Consultor Jurídico

Artigos

Opinião

Impacto da LGPD nas startups da área da saúde ainda é incerto

Por 

Este artigo tem o objetivo de dar continuidade ao exame da Lei 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD)[1], na área da saúde. Teve-se a oportunidade de abordar na ConJur o impacto da LGPD sobre: pesquisa clínica com seres humanos[2]; bancos de dados de saúde[3]; órgãos de pesquisa e centros de pesquisa clínica privados[4]; e saúde suplementar[5]. Nesta oportunidade, o estudo dar-se-á sobre matéria que não foi devidamente explorada pela nova lei — as startups na área da saúde, ou healthtechs.

Em poucas palavras, considera-se uma startup como sendo um grupo de pessoas à procura de um modelo de negócio repetível e escalável, trabalhando em condições de incerteza[6], que não necessariamente configura-se numa personalidade jurídica. Pode ser uma unidade, dentro de uma empresa, como uma área de inovação, uma microempresa recém-criada ainda em fase de desenvolvimento. Independentemente da natureza jurídica, a base é comum — aposta-se no uso da tecnologia, o que vem impactando na forma como se compartilha e se obtém dados pessoais.

A tecnologia permite que o empreendimento em saúde e as inovações impactem positivamente o setor, destacando-se várias mudanças tecnológicas, como o surgimento de novas formas de diagnóstico. O impacto da LGPD sobre as startups na área da saúde, ou healthtechs, ainda não está claro. Daí a necessidade de se explorar melhor o tema, mesmo que sucintamente, de modo a auxiliar na reflexão sobre a conformidade e regulamentação desse modelo de negócio à LGPD.

Contextualizando, em 14 de agosto de 2018, a LGPD foi sancionada pelo Poder Executivo, e publicada no dia seguinte. O texto teve como inspiração o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – EU 2016/679, ou GDPR, na sigla em inglês). Ela consolida princípios e normas esparsas e introduz inovações. Hoje há pelo menos 120 países com leis vigentes de proteção de dados pessoais e até 2020 esse número deverá subir para cerca de 134[7], de modo a facilitar o comércio com a União Europeia.

Em 27 de dezembro de 2018, já no recesso do Congresso Nacional e no final do mandato presidencial, foi editada pelo presidente Michel Temer a Medida Provisória 869, que alterou a LGPD. Além de versar sobre a proteção de dados pessoais, objetivou a criação da Autoridade Nacional de Proteção de Dados (ANPD), instituída como órgão da administração pública direta, integrante da Presidência da República (artigo 55-A, da LGPD).

Em 25 de abril deste ano, durante a 7ª Reunião da Comissão Mista da MP 869/2018, foi lido o relatório apresentado pelo deputado Orlando Silva (PCdoB-SP) em que, no mérito, aprovou a MP e acolheu parcialmente emendas apresentadas, recepcionadas na forma de projeto de lei de conversão (PLV 7/2019). Em 7 de maio, o relatório foi apresentado ao Plenário da Comissão Mista, durante a sétima reunião, quando foi aprovado, passando a constituir o parecer da Comissão Mista. Em 9 de maio, o parecer foi encaminhado, por meio do Ofício 151/2019 do Congresso Nacional, à Câmara dos Deputados, a Casa iniciadora, para votação em Plenário. Em 28 de maio, o parecer assinado pelo deputado Orlando Silva foi aprovado pelo Plenário da Câmara, sendo a matéria (MP 869/2018 e o PLV 7/2019) submetida ao Senado Federal (por meio do Ofício 452/2019/SGM-P) para votação. Em 29 de maio, por volta das 19h30, o Plenário do Senado aprovou o PLV 7/2019, oriundo da MP 869/2018. A matéria foi remetida ao Poder Executivo para sanção presidencial. Quando efetivamente recebida, o prazo para sanção será de 20 dias. Sancionada pelo presidente da República, converter-se-á em lei a ser contemplada pela LGPD.

