Proteção de dados e a tutela da saúde na LGPD. O receio de que empresas potencialmente interessadas obtenham acesso a dados médicos dos particulares
No início deste ano de 2018, veio a público a notícia de que uma falha de segurança no aplicativo E-Saúde, disponibilizado pelo Ministério da Saúde, teria exposto, durante meses, dados pessoais de milhares de brasileiros usuários do Sistema Único de Saúde (SUS). Através de brecha no sistema, tornou-se possível acessar desde dados básicos, como o cartão do SUS em nome do titular, até informações médicas detalhadas, como o histórico de retirada de medicamentos e a agenda de consultas na rede pública.
Além da evidente quebra da privacidade dos cidadãos que tiveram suas informações íntimas expostas, o vazamento de dados da espécie mostra-se ainda mais sensível, em virtude do valor econômico que podem representar. Levantamentos sobre os remédios utilizados pela população e as prescrições mais recorrentes podem ser de grande valia, por exemplo, para a indústria farmacêutica e para as seguradoras de saúde.
Oportunamente, o tema vazamento de dados merece total destaque tendo em vista o recente advento da Lei nº 13.709/2018, a famigerada Lei Geral de Proteção de Dados (LGPD), sancionada pelo presidente Michel Temer no último dia 14 de agosto de 2018.
As inovações trazidas pelo novo marco legal, principalmente no que concerne à forma como o tratamento de dados pode ocorrer, colocaram o Brasil em destaque no cenário internacional, equiparando a legislação brasileira às mais avançadas legislações internacionais de segurança digital.
A revolução no processo de tratamento de dados pessoais trará consequências em diversos setores, sendo um deles, justamente, a área da saúde.
Nesse sentido, importante mencionar o art. 7º da LGPD, que estabelece os requisitos para o tratamento de dados no território nacional e, portanto, dita os parâmetros do que seria uma captação legítima tanto para os particulares, como para a Administração Pública.
Ocorre que, além da hipótese que prestigia a expressa concordância do titular, prevista no inciso I do art. 7º, a Lei de Dados contempla outras possibilidades de tratamento, as quais restam por dispensar o consentimento daquele que terá seus dados tratados.
O art. 7º, II, por exemplo, permite o tratamento de dados pessoais, sem o consentimento do titular, “para o cumprimento de obrigação legal ou regulatória pelo controlador”. No caso, como o legislador mencionou genericamente “obrigação legal ou regulatória”, em se tratando da área da saúde, a Agência Nacional de Saúde Suplementar (ANS), dentre outras entidades congêneres, teriam, em tese, competência para exarar tais atos normativos, vindo a mitigar a consensualidade do particular.
Como o cenário e as possibilidades de aplicação são ainda incertos, surge o receio, conforme demonstrado, de que empresas potencialmente interessadas obtenham acesso a dados médicos dos particulares, com respaldo no permissivo acima elencado. Dados como prontuários médicos e históricos clínicos poderiam vir a ser utilizados por planos de saúde, por exemplo, para apurar doenças pré-existentes ou tendências patológicas, podendo ser utilizados para estipulação de valores de seguro e, até mesmo, para eleição ou veto de potenciais segurados.
Ato contínuo, os incisos VII e VIII do referido art. 7º tratam, de forma mais direta, da administração da saúde.
No caso do inciso VII, o qual permite o tratamento de dados “para a proteção da vida ou da incolumidade física do titular ou de terceiro”, os termos elegidos pelo legislador são bastante amplos, podendo suscitar, em tese, inúmeras discussões sobre a sua aplicabilidade, até mesmo em temas sensíveis, como a recusa a certos procedimentos médicos por razões de foro íntimo.
Já o inciso VIII possibilita o tratamento “para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias”. Nesse tocante, subsiste a dúvida acerca da extensão dos conceitos envolvidos, sobretudo de quais entes seriam enquadrados como “profissionais da área da saúde” e, portanto, poderiam usufruir dessa faculdade. Tendo em vista a ampla gama de profissionais em atuação no setor, importante definir, por exemplo, se a permissão seria referente exclusivamente a procedimentos realizados por médicos e auxiliares da saúde, ou também por demais prestadores de serviços envolvidos nas atividades, como funcionários administrativos e terceirizados.
Frisa-se que essas mesmas possibilidades foram reproduzidas no art. 11 da LGPD, de modo a viabilizar até mesmo o tratamento de dados pessoais sensíveis, quando indispensável para efetivação de tais hipóteses, sem necessidade de aquiescência do titular. Isso significa que dados referentes à saúde, vida sexual e genética poderão, a princípio, ser tratados, mesmo sem a concordância da pessoa natural envolvida, caso se entenda configurada alguma dessas situações em comento.
Por outro lado, restou “vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular”, o que denota preocupação do legislador no sentido de resguardar o particular, notadamente no tocante ao eventual uso de dados no bojo de políticas comerciais relativas ao setor da saúde, como pontuado acima.
Adicionalmente, não se pode olvidar que a área médica, por si, já possui regulamentações próprias relativas ao sigilo profissional e à proteção das informações privadas dos pacientes, a exemplo do Código de Ética Médicae da Resolução nº 1.821/2007 do Conselho Federal de Medicina. Logo, a despeito de eventual conflito de competência que possa vir a ser suscitado entre as normas, tais regras, por ora, representam, ao menos, mais uma salvaguarda ao cidadão nesse cenário.
Visto isso, fato é que os questionamentos são inúmeros, assim como os potenciais impactos no setor. De todo modo, diversos são também os benefícios que o correto tratamento de dados pode trazer para a área médica, como a inovação e o aprimoramento de processos a partir do levantamento de padrões e tendências de saúde pública. Assim, resta aguardar e observar como tais disposições serão aplicadas, especialmente pelo órgão regulador responsável e demais entes da Administração Pública, de modo a coibir abusos e resguardar os direitos fundamentais de liberdade e privacidade dos jurisdicionados, como inclusive se propõe o novo marco legal de proteção de dados.
Fonte: JOTA por MATHEUS SOUZA, MARIANA LOUBACK LOPES e LUÃ MAIA DE MELLO
Veja também:
- Vulnerabilidade permite elevação de privilégios no Windows 10
- C&A é atacada e vaza dados de 2 milhões de clientes
- CISCO Data Center Network Manager permite acesso à informações confidenciais
- Air Canada força 1,7 Mi de usuários a trocar sua senha
- NETSCOUT destaca evolução das ameaças em escala internet.
- Cortana permite comandos de voz em dispositivo bloqueado
- Cyber Security, Cloud e LGPD
Deixe sua opinião!