Consultor Jurídico

Opinião

Compartilhamento de dados pessoais sensíveis na saúde: o caso dos CPFs

Por  e 

O compartilhamento de dados pessoais de consumidores na saúde volta a ser o centro de discussões. Recentemente, foi publicada lei no Estado de São Paulo que regularia situação típica: compartilhamento de dados pessoais pelo consumidor como condição para concessão de promoções por farmácias e drogarias. A situação, comum entre os consumidores, foi repaginada. Até que ponto a repaginação surtirá efeitos e até que ponto pode-se utilizar a solução da lei para outras práticas envolvendo dados pessoais na saúde?

No último dia 2, foi publicada a Lei do Estado de São Paulo nº 17.301/20 (Lei ou Lei SP nº 17.301/20), que proíbe as farmácias e as drogarias de exigir o Cadastro de Pessoas Físicas (CPF) do consumidor, no ato da compra, como condição para conceder promoções, sem informar de forma adequada e clara a abertura de cadastro ou o registro de dados pessoais e de consumo. A lei determina ainda que sejam afixados, nas farmácias e drogarias, avisos sobre a proibição da exigência do CPF no ato da compra em troca de determinadas promoções, em bom tamanho e em local de fácil visualização.

A violação da regra sujeita o estabelecimento a pagar multa no valor de 200 Unidades Fiscais do Estado de São Paulo (Ufesps) — cerca de R$ 5,5 mil —, dobrada em caso de reincidência. Apesar de estar sujeita à edição de normas complementares pelo Poder Executivo para a sua execução, a Lei SP nº 17.301/20 entrou em vigor na data de sua publicação. Ou seja, a regra está valendo.

A lei, ainda que formalmente incompleta, seria a luz no fim do túnel a outras práticas enraizadas na saúde? A princípio sim, mas o túnel é longo e o caminho, às vezes, não é iluminado.

Uma das práticas antigas na saúde é o compartilhamento de dados de pacientes, obtidos por farmácias e drogarias por conta de aquisição de produtos, com empresas terceiras, sem a autorização do consumidor. Em posse das informações, as empresas terceiras mapeiam o comércio, sobretudo de medicamentos, realizam estudos técnicos e econômicos e comercializam o resultado com a indústria farmacêutica.

A prática não é ilegal e podia ser entendida como imoral no passado, porque o consumidor muitas vezes não era cientificado sobre a utilização de seus dados. O risco existe justamente porque não se sabe o que é feito com os dados que são pedidos e é exatamente o desconhecimento do consumidor que se visou combater com a Lei SP nº 17.301/20.

Utilizando-se em conjunto a Lei SP nº 17.301/20 e a Lei Geral de Proteção de Dados (Lei nº 13.709/18  LGPD), a prática pode se tornar oficialmente legal e moral, bem como de aplicação factível por farmácias, drogarias e empresas terceiras.

No âmbito da LGPD, os dados de saúde dos consumidores são entendidos como dados pessoais sensíveis. Isto é, os dados que tornam a pessoa identificável ou identificada, contendo informações sobre a sua saúde. Os dados pessoais sensíveis possuem regulação e defesa mais rigorosas e qualquer forma de seu tratamento (uso) só é possível mediante: 1) consentimento do titular, de forma específica e destacada, para finalidades específicas; ou 2) sem fornecimento de consentimento pelo titular para, por exemplo, cumprir obrigação legal ou regulatória.

Nesse sentido, o compartilhamento de dados relacionados à saúde dos pacientes — como informações em receitas médicas — só poderia ser possível via consentimento do titular do dado, tendo em vista a ausência de respaldo legal. Situação distinta, é a de obtenção de dados pessoais sensíveis do consumidor ao adquirir medicamento controlado. Há normas da Anvisa que impõe a obtenção desses dados e o respectivo compartilhamento com a agência.