Dados de saúde são considerados “dados pessoais sensíveis” à luz do artigo 5º, II da LGPD. Assim sendo, as hipóteses para o tratamento desses dados sem o fornecimento do consentimento pelo titular deve obedecer a requisitos com maior nível de rigor (artigo 11º da LGPD) comparando-se ao tratamento de outros dados pessoais (artigo 7º da LGPD). O inciso II do artigo 11º da LGPD estabelece as situações em que se permite o tratamento de dados pessoais sensíveis sem o consentimento do titular nas hipóteses específicas em que essa dispensa for realmente indispensável. A primeira situação diz respeito ao cumprimento, pelo controlador, de obrigação legal ou regulatória. A lei também viabiliza o tratamento de dados pessoais sensíveis de saúde, sem o consentimento do titular, para viabilizar a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Ressalta-se que a dispensa do consentimento não é admitida, no caso de tratamento de dados pessoais sensíveis de saúde, quando necessário para atendimento de “interesses legítimos do controlador ou de terceiro” (artigo 7º, IX da LGPD), como o é no caso de outros dados pessoais, isto é, aquelas informações relacionadas à pessoa natural identificada ou identificável, as quais a LGPD não considera como sendo sensíveis.

Durante as reuniões da Comissão Mista da MP 869/2018, um dos pontos debatidos referiu-se ao compartilhamento de dados pessoais sensíveis, sem o consentimento do titular, na saúde suplementar. É que a MP 869/2018 acrescentou à LGPD o seguinte dispositivo como hipótese ao caso (artigo 11, parágrafo 4º, II):

“É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses de necessidade de comunicação para a adequada prestação de serviços de saúde suplementar”.

Alertou-se para a possibilidade de ocorrência de aumentos abusivos, algoritmos obscuros e negativas de tratamento, como resultado de compartilhamento sob alegada “adequada prestação”, termos que seriam vagos e imprecisos. No entanto, reconheceu-se que a circulação, conexão e coordenação dos dados pelos diversos agentes envolvidos na contraprestação a serviço contratado seriam imprescindíveis ao atendimento médico moderno, rápido, eficiente e seguro. O texto oferecido pela MP 869/2018 ao caso buscou regulamentar a prática já realizada, em que sigilo, privacidade e segurança da informação devem ser considerados “conceitos canônicos”.

Diante disso, o PLV 07/2019, aprovado pelo Congresso Nacional em 29 de maio, que aguarda a sanção presidencial, buscando equacionar a genericidade do texto originalmente trazido pela MP 869/2018 relacionada à saúde suplementar, ajustou a redação do artigo 11, parágrafo 4º, II da LGPD, adequando-o ainda mais à realidade, de modo que o compartilhamento se dê apenas em “benefício dos interesses do titular”. A nova redação possui o seguinte sentido:

“§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: I – a portabilidade de dados quando solicitada pelo titular; ou II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo”.

E adicionou o seguinte parágrafo:

“§5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários”.

Observa-se que o PLV 7/2019 suprimiu a delimitação expressa à “saúde suplementar” do texto original oferecido à LGPD pelo artigo 11, parágrafo 4º, II e contemplou a dispensa do consentimento do titular para o compartilhamento entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica para todas as hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde.

Assim, pergunta-se: estariam as startups de saúde, ou healthtechs, contempladas nas hipóteses relativas à “prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde”, versadas pelo artigo 11, parágrafo 4º, II o PLV 7/2019, de modo a viabilizar a comunicação ou o uso compartilhado de dados pessoais sensíveis de saúde com as startups, com o claro objetivo de se obter vantagem econômica? Pela interpretação com base no parágrafo 5º do referido dispositivo, a resposta mais provável é não. Startups de saúde, ou healthtechs, não se confundem com operadoras de planos privados de assistência à saúde, regulamentadas pela Agência Nacional de Saúde Suplementar (ANS), que controla e fiscaliza apenas as operadoras de planos de saúde. Por outro lado, algumas startups de saúde atuam na prestação de serviços de saúde, por exemplo, quando desenvolvem um SAAS (software as a service) para viabilizar uma sessão on-line entre o profissional de saúde e seu paciente.

A recente notícia publicada pela Folha[8] aponta que programas alternativos de assistência médica se multiplicam em plataformas digitais. Hoje, mais de 500 startups oferecem serviços e soluções para o mercado de saúde. Podem atuar tanto como controladora de dados pessoais, a quem compete decisões referentes ao tratamento, como na forma de operadoras, quando realizam o tratamento de dados pessoais que recebem do controlador.

Existe uma carência de regulamentação. Novos formatos de assistência, como o caso das startups de saúde, ou healthtechs, fogem ao escopo da atuação da ANS. Por outro lado, o tratamento de dados reduz déficits e custos na saúde, combate a falta de acesso, confere maior agilidade e se “externaliza”, por exemplo, em ecossistemas de startups que utilizam de inteligência artificial, tornando necessária a regulamentação para diminuir a incerteza jurídica que pode prejudicar a inovação.

