Interpretação do artigo 11, parágrafo 4º da LGPD no contexto pós-pandemia

A Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), fundou um novo regime jurídico referente ao tratamento de dados pessoais no Brasil, mais rigoroso quando se trata de informações genéticas, biométricas ou referentes à saúde ou à vida sexual de indivíduos.

Em poucas palavras, artigo 11, § 4º foi incorporado ao texto da LGPD por meio da Medida Provisória (MP) nº 869 de 27 de dezembro de 2018, cujo texto original abordava principalmente, "saúde suplementar" [3]. A necessidade de ampliar a abrangência para outros controladores da área da saúde, para não causar impactos e retrocessos para o setor, foi debatida durante a tramitação desta MP, especialmente na 4ª Audiência Pública sobre o tema, intitulada "compartilhamento e proteção de dados na saúde e na pesquisa científica", ocorrida em 17 de abril de 2019. Nesta ocasião, a discussão do assunto indicou não ser a intenção do setor a comercialização de dados de saúde para fins diversos e não relacionados com o atendimento prestado ao paciente, sendo necessária a coordenação entre todos os agentes da cadeia para a prestação dos serviços de saúde. Constatou-se que a circulação, conexão e coordenação desses dados sensíveis pelos diversos agentes envolvidos na contraprestação a serviço contratado são imprescindíveis ao atendimento médico moderno, rápido, eficiente e seguro [4].

Relativamente à base legal para tratamento de dados pessoais sensíveis de saúde, o próprio Parecer da Comissão Mista da MP nº 869/2018 esclareceu que se trata de "tutela da saúde", isto é, o artigo 11, II "f" da LGPD, portanto, dispensa-se o consentimento:

"Decidimos por deixar claro que a exceção para se tratar dados de saúde sem consentimento poderá ser realizado por toda a cadeia do setor de saúde, valendo-nos para isso da inclusão da definição constante na Lei do SUS (Lei no 8.080/90), “serviços de saúde”. Porém explicitamos que essa exceção somente poderá ocorrer “exclusivamente” para a tutela da saúde, isto é, para tratamentos de saúde e em benefício dos pacientes e titulares dos dados" [5].

Na conjuntura da tramitação da MP nº 869/2018, muito provavelmente, não se cogitava que o mundo enfrentaria uma pandemia causada pelo novo coronavírus, reconhecida pela Organização Mundial da Saúde em 11 de março de 2020. Entre outras medidas de contenção da disseminação e contaminações pelo vírus, o distanciamento social estimulou que muitas pessoas preferissem ficar isolados enquanto serviços de saúde encontravam-se lotados de doentes. De lá para cá, foram muitos os eventos, como a própria entrada plena em vigor da LGPD, em 1 de agosto de 2021, além da publicação de normas para equacionar o novo momento e para permitir a continuidade da assistência à saúde à distância.

Diante deste cenário, em 15 de abril de 2020 a Lei nº 13.989 foi sancionada para viabilizar o uso da telemedicina durante a crise causada pelo coronavírus em território nacional em sua plenitude, sem impor uma primeira consulta presencial ou a inscrição secundária do registro do médico no estado em que se encontrasse o paciente atendido por telemedicina. Com vigência temporária, enquanto durasse a crise sanitária Emergência em Saúde Pública de Importância Nacional (Espin), ela deixou de produzir efeitos em 23 de maio de 2022 como resultado da Portaria nº 913, publicada pelo Ministério da Saúde em 22 de abril de 2022, que declarou o encerramento da Espin em decorrência do novo coronavírus e revogou a Portaria MS nº 188 de 03 de fevereiro de 2020. Para abreviar insegurança jurídica resultante de lacunas causadas pela ausência de norma que regulamentasse e permitisse a continuidade do exercício da medicina mediado por Tecnologias Digitais, de Informação e de Comunicação (TDICs), em 5 de maio de 2022 o Conselho Federal de Medicina (CFM) publicou a Resolução nº 2.314. A nova norma do CFM impôs a consulta presencial para o caso de atendimentos de doenças crônicas ou doenças que requeiram acompanhamento por longo tempo com o médico assistente do paciente, em intervalos não superiores a 180 dias e reforçou que a consulta presencial é o padrão ouro de referência para as consultas médicas, sendo a telemedicina ato complementar. Ou seja, sem maiores entraves à fluidez necessária para a promoção de serviços de telemedicina.

A pandemia intensificou sobremaneira o tráfego online de dados pessoais e dados pessoais sensíveis, como os de saúde, deixando o setor da saúde vulnerável para os hackers e ataques cibernéticos como, por exemplo, ramsonware que podem comprometer os dados primários, secundários e backups, colocando em risco a saúde ou a vida do paciente. Além disso, os serviços de saúde, concentrados em salvar vidas, e não em desenvolver tecnologias próprias, apoiaram-se no necessário e importante serviços oferecidos por empresas de tecnologia de informação e de comunicação (TICs) em saúde, as healthtechs.

