A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, em 6 de setembro de 2024, a atualização do Relatório de Acompanhamento da Agenda Regulatória 2023-2024, referente ao primeiro semestre do ano[1]. O relatório destaca o progresso dos projetos incluídos na agenda e os números da participação social nos processos regulatórios.
Entretanto, até o presente momento, pós-pandemia, nenhuma Agenda Regulatória da ANPD contemplou a saúde, embora sejam muitas as lacunas pendentes de regulamentação da Lei 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD) no âmbito do sistema de saúde brasileiro, que também está sujeito à rápida e constante transformação digital.
Com notícias direto da Anvisa e da ANS, o JOTA PRO Saúde entrega previsibilidade e transparência para grandes empresas do setor. Conheça!
A LGPD instituiu um regime jurídico referente ao tratamento de dados pessoais que é mais rigoroso quando se trata de dados pessoais sensíveis. Busca-se, assim, minimizar riscos de violações à privacidade e aos dados pessoais. Dados pessoais sensíveis como os de saúde podem revelar características e vulnerabilidades de seu titular cujo tratamento irregular ou inseguro resulta em preconceitos e discriminações ilícitas ou abusivas, com alto potencial lesivo.
Dados de saúde são, também, interoperáveis, de alto risco, e valiosos na dark web, sendo alvo constante de ataques cibernéticos. A pandemia impulsionou a transformação digital, intensificando o tráfego desses dados pessoais sensíveis, que ocorre de forma sincrônica e inteligente por APIs, cookies, taggings, e plataformas de big techs.
O ecossistema digital da saúde, complexo e labiríntico e galático, inclui agentes sem licenças sanitárias. Assim, esta autora prefere substituir os conceitos de “data lake” por “data galaxy“, onde dados pessoais sensíveis tratados na saúde trafegam simultaneamente em diversos meios e atores.
Com a rápida transformação digital da área da saúde dados pessoais sensíveis são extraídos, transferidos e organizados de forma cada vez mais sincrônica e inteligente e por diferentes atores e fontes não necessariamente da área da saúde: big techs, health techs, supermercados, aplicativos de transporte particular e de “bem-estar”, plataformas de emissão de documentos médicos eletrônicos Dados pessoais que, a princípio podem ser considerados “comuns” e, assim, tratados de acordo com o art. 7º da LGPD, a depender da sofisticação da inferência, podem revelar dados pessoais sensíveis podendo causar danos ao seu titular (art. 11, § 1º da LGPD).
Por exemplo, um aplicativo de transporte particular pode inferir que a geolocalização indica que o usuário frequenta determinado serviço de atendimento especializado de saúde, podendo revelar um diagnóstico como HIV/Aids. “Usabilidade” refere-se ao tratamento de dados pessoais com a finalidade de formação do perfil comportamental, profissional, de consumo e de crédito ou os aspectos de sua personalidade de determinada pessoa natural, se identificada.
Dados pessoais de saúde também podem ser tratados a partir de interações do próprio paciente ou usuário, por exemplo, por meio do acompanhamento de doenças através de aplicativos de saúde e de bem-estar, de dispositivos vestíveis (wearables) como, por exemplo, monitores de glicose contínuos, faixas de sono, roupas inteligentes com sensores embutidos, relógios de saúde inteligentes (smartwatches), biossensores, monitoramento remoto, sutiãs e óculos inteligentes, etc.
Sem falar dos produtos de empresas de neurotecnologia, implantáveis ou não, com soluções tecnológicas que podem permitir adentrar a mente do titular, podendo viabilizar o tratamento de dados pessoais “ultrasensíveis”, como dados neurais. A saúde tornou-se em vários aspectos um produto, havendo táticas cada vez mais agressivas e invasivas para se coletar dados de saúde.[2]
É inegável que o avanço da tecnologia aplicada à saúde, incluindo sistemas de Inteligência Artificial, promove benefícios que se refletem desde a gestão à assistência. São soluções que reduzem desperdícios como a repetição desnecessária de exames promovendo a centralização do cuidado no paciente.