Dependendo da natureza do negócio, acessam, ou não, dados pessoais sensíveis como o próprio prontuário médico, para a manipulação de algoritmos e desenvolvimento de softwares que favorecem a inovação. Por exemplo, desenvolvem soluções digitais que: viabilizam diagnósticos de imagens médicas; oferecem acompanhamento nutricional, que busca aliar tecnologia a um serviço de caráter preventivo; ajudam equipes médicas a monitorar pacientes, desde a internação até a alta, compilando uma série de funções que auxiliam para uma melhor gestão da situação desses indivíduos; permite que uma rede de centros médicos ofereça consultas e exames com valor mais acessível à população. Já existe uma solução digital que visa detectar a doença de Alzheimer com antecedência, por meio de um computador conectado a um dispositivo de rastreamento ocular. Novos aplicativos integram o prontuário eletrônico do paciente. Enfim, são inúmeros os exemplos e os programas alternativos de assistência médica que se multiplicam em plataformas digitais inovadoras que podem beneficiar a área da saúde e pacientes.

Por ora, recomenda-se que a relação jurídica com startups de saúde, ou healthtechs, esteja bem consolidada, a partir de instrumentos jurídicos válidos e eficazes, que versem sobre a anonimização, pseudoanonimização; privacidade, sigilo e segurança dos dados de saúde confiados; confidencialidade; direitos de propriedade intelectual; preço e forma de pagamento. Com isso, além de contemplar padrões éticos definidos com referência a resoluções pertinentes do Conselho Federal de Medicina (CFM), a atividade poderá ser, sim, legitimada aos olhos da LGPD ou outra autoridade competente, como conselhos de classe.

É cedo, e audaz, para se traçar conclusões sobre a temática. O artigo 11, parágrafo 3º da LGPD estabelece que a “comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências”.

No caso de startups ou empresas de inovação, caberá à ANPD editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à LGPD, tal como preconiza o artigo 55-J, XVIII do PLV 07/2019.

Por fim, podem as empresas que utilizam desse serviço e as próprias startups ou empresas de inovação, por meio de associações, criarem de regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos que garantem a respeito ao sigilo, privacidade e segurança da informação, de modo a esclarecer o negócio à ANPD e facilitar a regulamentação e inovação no setor da saúde, sem desqualificar a praticidade e a informalidade que configuram esse modelo de negócio.


[1] Definição dada a partir do Projeto de Lei de Conversão 7 de 2019, atualmente sob a sanção presidencial.
[2] Impactos da nova Lei Geral de Proteção de Dados na pesquisa com seres humanos. Disponível em: <https://www.conjur.com.br/2018-nov-02/analluza-dallari-impactos-lgpd-pesquisa-seres-humanos>.

[3] A nova ANPD e a proteção dos bancos de dados de saúde. Disponível em: <https://www.conjur.com.br/2019-jan-03/analluza-dallari-anpd-protecao-bancos-dados-saude>.
[4] A LGPD na saúde: a MP 869/2018 e os centros de pesquisa clínica privados. Disponível em: <https://www.conjur.com.br/2019-mar-20/analluza-dallari-impacto-lgpd-centros-pesquisa-clinica>.
[5] Impactos da LGPD na saúde suplementar e a aprovação de parecer sobre MP 869/2018. Disponível em: <https://www.conjur.com.br/2019-mai-07/analluza-dallari-impactos-lgpd-saude-suplementar>.
[6] Afinal, o que é uma startup? Disponível em: <https://exame.abril.com.br/pme/o-que-e-uma-startup>.
[7] Comissão Mista destinada a emitir parecer sobre a Medida Provisória 869, de 28 de dezembro de 2018, relatado pelo deputado Orlando Silva (PCdoB-SP), disponível em: <https://legis.senado.leg.br/sdleg-getter/documento?dm=7945369&ts=1556843622354&disposition=inline>. Apud: GreenLeaf, Granham. Global Data Privacy Laws: National Data Privacy Laws, including China and Turkey. 145 Privacy Laws & Business International Report, 10, 2017.
[8] Novos modelos agilizam atendimento a pacientes e reduzem custos médicos. Publicado em 31/5/2019. Disponível em: <https://www1.folha.uol.com.br/seminariosfolha/2019/05/novos-modelos-agilizam-atendimento-a-pacientes-e-reduzem-custos-medicos.shtml>.

 é advogada especializada em saúde, doutora e mestre em Direito Internacional e Comparado pela Universidade de São Paulo (USP).

Revista Consultor Jurídico, 5 de junho de 2019, 6h38

Comentários de leitores

0 comentários

Comentários encerrados em 13/06/2019.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.