Nova agenda regulatória da ANPD esqueceu da saúde
Autor
14 de dezembro de 2022, 6h12
A Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), instituiu um regime jurídico referente ao tratamento de dados pessoais no Brasil, mais rigoroso quando se trata de dados pessoais sensíveis como os referentes à saúde. Busca-se, assim, minimizar os riscos de violações à privacidade e aos dados pessoais, como também evitar tratamentos abusivos e vazamentos de informações. Dados pessoais sensíveis de saúde podem revelar características e vulnerabilidades de seus titulares cujo tratamento irregular ou inseguro resultam em preconceitos e discriminações ilícitas ou abusivas, com alto potencial lesivo.
Chiara de Teffé salienta que dados que não parecem relevantes em determinado momento, ou que não façam referência a alguém diretamente, uma vez transferidos, cruzados e/ou organizados podem resultar em dados bastante específicos sobre determinada pessoa, trazendo informações, inclusive, de caráter sensível como sobre a sua saúde. A autora ressalta que é possível realizar o tratamento sensível de dados pessoais e destaca o enunciado nº 690, aprovado na IX Jornada de Direito Civil do Conselho da Justiça Federal em maio de 2022 que define que "a proteção ampliada conferida pela LGPD aos dados sensíveis deverá ser também aplicada aos casos em que houver tratamento sensível de dados pessoais, tal como observado no §1º do art. 11 da LGPD" [1]. O dispositivo estabelece que: "aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica". Por exemplo, o tratamento de dados de geolocalização pode revelar um potencial diagnóstico do paciente-titular de dados, na medida em que a inferência aponte que ele frequenta um estabelecimento de saúde especializado em tratamento de câncer ou outra enfermidade.
Com a rápida transformação digital da área da saúde dados pessoais sensíveis são extraídos, transferidos e organizados de forma cada vez mais sincrônica e inteligente. Dados pessoais de saúde também podem ser tratados a partir de interações do próprio paciente, por exemplo, por meio do acompanhamento de doenças através de aplicativos, de dispositivos vestíveis (como smartwhatches), para o monitoramento do condicionamento físico, do rastreamento de alterações relevantes a condições médicas por meio de testes, entre outros meios que podem induzir comportamentos que podem afetar a saúde pública. A saúde tornou-se em vários aspectos um produto, havendo táticas cada vez mais agressivas e invasivas para se coletar dados de saúde [2].
Técnicas aprimoradas de previsão comportamental e o adequado uso da Inteligência Artificial podem produzir decisões mais eficientes que beneficiam o paciente e a saúde como um todo na medida em reduzem desperdícios, déficits e custos na saúde, além de auxiliarem no combate à falta de acesso, conferirem maior agilidade e se "externalizam", por exemplo, na criação de ecossistemas de startups que se utilizam de Inteligência Artificial. Contudo, o tratamento irregular, ilícito ou inseguro de dados de saúde que trafegam hoje no complexo ecossistema da saúde digital, sem a adequada regulamentação e fiscalização pode resultar em objeto de análise e técnicas avançadas de criar classificações, perfilizações e, inclusive, previsões, e padrões comportamentais que permitem a oferta de serviços adicionais e de produtos com o tratamento secundário ou terciário de dados pessoais sensíveis de saúde sem a definição da base legal de tratamento mais adequada e segura.
Ao contrário do que originalmente disposto na Nota Técnica nº 31/2022/CGN/Autoridade Nacional de Proteção de Dados – ANPDgov, (ANPD) publicada com o objetivo de tomar subsídios para a elaboração da Proposta de Agenda Regulatória para o biênio 2023-2024, a Portaria ANPD nº 35 publicada em 4 de novembro de 2022 [3] optou por não contemplar a "saúde" como tema prioritário na agenda regulatória para o próximo biênio. Em termos de dados pessoais sensíveis, a nova agenda priorizou fundamentar medidas básicas para a adequação ao disposto na LGPD pelas organizações religiosas. Muito importante, sobretudo diante de discriminações ilícitas e abusivas sofridas por conta da convicção religiosa do titular, como, por exemplo, as religiões de matriz africana.
Ocorre que, relativamente à interpretação e aplicação da LGPD na área da saúde e pesquisa científica envolvendo seres humanos há lacunas pendentes de regulamentação por parte da ANPD que deixam os agentes de tratamento do setor sujeitos à autorregulamentação (artigo 50 da LGPD). Além disso, a ausência do adequado direcionamento sobre a qualificação e o tratamento de dados pessoais sensíveis de saúde causa inseguranças na criação de boas práticas pelo setor da saúde e da pesquisa científica com seres humanos [4].
