meses para o início de sua vigência justamente para permitir que durante este período seja possível a adoção de todas as medidas necessárias à implementação de uma adequada gestão destes bancos de dados, mediante a elaboração e efetivação de boas práticas e governança em privacidade.
O direito à privacidade x dados pessoais nunca esteve tão em voga quanto agora, sendo certo que serão a tônica das discussões administrativas e judiciais da próxima década.
Acresça-se a tudo isso, o fato de a LGPD dispensar tratamento mais rigoroso às empresas e profissionais da área da saúde, conceituando e conferindo maior vigilância aos dados de seus pacientes, usuários e consumidores, os chamados dados sensíveis. Esta proteção diferenciada decorre do maior potencial lesivo em caso de utilização indevida desta categoria de dados.
Muitas são as questões que ainda demandam algum ajuste ou regulamentação. No entanto, a única certeza desde 14.08.2018 é a de que os dados realmente importam e, por conta desta tomada de consciência, passarão a demandar uma atenção nunca antes vista pela sociedade.