Entre outras soluções, como voltadas para os sistemas informacionais, em Sistema de Registro Eletrônico de Saúde (SRES) do paciente, ou prontuário eletrônico, essas empresas também desenvolvem portais e plataformas que permitem a emissão de documentos médicos eletrônicos, como prescrição, atestado, relatório, solicitação de exames, laudo, parecer técnico [6]. Para isso, precisam, muitas vezes, realizar integrações entre softwares com o estabelecimento de saúde, por meio de interfaces de programação de aplicações (APIs, na sigla em inglês) para que o paciente receba a sua prescrição eletrônica, por exemplo, pelo celular ou aplicativo. Não raro, estas plataformas estão integradas a outros estabelecimentos, como farmácias, para a oferta de descontos sobre medicamentos prescritos. e laboratórios, para descontos sobre exames clínicos. Tudo para facilitar a jornada de assistência do paciente de maneira célere e online, mas não alheio a possíveis usos secundários ou tratamento com finalidades econômicas distintas à originalmente consentida, ou não, quando permitido pelo artigo 11 da LGPD, caso o trabalho de adequação com a lei não seja corretamente implementado, por exemplo, a criação de algoritmos para serem comercializados.

Estas empresas de tecnologia da área da saúde, de grande importância para a transformação digital do setor, não possuem, hoje, a mesma regulamentação aplicada a outros serviços de saúde [7], e, muitas, acabam não obtendo as licenças sanitárias que poderiam ser aplicáveis. Muitas são empresas cuja atividade principal é o desenvolvimento de softwares, ou o "desenvolvimento e licenciamento de programas de computador customizáveis". Contudo, por conta da natureza da atividade econômica prestada, elas podem ter acesso a dados pessoais sensíveis de saúde, relacionados à prescrição de medicamentos, classificação de doenças e diagnósticos (CIDs), pedidos de exames, entre outros. Compondo o complexo ecossistema de saúde digital, à luz da LGPD não fica claro a atuação delas como agentes de tratamento, seja operadores ou controladores de dados, na multifacetada linha de tratamento de dados pessoais do paciente. De fato, caberá à ANPD avaliar e esclarecer se estas healthtechs encontram-se, hoje, abrangidas na interpretação do artigo 11, § 4º da LGPD.

Certo é que ainda não está claro o rol de finalidades de tratamento desses dados pessoais sensíveis de saúde (prescricionais, diagnóstico, exames) pelas healthtechs que desenvolvem softwares sem possuírem licenças sanitárias. Sabe-se, porém, que se trata se dados pessoais altamente valiosos porque, também, viabilizam o estudo e conhecimento do "perfil comportamental" baseado em saúde. A propósito, outras empresas de ramos totalmente diferentes, como operadoras de telefonia, começam a apoiar o desenvolvimento de produtos de telemedicina visando o acesso a dados referente ao perfil comportamental de usuários de aplicativos de telessaúde, como o número de teleconsultas realizadas e a especialidade médica, o que podem ser considerados dados pessoais sensíveis de saúde. São finalidades sujeitas ao consentimento do paciente para o compartilhamento, não raro fornecido por meio de opt ins eletrônicos e incompreensíveis, o que pode comprometer a validade da manifestação que, a rigor, deveria ser livre, informada e inequívoca, entre outras circunstâncias que refletem a fragilidade da coleta do termo de consentimento livre e esclarecido do paciente por meio eletrônico.

Dados de saúde são interoperáveis, de alto risco, discriminatórios, muito valiosos na "dark web", constantemente sob ataques, inclusive o Ministério da Saúde. Com a transformação digital fomentada pela pandemia, o tráfego de dados de saúde é cada vez mais constante, sincrônico, por meio de API´s, cookies, taggings, plataformas como Google Analytics, e outros meios que compõem "arquitetura de dados" do labiríntico ecossistema de saúde digital.

Planeja-se um sistema de saúde unificado, interoperável e fluído para aumentar a competitividade e eficiência do setor, o que pode trazer muitos benefícios para a saúde como um todo e para a jornada de cuidado individual e coletivo. Nesse sentido os princípios dispostos na atual Política Nacional de Informação e Informática em Saúde (PNIIS), instituída pela Portaria GM/MS nº 1.768/2021. A PNIIS define os princípios e diretrizes norteadores para os setores público e privado efetivarem a integração dos sistemas de informação em saúde, promovendo a inovação, apoiando a transformação digital dos processos de trabalho em saúde e aprimorando a governança no uso da informação, das soluções de tecnologia da informação e da saúde digital, bem como a transparência, a segurança e o acesso às informações em saúde pela população e melhoria da saúde do cidadão. Mas a instituição de um sistema de open health no país não escapa à adequada aplicação da LGPD e ao escrutínio do poder fiscalizador do Estado e, muito provavelmente, as healthtechs que desenvolvem e fornecem soluções em TICs comporão o complexo sistema de saúde digital do Sistema Único de Saúde.

O prazo para a contribuição da sociedade, oferecido pela Nota Técnica nº 31/2022/CGN/ANPD encerrou-se em 22 de agosto de 2022. É bastante provável que a área da saúde esteja contemplada na Agenda Regulatória da ANPD para o biênio 2023-2024 e, além do artigo 11, § 4º da LGPD e 13 da LGPD, o artigo 11, § 3º da Lei também deve ser observado. Para esta tarefa, é primordial que a ANPD estabeleça diálogo com outros atores setoriais fundamentais para a adequada interpretação e regulamentação da LGPD sobre a área da saúde, até para evitar entraves desenecessários para o setor: Ministério da Saúde, Agência Nacional de Saúde Suplementar, Conselho Nacional de Saúde, Agência Nacional de Vigilância Sanitária entre outros (Conep, Conass, Conasems, associações privadas).