A Lei Geral de Proteção de Dados regula o segredo médico?

Antes da aprovação da Lei Geral de Proteção de Dados, se asseverava, sem incertezas, que o segredo médico, em si, não era tratado expressamente na legislação pátria; em que pese ser plenamente defensável à luz de direitos generalistas e que seguem a vertente principiológica dos direitos humanos. Essa realidade resultava, e ainda resulta, na constante suscitação de normas éticas, destinadas aos médicos – nem sequer a toda a equipe de saúde – para tratar da matéria em Direito. No Brasil, há o seguinte contrassenso: as normativas éticas emitidas pelo Conselho Federal de Medicina, que apenas têm força de soft law, são mais completas e detalhadas, a priori, que a legislação strictu sensu, coercitiva. A LGPD modificou esse cenário?

A principal disciplina contida na Constituição Federal de 1988, capaz de proteger os dados, é a que dá base axiológica e pragmática para justificar o direito ao sigilo médico, são os princípios e os direitos fundamentais. No âmbito constitucional, a questão do sigilo é aplicada em vários contextos, mas nenhum que de modo expresso aborde o segredo médico. A título de exemplificação, pode-se mencionar o sigilo de correspondência e das comunicações telegráficas, previsto no Art. 5º, XII.

Afora a proteção normativa no corpo do Código Civil, sobre os direitos da personalidade; pode-se apontar o Código Penal de 1940, como uma fonte legislativa importante, pois tipifica os atos de divulgação de segredo e de violação do segredo profissional, nos artigos 1531 e 1542. Ora, como o sigilo médico e dos demais profissionais da saúde diz respeito aos dados e às informações no exercício dos seus trabalhos, os dispositivos aplicam-se, por obviedade, a tal classe de profissionais.

No entanto, mister é se atentar para o fato de que o sigilo aplicado ao trabalho na área da saúde demanda um cuidado especial, já que o processo clínico abarca dados sensíveis, cuja violação tem grande probabilidade de resultar em lesão aos direitos da personalidade e à dignidade que figura em seus cernes. Não se pode comparar a capacidade lesiva de violação de informações obtidas na prática profissional médico àquela, por exemplo, apresentada no campo de vendas.

O direito ao segredo destina-se a conservar de modo completamente inacessível ao conhecimento dos outros, certas manifestações, assegurando-o tanto no tocante às correspondências, quanto no que tange outros documentos, públicos ou privados, que não se enquadrem nesse conceito.3 Apesar de ter tido sua gênese na questão clássica da inviolabilidade do domicílio, evoluindo para o sigilo de correspondência e comunicações em geral, o direito de segredo profissional resultou em um direito dotado de autonomia, e que fomenta a construção e desenvolvimento da personalidade, pautando-se na dignidade da pessoa humana.4

Em relação às pesquisas científicas patrocinadas, são conhecidos os problemas como o alto grau de sigilo, conflitos de interesses, manipulação de dados, uso seletivo dos resultados e perda da autonomia em prol da comunidade científica5. No que tange o sigilo médico, se pode verificar também uma situação de heteronomia e hipersuficiência, favorável ao profissional da saúde; de modo que é necessária que a tutela jurídica contrabalanceie essa situação, e garanta o pleno acesso de dados, assim como a máxima autonomia dos pacientes sobre a revelação externa ou não.

A fonte legislativa que em tese poderia ter cuidado da proteção de dados de forma mais afirmativa, mas não o fez, é a Lei 12.965/14, o Marco Civil da Internet; tal necessidade tampouco foi suprida pelo decreto que o regulamentou, Decreto 8.771/ 15. Esse marco apenas menciona a proteção de dados pessoais como um dos princípios para o uso da internet6; assegura aos usuários o não repasse de dados a terceiros e a necessidade de consentimento expresso sobre a armazenagem de dados7; entre outros. Vê-se que a abordagem é superficial em relação à temática; pudera, tem o foco no uso da internet, nada menciona acerca dos dados sensíveis, tampouco disciplina a proteção a ser destinada processos clínicos armazenados eletronicamente.

Considerando-se que “a proteção dos dados pessoais tem sido compreendida como o direito de o indivíduo autodeterminar as suas informações pessoais: autodeterminação informacional”8; pode-se afirmar que a Lei 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD, é a que mais se aproxima de um regramento mais aprofundado sobre o tema. Teve redação alterada pela Lei 13.853, de 08 de julho de 2019 e entrou em vigor em 18 de setembro de 2020.

