O avanço acelerado da transformação digital na saúde brasileira tem demandado o amadurecimento da discussão sobre o uso e o tratamento adequado dos dados e informações que circulam nesse ecossistema. Não por coincidência, em janeiro deste ano, o Ministério da Saúde realizou a 1ª Jornada de Proteção de Dados Pessoais no SUS, abordando nuances relacionadas aos principais desafios e oportunidades para garantir a privacidade e a proteção dos dados pessoais no sistema de saúde, sem, no entanto, restringir o desenvolvimento de novas soluções tecnológicas.
Um dos aspectos discutidos na ocasião foi a existência de lacunas na Lei Geral de Proteção de Dados (LGPD) que contribuem para a insegurança jurídica relacionada ao tratamento de dados pessoais, principalmente sobre aqueles definidos como dados pessoais sensíveis pela legislação. Atualmente, a LGPD não especifica claramente as características que qualificam um dado pessoal sensível.
No âmbito da saúde, a ausência de uma definição clara sobre o que são dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, e demais dados pessoais sensíveis, (artigo 5º da LGPD), pode prejudicar a resolução de casos judiciais que envolvam a necessidade de estabelecer limites e prioridades no uso e tratamento dessas informações.
De tal forma, os dados de saúde podem ser interpretados de maneiras diversas, o que gera incertezas quanto ao entendimento e aplicação da lei. Isso é especialmente relevante quando consideramos o conceito ampliado de saúde, que vai além da mera ausência de doença e abrange o bem-estar físico, mental e social.
A definição conceitual desse tipo de dado também é importante quando consideramos que o conceito de dados de saúde pode abranger informações pessoais que inicialmente não parecem estar relacionadas à saúde, mas que podem permitir inferências sobre o estado de saúde das pessoas dependendo do contexto — como dados de geolocalização, histórico de compras, registros de atividades físicas, entre outros.
Desde a realização da 1ª Jornada de Proteção de Dados Pessoais no SUS, foi possível observar avanços sobre a definição de um conceito para o que entendemos como dado pessoal referente à saúde. Em março de 2024, por meio da Portaria GM/MS 3.232/2024, que institui o Programa SUS Digital, o Ministério da Saúde atribuiu uma definição para o conceito desse tipo de dado.
De acordo com a portaria, a definição de dado de saúde diz respeito ao “dado relativo à saúde de um titular de dados ou à atenção à saúde a ele prestada que revele informações sobre sua saúde física ou mental no presente, passado ou futuro”.
A definição é reconhecida por especialistas como um passo importante rumo à ampliação da proteção dos direitos fundamentais, uma vez que a LGPD não conceitua o dado pessoal sensível de saúde. Além de estar alinhada ao conceito amplo de saúde, ela também se assemelha ao que o Regulamento Geral sobre a Proteção de Dados da União Europeia (Regulamento Europeu 2016/679 – GDPR) definiu como relativos à saúde (art. 4º, ponto 15).
O conceito apresentado pelo Ministério da Saúde é de grande relevância e naturalmente amplia as possibilidades da LGPD sobre casos envolvendo o manejo dos dados de saúde. No entanto, a Portaria em questão não se trata de uma norma específica voltada para a regulação desses dados. Seu objetivo é a instituição do Programa SUS Digital, um esforço abrangente para a consolidação da transformação digital do Sistema Único de Saúde.
Portanto, embora a norma precise apresentar definições claras sobre termos fundamentais para a efetividade da política pública, incluindo a definição de dados relativos à saúde, não podemos afirmar que ela atende plenamente à necessidade de regulamentação adequada para a governança dos dados pessoais sensíveis em questão.
Assim como o Programa SUS Digital, a implementação de outras iniciativas que promovem a transformação digital do SUS, incluindo o uso de dados pessoais sensíveis de saúde, evidenciam a necessidade de estabelecer um ambiente regulatório adequado para a governança desses dados no Brasil.
Além do Ministério da Saúde, outros atores, como a Autoridade Nacional de Proteção de Dados (ANPD), devem desempenhar um papel fundamental na regulação dos dados de saúde. A inclusão da saúde na agenda regulatória da ANPD para os próximos anos é essencial, considerando a complexidade envolvida no manejo e tratamento desses dados sensíveis.