Ressalta-se que a LGPD não veda o tratamento de dados pessoais sensíveis por parte de pessoas jurídicas de direito público ou privado, com ou sem licenças sanitárias – desde que cada operação de tratamento seja realizada de acordo com a hipótese legal mais adequada e segura, prevista no rol do art. 11 da lei.
Por outro lado, até o presente momento o complexo, labiríntico e galático ecossistema de saúde digital tem sofrido pouco escrutínio por parte da ANPD, deixando os agentes de tratamento sujeitos à autorregulamentação (art. 50 da LGPD) como se isso fosse possível num setor regulamentado, controlado e fiscalizado pelo Poder Público, porque compreende um direito fundamental de relevância pública (art. 197 da CF). Até o momento, a ANPD aplicou advertências contra o Ministério da Saúde e a Secretaria de Saúde do Estado de Santa Catarina (SES-SC). Nenhuma sanção pecuniária contra o setor privado.
Para começar, apesar de conceituar “dado pessoal sensível” no art. 5º, II, a LGPD não conceitua cada categoria. O conceito atemporal de “dado pessoal sensível de saúde” foi definido por meio da Portaria GM/MS 3.232, de 1º de março de 2024, que institui o Programa SUS Digital.
O art. 4º, II considera como sendo “dado pessoal sensível de saúde: dado relativo à saúde de um titular de dados ou à atenção à saúde a ele prestada que revele informações sobre sua saúde física ou mental no presente, passado ou futuro”. Contudo, no âmbito da assistência em saúde trata-se outras categorias de dados pessoais sensíveis como: genéticos, biométricos, origem racial ou étnica, convicção religiosa e referentes à vida sexual. Daí a necessidade de se conceituar as demais categorias.
Em segundo lugar, falta conceituar e definir as hipóteses legais para o tratamento de dados pessoais sensíveis dispostas no art. 11 da LGPD, do consentimento às que o dispensam. É que a hipótese “tutela da saúde” tem sido aplicada de forma indiscriminada e não necessariamente em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária, quando, a hipótese “exercício regular de direitos” (art. 11, II, “d”) seria a mais adequada e segura para aquela certa finalidade de tratamento na área da saúde. E tratar dados pessoais sensíveis com a base legal equivocada é uma violação à LGPD.
O § 3º do artigo 11 da LGPD apresenta uma lacuna, no sentido de que atribui à ANPD o dever de vedar ou regulamentar a prática da obtenção de vantagem econômica, como, por exemplo, o caso das farmácias que tratam CPF com nenhuma transparência!
Caberá à ANPD apontar, ainda, se healthtechs estão, também, enquadradas no § 4 do artigo 11 da LGPD, que permite situações especiais de compartilhamento de dados pessoais sensíveis referentes à saúde com a obtenção de vantagem econômica com a dispensa do consentimento baseada no art. 11, II, “f” da LGPD. Provavelmente, não!
Finalmente, com a entrada em vigor da Lei 14.874, de 28 de maio de 2024, sobre a pesquisa com seres humanos e institui o Sistema Nacional de Ética em Pesquisa com Seres Humanos, cujo art. 61 refere que a LGPD tem aplicação “subsidiária”, a ANPD deverá revisar o estudo técnico publicado em abril de 2022 sobre “a LGPD e o tratamento de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa”.
É urgente que a ANPD contemple saúde na agenda regulatória referente ao biênio 2025-2026, estabelecendo o diálogo com outros atores setoriais fundamentais para a adequada interpretação e regulamentação da LGPD sobre o setor, principalmente o Ministério da Saúde, que, finalmente, passou a figurar como membro permanente do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade com a publicação do Decreto 11.758, de 30 de outubro de 2023.
TEFFÉ, Chiara Spadaccini de. Dados Pessoais Sensíveis: qualificação, tratamento e boas práticas. Indaiatuba/SP: Editora Foco, 2022.
[1] Disponível online em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-relatorio-de-acompanhamento-da-agenda-regulatoria-do-primeiro-semestre-de-2024>. Acesso em 16 out. 2024.
[2] TEFFÉ, Chiara Spadaccini de. Dados Pessoais Sensíveis: qualificação, tratamento e boas práticas, pp. 87-89