Compartilhamento de dados pessoais sensíveis na saúde: o caso dos CPFs
Autores
11 de dezembro de 2020, 9h14
O compartilhamento de dados pessoais de consumidores na saúde volta a ser o centro de discussões. Recentemente, foi publicada lei no Estado de São Paulo que regularia situação típica: compartilhamento de dados pessoais pelo consumidor como condição para concessão de promoções por farmácias e drogarias. A situação, comum entre os consumidores, foi repaginada. Até que ponto a repaginação surtirá efeitos e até que ponto pode-se utilizar a solução da lei para outras práticas envolvendo dados pessoais na saúde?
No último dia 2, foi publicada a Lei do Estado de São Paulo nº 17.301/20 (Lei ou Lei SP nº 17.301/20), que proíbe as farmácias e as drogarias de exigir o Cadastro de Pessoas Físicas (CPF) do consumidor, no ato da compra, como condição para conceder promoções, sem informar de forma adequada e clara a abertura de cadastro ou o registro de dados pessoais e de consumo. A lei determina ainda que sejam afixados, nas farmácias e drogarias, avisos sobre a proibição da exigência do CPF no ato da compra em troca de determinadas promoções, em bom tamanho e em local de fácil visualização.
A violação da regra sujeita o estabelecimento a pagar multa no valor de 200 Unidades Fiscais do Estado de São Paulo (Ufesps) — cerca de R$ 5,5 mil —, dobrada em caso de reincidência. Apesar de estar sujeita à edição de normas complementares pelo Poder Executivo para a sua execução, a Lei SP nº 17.301/20 entrou em vigor na data de sua publicação. Ou seja, a regra está valendo.
A lei, ainda que formalmente incompleta, seria a luz no fim do túnel a outras práticas enraizadas na saúde? A princípio sim, mas o túnel é longo e o caminho, às vezes, não é iluminado.
Uma das práticas antigas na saúde é o compartilhamento de dados de pacientes, obtidos por farmácias e drogarias por conta de aquisição de produtos, com empresas terceiras, sem a autorização do consumidor. Em posse das informações, as empresas terceiras mapeiam o comércio, sobretudo de medicamentos, realizam estudos técnicos e econômicos e comercializam o resultado com a indústria farmacêutica.
A prática não é ilegal e podia ser entendida como imoral no passado, porque o consumidor muitas vezes não era cientificado sobre a utilização de seus dados. O risco existe justamente porque não se sabe o que é feito com os dados que são pedidos e é exatamente o desconhecimento do consumidor que se visou combater com a Lei SP nº 17.301/20.
Utilizando-se em conjunto a Lei SP nº 17.301/20 e a Lei Geral de Proteção de Dados (Lei nº 13.709/18 — LGPD), a prática pode se tornar oficialmente legal e moral, bem como de aplicação factível por farmácias, drogarias e empresas terceiras.
No âmbito da LGPD, os dados de saúde dos consumidores são entendidos como dados pessoais sensíveis. Isto é, os dados que tornam a pessoa identificável ou identificada, contendo informações sobre a sua saúde. Os dados pessoais sensíveis possuem regulação e defesa mais rigorosas e qualquer forma de seu tratamento (uso) só é possível mediante: 1) consentimento do titular, de forma específica e destacada, para finalidades específicas; ou 2) sem fornecimento de consentimento pelo titular para, por exemplo, cumprir obrigação legal ou regulatória.
Nesse sentido, o compartilhamento de dados relacionados à saúde dos pacientes — como informações em receitas médicas — só poderia ser possível via consentimento do titular do dado, tendo em vista a ausência de respaldo legal. Situação distinta, é a de obtenção de dados pessoais sensíveis do consumidor ao adquirir medicamento controlado. Há normas da Anvisa que impõe a obtenção desses dados e o respectivo compartilhamento com a agência.
Ora, a Lei SP nº 17.301/20 visa a informar ao consumidor a finalidade do uso de seus dados, de forma adequada e clara. Pode-se juntar o útil ao agradável: adicionar à obrigação, informar sobre o compartilhamento dos dados com terceiros, desde que não sejam utilizados com o objetivo de obter vantagem econômica. É dizer, em um mesmo ato, que o consumidor concederia o seu consentimento para duas finalidades: 1) obter o desconto; e 2) permitir o compartilhamento de seus dados sensíveis com terceiros para análise e pesquisa (e não para obter diretamente vantagem econômica com o dado).
Logicamente, a proposta não é isenta de riscos. Por exemplo, pode-se argumentar que haveria, de qualquer forma, obtenção de vantagem econômica com o dado, porque o dado foi utilizado em pesquisa realizada por terceiros, cujo resultado é comercializado com a indústria farmacêutica.
Ok, então que se anonimize o dado. Dados anonimizados expressamente não são considerados como dados pessoais sensíveis pela LGPD. Contudo, igualmente, a saída não é isenta de riscos. Em casos muito específicos, é possível identificar a pessoa natural via dado anonimizado. Por exemplo, dados envolvendo doenças raras ou ultrarraras. A prevalência dessas doenças e a quantidade de médicos que são especializados no assunto é particularmente baixa. Assim, a depender da doença e da localidade, é possível identificar um consumidor ou seu médico. Novamente, há riscos.
As sugestões e opções desta avaliação reacendem discussões sobre a utilização dos dados pessoais sensíveis de consumidores na saúde. A discussão é antiga, apenas se tornando mais complexa. Aplicar a Lei SP nº 17.301/20 — ou, ao menos, a sua substância — em conjunto com a LGPD pode significar luz no fim do túnel. Deve-se, porém, sempre lembrar que o túnel é longo e não necessariamente iluminado.
Encontrou um erro? Avise nossa equipe!