Para que se perquira se a LGPD regula expressamente o sigilo médico, ou se, ao menos, as suas disposições contribuem para a proteção dos dados pessoais dos pacientes, seguem os principais aspectos detectados em seu corpo legislativo:

a) A lei tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural9 – verifica-se uma consonância entre os seus propósitos e os objetivos indiretos do dever de sigilo médico;

b) Apresenta como fundamentos, entre outros, o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade10 – convergindo com as bases do segredo médico;

c) Aplica-se às operações de tratamento feitas por pessoa natural ou por pessoa jurídica de direito público ou privado11 – nesse rol se encontram os profissionais e as instituições de saúde, sujeitos passivo do dever de sigilo;

d) Contribui para dirimir divergências conceituais acerca da classificação dos dados, o que serve para melhorar a identificação deles por parte dos profissionais da saúde que fazem os registros nos processos clínicos, ou lidam com dados previamente expressados:

Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (…).

e) Expressa a possibilidade de tratamento de dados pessoais12 e de dados pessoais sensíveis13 para a tutela da saúde, e tem o cuidado de restringir esse procedimento a profissionais e serviços de saúde e autoridade sanitária – evidenciando a preocupação com a privacidade do paciente;

f) Em relação aos dados pessoais sensíveis da saúde, proíbe que os controladores compartilhem ou comuniquem esse conteúdo, com fito de proveito econômico, à exceção de casos de assistência de saúde14. Proíbe, também, o uso de dados pelos serviços de saúde suplementar, como critério discriminatório na contratação15 – demonstra o interesse precípuo no bem-estar do paciente e a vertente da Medicina com foco na pessoa, e não na doença; e obediência à boa-fé objetiva; em detrimento de práticas mercantilistas; coadunando, pois, com os fundamentos do segredo médico;

g) Trata da questão de o interesse particular do titular dos dados ter que ceder, em certas hipóteses, ao interesse público em realizar estudos em saúde pública 16 – como o direito de sigilo médico não é absoluto, dita relativização, contanto que obedeça aos requisitos legislativos, mostra-se justificada.

Verifica-se que a LGPD brasileira dá destaque ao tratamento específico dos dados pessoais e dados pessoais sensíveis da saúde, não se contentando com a proteção geral e mais abstrata que a proporcionada pelo Código Civil. Embora, como se depreende da própria nomenclatura, a LGPD é igualmente generalista, o que faz com que as regulamentações específicas, eventuais normativas setoriais, devam se submeter aos seus princípios gerais.

O dever de proteção de dados pessoais é mais amplo que o dever específico de sigilo médico, de modo que a Autoridade Nacional de Proteção de Dados – ANPD17, por ter competências de fiscalizar os direitos de exercício e os deveres de guarda e manutenção de dados, também fiscalizará o sigilo médico.

Em que pese ter deixado de tratar expressamente do sigilo médico, ao destinar vários dispositivos à tutela dos dados de saúde, acabou por contribuir para a sua observância; dotando de maior coercibilidade o dever deontológico de sigilo em relação aos dados dos processos clínicos. É verdade que as normativas de cunho ético, deontológico, principalmente aquelas enunciadas pelo Conselho Federal de Medicina, continuam sendo mais específicas; mas o esforço da LGPD é considerável, no sentido de favorecer a eficácia social dos direitos de privacidade em âmbito clínico e hospitalar. A nova lei dá ênfase à sua base axiológica, a qual é atrelada à dignidade da pessoa humana, e tem propósitos coincidentes com aqueles que motivam a defesa de sigilo médico.

O ceticismo que ainda persiste – dada a tradição paternalista da Medicina, que tanto se combate à luz da autonomia do paciente – na eficácia do dever de sigilo médico, não deve servir para tolher as iniciativas em prol da sua manutenção. Deve alertar para que, seja pelas vias deontológicas, seja pelas vias estritamente jurídicas, se busque alternativas para sopesar a necessidade de comunicação informativa clínica, entre os profissionais da saúde e as instituições da mesma área, e a intimidade e demais direitos da privacidade do paciente.

É necessário que no âmbito de aplicação da LGPD se leve em conta a individualidade de cada enfermo, para que considere os mais diferentes contextos e anseios deles, inclusive em relação às necessidades individuais de extensão do sigilo; só assim, a universalidade dos direitos da personalidade, especialmente da intimidade, será respeitada.

Esta coluna é produzida pelos membros e convidados da Rede de Pesquisa de Direito Civil Contemporâneo (USP, Humboldt-Berlim, Coimbra, Lisboa, Porto, Roma II-Tor Vergata, Girona, UFMG, UFPR, UFRGS, UFSC, UFPE, UFF, UFC, UFMT, UFBA, UFRJ e UFAM).

1 Art. 153 – Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem (…).

2 Art. 154 – Revelar alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem (…).

3 CUPIS, Adriano de. Os direitos da personalidade. Trad. Afonso César Furtado Rezende. São Paulo: Quorum, 2008, p. 158 e 169.

4 PEZZELLA, Maria Cristina Cereser; GHISI, Silvano. A manipulação de dados pessoais nas relações de consumo e o sistema “crediscore”. Civilistica.com. a. 4. n. 1. 2015, p. 3-4.

5 NAGELL, Hilde W. A penny for your thoughts – Ethics in sponsored research. In: GUNNING, Jennifer; HOLM, Søren (Eds.). Ethics, law and Society. UK: Ashgate, 2005, p. 35.

6 Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: (…) III – proteção dos dados pessoais, na forma da lei.

7 Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: (…) VII – não fornecimento a terceiros de seus dados pessoais (…); IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais.

8 BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2020, p. XXVII, grifos do autor.

9 Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

10 Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I – o respeito à privacidade; II – a autodeterminação informativa (…); IV – a inviolabilidade da intimidade, da honra e da imagem(…); VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

11 Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional; II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional (…);

12
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (…) VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (…);

13
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: (…) f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (…).

14
Art. 11, § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde (…).

15
Art. 11, § 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

16
Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

17
Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.