Não se sabe ao certo por que a ANPD optou por não acolher, ainda, a saúde. Talvez um dos motivos seja a própria complexidade que envolve o ecossistema cada vez mais digitalizado e integrado com diversos agentes de tratamento envolvidos, alguns deles sem as licenças sanitárias. Algumas das lacunas pendentes de interpretação pela ANPD, em termos de LGPD na saúde, serão abordadas neste artigo de forma não exaustiva, mas reflexiva, de modo a apontar algumas das inseguranças que a omissão da ANPD pode representar para o setor.
Para começar, a LGPD não define "dados pessoais relativos à saúde". O ecossistema da saúde digital também comporta agentes de tratamento cuja atividade principal é, por exemplo, "tratamento de dados, provedores de serviços de aplicação e serviços de hospedagem na internet", "desenvolvimento e licenciamento de programas de computador customizáveis". São objetos sociais que, por si só, não permitem a obtenção das licenças sanitárias e do cadastro nacional de estabelecimento de saúde (CNES), como a grande parte das startups, ou healthtechs que avançaram durante a pandemia, detêm, hoje, a maior parte da tecnologia em saúde e são muito importantes para a transformação digital da saúde. Um exemplo é o caso das empresas de tecnologia que oferecem soluções como as plataformas que emitem documentos médicos eletrônicos (prescrição; atestado; relatório; solicitação de exames; laudo e parecer técnico, nos termos da Resolução CFM 2.299/2021) — as plataformas.
Sem adentrar em questões regulatórias aplicáveis, fato é que as plataformas tratam dados pessoais sensíveis de saúde e são obrigadas pela LGPD a definir a base legal para fundamentar os tratamentos realizados, hipóteses dispostas nos artigos 7 ou 11, que podem ser complementadas pelas regras dos artigos 14 ou 23 da LGPD. E talvez seja esta a grande dificuldade para o setor em termos de implementação da LGPD. É que o paciente, quando utiliza um serviço de telessaúde, particularmente um aplicativo de telemedicina, e o médico emite um documento, por exemplo, a prescrição eletrônica, o paciente tem a expectativa original de receber: a prescrição eletrônica! Para fazer a teleconsulta, ele precisa autorizar o atendimento por telemedicina e a transmissão das suas imagens e dados por meio de termo de consentimento, livre e esclarecido, enviado por meios eletrônicos ou de gravação de leitura do texto com a concordância, devendo fazer parte do Sistema de Registro Eletrônico de Saúde (SRES) do paciente (artigo 15 da Resolução CFM nº 2.314/2022).
O médico – ou o estabelecimento de saúde integrado a uma plataforma – por meio de interfaces de programação de aplicações — APIs, na sigla em inglês) para que o paciente receba a sua prescrição eletrônica, por exemplo, pelo celular ou aplicativo — atua como controlador à luz da LGPD e a plataforma como operador. Ocorre que, a operação de tratamento que envolve a prescrição eletrônica pode envolver outras operações de tratamento com finalidades distintas: a empresa de tecnologia detentora da plataforma — dependendo do caso — pode estar integrada a outras empresas que compõem, ou não, a cadeia da saúde, por exemplo, farmácias e laboratórios, sem falar quando ela optar por realizar a dispensação do medicamento, ato privativo do farmacêutico. Ocorre que, quando plataforma aplica finalidade diferente da operação original — "prescrição eletrônica" — ela precisa buscar a base legal mais adequada e segura para a nova situação, lembrando que dados prescricionais são dados pessoais sensíveis e podem envolver, também, pacientes pediátricos. Nesta situação, é possível afirmar que a plataforma se converte em controlador, e aquele estabelecimento de saúde integrado ou o médico que prescreveu eletronicamente lá atrás não é mais agente de tratamento. Outros agentes de tratamento podem estar envolvidos, como a farmácia.
Definir a atuação do agente de tratamento é muito importante. O controlador é responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir as finalidades deste tratamento. A LGPD atribui obrigações específicas ao controlador, além da atribuição de responsabilidades em relação à reparação por danos decorrentes de atos ilícitos, que é distinta de acordo com a qualificação do agente de tratamento [5].
Esta "operação de tratamento" secundária (ou "terciária") de dados de saúde requer, necessariamente, a aplicação da base legal elencada no artigo 11 da LGPD, e esta pode ser uma tarefa complexa caso a plataforma opte por dispensar o consentimento para, por exemplo, enviar para o paciente informações sobre um rol de farmácias para que ele escolha adquirir o seu medicamento, inclusive online. Diante disso, parece exagerado afirmar que a plataforma digital viabiliza a comercialização de medicamentos no estabelecimento de saúde. A regulamentação específica é sim rarefeita, mas a LGPD possui ferramentas para enquadrar esta realidade hoje praticada no mercado da saúde digital, além de outras normas setoriais aplicáveis [6].
