A LGPD como condição para as healthtechs captarem investimentos

Nos últimos anos, as startups ganharam a atenção do setor econômico brasileiro, proporcionando soluções inovadoras em diversos segmentos, incluindo o segmento da saúde.

Nesse cenário, surgiram as startups voltadas ao setor da saúde, denominadas healthtechs. A título ilustrativo, podemos citar as mais conhecidas: Dr. Consulta, Alice, Vidia, iClinic, aFarma, Cuco Health, Pipo Saúde, Sami, Vidia, Livance, Bright.

Segundo dados do Distrito Healthtech Report [1], finalizamos o ano de 2020 com 542 healthtechs no Brasil, representando um aumento de 147% com relação ao ano de 2019 [2].

Entre outras categorias, as healthtechs trazem soluções tanto para o relacionamento com pacientes quanto para exames laboratoriais, terapias digitais, telemedicina, wearables (tecnologias vestíveis), gestão clínica e hospitalar, prontuário eletrônico, entrega de medicamentos etc.

Paralelamente, a Lei Geral de Proteção de Dados (LGPD) chegou com a difícil tarefa de impor uma mudança cultural sobre a importância da privacidade e sobre a necessidade de manter o controle dos próprios dados.

Desse modo, a LGPD tem como finalidade garantir transparência no uso dos dados de pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

A mencionada lei adota um conceito expansionista, considerando como dado pessoal toda informação que seja relacionada à pessoa natural identificada ou identificável. Nesse passo, o mesmo diploma legal classifica o dado pessoal sensível como sendo aquele que versa sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Assim, os dados pessoais sensíveis merecem proteção especial, pois podem ser utilizados para fins discriminatórios, de modo que devem obedecer a padrões mais rigorosos para o tratamento.

Nesse contexto, os dados de saúde se enquadram dentro do conceito de dado pessoal sensível. Com relação a esses dados, podemos citar os seguintes exemplos: frequência cardíaca, tipo sanguíneo, se é doador de órgãos, resultados de exames laboratoriais, patologias etc.

Para o tratamento de dados pessoais, a LGPD exige que a tarefa obedeça a uma das bases legais previstas no texto legal.

Especificamente, no tocante à possibilidade de tratamento de dados pessoais sensíveis, a lei prevê as seguintes bases legais: 1) consentimento; 2) obrigação legal ou regulatória; 3) execução de políticas públicas; 4) estudos por órgãos de pesquisa; 5) exercício regular de direito em contrato ou processo judicial, administrativo e arbitral; 6) proteção da vida ou incolumidade física; 7) tutela da saúde por profissionais da saúde; e 8) garantia de prevenção à fraude e à segurança do titular.

É essencial que o tratamento seja feito em conformidade com uma das bases legais acima. Além do que, muito embora não seja a única base legal possível, se escolhido o uso do consentimento, é importante que este seja coletado de forma ativa, específica, destacada e para finalidade específica.

Portanto, adequar uma healthtech à LGPD pressupõe que o trabalho seja feito de forma harmoniosa com leis e normas setoriais, como resoluções da Agência Nacional de Saúde e do Conselho Federal de Medicina, além de observar o que preceituam as normas técnicas específicas, como a ISO 27.799. Assim, é essencial elaborar e revisar contratos, garantir um canal para que os titulares exerçam os seus direitos, além de adotar soluções técnicas em segurança da informação e medidas de anonimização e/ou pseudonimização.

No tocante à captação de recursos de terceiros, fato é que, com frequência, as startups necessitam de capital externo para viabilizar ou escalar as operações, ou seja, para obter o crescimento almejado.

Aqui, entram em cena os investidores-anjo, os fundos de Venture Capital e de Private Equity, os amigos e os familiares. Além disso, não só pela questão financeira, mas com finalidade estratégica, o Corporate Venture Capital tem ganhado espaço.

O mencionado relatório elaborado pelo Distrito destaca que, desde 2014, foram mapeadas 189 rodadas de investimento no setor de saúde, totalizando o valor de US$ 430 milhões investidos.

A título de exemplo, em 2017, a healthtech denominada Dr. Consulta já havia recebido aportes financeiros no valor aproximado de US$ 90 milhões. E, em uma rodada recente, a healthtech denominada Alice recebeu um aporte de aproximadamente US$ 33,3 milhões [3].

As cifras acima são expressivas e chamam a atenção, porém, antes do aporte financeiro, os investidores exigem diversos direitos, além de cuidados jurídicos, técnicos e financeiros.

Recentemente, um caso que ganhou notoriedade e dominou as redes sociais foi o ocorrido no programa de televisão chamado Shark Tank Brasil, no qual a conformidade da LGPD foi uma das condições impostas pelo investidor. No entanto, fora dos holofotes, essa exigência também tem sido feita.

Isso acontece não apenas porque a referida lei prevê sanções administrativas, como a famosa multa simples, de até 2% do faturamento da pessoa jurídica, como também a suspensão do exercício da atividade de tratamento dos dados pessoais e a suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.

Mas, principalmente, pelo dano reputacional que pode ser causado à empresa, caso ocorra um comprometimento da base de dados. Evidentemente, esse tipo de dano impactará diretamente no valuation da empresa, causando prejuízo aos investidores, além da possibilidade de afastar clientes e usuários, diminuindo as receitas.

Sobre o tema, Andrea Ditolvo Vela de Almeida Prado [4] (2020, p. 259) afirma que:

"No final de 2017, ainda antes de a GDPR entrar em vigor, a empresa Uber divulgou que uma violação havia exposto as informações privadas de 57 milhões de clientes. Acredita-se que essa violação tenha causado prejuízos à Uber tanto em reputação quanto em custo real, já que, no momento em que foi anunciada, a empresa estava em negociações para vender uma participação societária ao Softbank. Inicialmente, a avaliação da Uber era de aproximadamente US$ 70 bilhões, mas, quando o acordo foi fechado, sua avaliação caiu para US$ 48 bilhões".

Nesse cenário, a tendência é que a adequação à Lei Geral de Proteção de Dados seja incluída na checklist de uma due diligence, como forma de garantir segurança ao investimento.

No tocante às healthtechs, por estarem tratando com dados de saúde, é importante cumprir a legislação e adotar medidas técnicas de segurança, pois um eventual comprometimento à base de dados poderá expor consideravelmente os seus usuários, tornando público patologias, informações confidenciais, exames laboratoriais, entre outros dados de saúde.

Para finalizar, convém noticiar que, em breve, a Confederação Nacional de Saúde (CNSaúde) vai lançar o primeiro Código de Conduta dos Prestadores de Serviços de Saúde para o atendimento da LGPD.

Desse modo, embora o Brasil ainda esteja engatinhando nos temas de privacidade e proteção de dados, é fácil notar que as empresas de tecnologia, especialmente as healthtechs, que possuem uma base de dados considerados sensíveis, devem buscar, com urgência, conformidade com a legislação, ganhando a confiança do mercado e dos investidores.