Ora, a Lei SP nº 17.301/20 visa a informar ao consumidor a finalidade do uso de seus dados, de forma adequada e clara. Pode-se juntar o útil ao agradável: adicionar à obrigação, informar sobre o compartilhamento dos dados com terceiros, desde que não sejam utilizados com o objetivo de obter vantagem econômica. É dizer, em um mesmo ato, que o consumidor concederia o seu consentimento para duas finalidades: 1) obter o desconto; e 2) permitir o compartilhamento de seus dados sensíveis com terceiros para análise e pesquisa (e não para obter diretamente vantagem econômica com o dado).

Logicamente, a proposta não é isenta de riscos. Por exemplo, pode-se argumentar que haveria, de qualquer forma, obtenção de vantagem econômica com o dado, porque o dado foi utilizado em pesquisa realizada por terceiros, cujo resultado é comercializado com a indústria farmacêutica.

Ok, então que se anonimize o dado. Dados anonimizados expressamente não são considerados como dados pessoais sensíveis pela LGPD. Contudo, igualmente, a saída não é isenta de riscos. Em casos muito específicos, é possível identificar a pessoa natural via dado anonimizado. Por exemplo, dados envolvendo doenças raras ou ultrarraras. A prevalência dessas doenças e a quantidade de médicos que são especializados no assunto é particularmente baixa. Assim, a depender da doença e da localidade, é possível identificar um consumidor ou seu médico. Novamente, há riscos.

As sugestões e opções desta avaliação reacendem discussões sobre a utilização dos dados pessoais sensíveis de consumidores na saúde. A discussão é antiga, apenas se tornando mais complexa. Aplicar a Lei SP nº 17.301/20 — ou, ao menos, a sua substância — em conjunto com a LGPD pode significar luz no fim do túnel. Deve-se, porém, sempre lembrar que o túnel é longo e não necessariamente iluminado.




Topo da página

 é pós-graduada em Direito Econômico pela Fundação Getúlio Vargas e especialista em Direito Digital pela Fundação Getúlio Vargas.

 é mestranda em Direito Civil pela Faculdade de Direito da Universidade de São Paulo e especialista em Direito Sanitário e Direito Administrativo, atuando nas áreas desde 2014.

Revista Consultor Jurídico, 11 de dezembro de 2020, 9h14

Comentários de leitores

1 comentário

Serviços de saúde - tratamento do dado - lgpd

Francisco Augusto de Souza (Outros)

Conceito de Farmácia LEI Nº 13.021/14 - “Art. 3º Farmácia é uma unidade de prestação de serviços destinada a prestar assistência farmacêutica, assistência à saúde e orientação sanitária individual e coletiva, na qual se processe a manipulação e/ou dispensação de medicamentos magistrais, oficinais, farmacopeicos ou industrializados, cosméticos, insumos farmacêuticos, produtos farmacêuticos Para o setor de serviço de saúde, o consentimento nem sempre será a base legal mais adequada para conferir legalidade ao tratamento de dados pessoais e sensíveis. Grande parte dos tratamentos de dados serão licitamente realizados pelas empresas desse setor independentemente do consentimento do titular. As empresas do setor de serviço de saúde se submetem a variadas regras legais e regulatórias e devem cumprir obrigações que eventualmente poderão exigir o tratamento de dados pessoais de seus beneficiários. Logo, quando o tratamento de dados tiver por finalidade o cumprimento de obrigação legal ou regulatória pelo controlador, o consentimento do titular não será necessário art 7º, II LGPD, Igualmente dados sensíveis art11, II “f” LGPD, dada a natureza protetiva da norma, no momento inicial do atendimento, a comunicação ao titular de que seus dados poderão ser compartilhados com terceiros e órgãos regulatórios deve ocorrer. A discussão de tratamento de dados de saúde têm que ser ampliada, os dados compartilhados na cadeia de atendimento de serviços de saúde, como os casos de farmácias que atendem principalmente parcela da população hipossuficiente, tem cunho de respaldar e melhorar o tratamento terapêutico. O fator econômico no serviço de saúde é uma realidade, e que deve ser observadas as obrigações previstas na LGPD e demais normas aplicáveis ao setor.

Comentários encerrados em 19/12/2020.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.