Uma atuação mais efetiva da ANPD, em termos de LGPD na saúde, pode auxiliar na decisão adequada e segura da base legal de tratamento, por exemplo, o exercício regular de direitos que, conforme o artigo 11, II "d" da LGPD, pode dar-se, inclusive, em contrato. Parece improvável optar pela base legal "tutela da saúde" do artigo 11, II "f" da LGPD para a operação de tratamento "secundária", relacionada à "oferta do medicamento". Sem falar da possibilidade de tratamento "terciário" que aumenta a exposição a potenciais riscos relacionados a discriminações ilícitas ou abusivas, como a utilizados desta considerável base de dados de saúde para a confecção de algoritmos, formação do perfil comportamental, perfilizações, para a oferta de outros produtos ou serviços como seguros de vida ou de saúde. Ou seja, com a obtenção de vantagem econômica, ou, no pior cenário, viabilizar a prática de seleção de riscos. Aqui, o § 3º do artigo 11 da LGPD apresenta uma lacuna, no sentido de que atribui à ANPD o dever de vedar ou regulamentar a prática [7]. Consequentemente, caberá à ANPD apontar se estas healthtechs – fundamentais para a transformação digital da saúde — estão, também, enquadradas no § 4 do artigo 11 da LGPD, que trata da dispensa do consentimento [8].
Toda essa complexidade acontece com base na vontade inicial do paciente: receber uma prescrição eletrônica sem sair de casa, mas sem a adequada compreensão da complexidade que esta vontade representa e, muitas vezes, sem conhecer os agentes de tratamento envolvidos nesta solução digital. "Transparência", isto é, garantir ao paciente informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados de saúde e os respectivos agentes de tratamento é um dos princípios consagrados pela LGPD, e um dos direitos do paciente titular de dados.
Dados de saúde são interoperáveis, de alto risco e potencial lesivo, discriminatórios, muito valiosos na dark web, constantemente sob ataques cibernéticos, inclusive o Ministério da Saúde. Com a transformação digital fomentada pela pandemia, o tráfego de dados de saúde é cada vez mais constante, sincrônico, inteligente, por meio de APIs, cookies, taggings, plataformas como Google Analytics, e outros meios que compõem "arquitetura de dados" do labiríntico e complexo ecossistema de saúde digital composto também por agentes de tratamento que não possuem licenças sanitárias. Esta autora defende que no ecossistema da saúde digital é ultrapassado falar em "big data, data warehouse, data lake". Mais adequado é referir-se a "data galaxy". Dados pessoais, de saúde ou com inferências sensíveis que, com cruzamentos permitem o tratamento sensível como um diagnóstico, trafegam por diversos meios eletrônicos, ao mesmo tempo. As "luzes" da galáxia acendem simultaneamente e sem o adequado direcionamento dos órgãos competentes do Estado, in casu, a ANPD e o próprio Ministério da Saúde [9].
É urgente que a ANPD revisite a sua agenda regulatória para o próximo biênio para contemplar a saúde, estabelecendo o diálogo com outros atores setoriais fundamentais para a adequada interpretação e regulamentação da LGPD sobre o setor, como o próprio Ministério da Saúde, até para evitar entraves desnecessários para o setor.
Bibliografia
DALLARI, Analluza Bolivar. Interpretação do artigo 11, parágrafo 4º da LGPD no contexto pós-pandemia. Disponível online em: https://www.conjur.com.br/2022-ago-26/analluza-bolivar-artigo-11-lgpd-contexto-pos-pandemia (acesso em 6/12/2022).
TEFFÉ, Chiara Spadaccini de. Dados Pessoais Sensíveis: qualificação, tratamento e boas práticas. Idaiatuba/SP: Editora Foco, 2022.
Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível online em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf>
[1] TEFFÉ, Chiara Spadaccini de. Dados Pessoais Sensíveis: qualificação, tratamento e boas práticas, pp. 11 e 39.
[2] TEFFÉ, Chiara Spadaccini de. Dados Pessoais Sensíveis: qualificação, tratamento e boas práticas, pp. 87-89
[3] Portaria ANPD nº 35, de 4 de novembro de 2022. Disponível online em: https://www.in.gov.br/en/web/dou/-/portaria-anpd-n-35-de-4-de-novembro-de-2022-442057885, último acesso em 6/12/2022.
[4] Este artigo não abordará a pesquisa científica com seres humanos, tema para uma próxima publicação.
[5] Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível online em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf (acesso em 6/12/2022).
[6] A título de exemplo, o Projeto de Lei nº 1998/2020, que pretende autorizar e define a prática da telessaúde em todo o território nacional, já aprovado na Câmara dos Deputados, sofreu alterações no Senado em 29 de novembro de 2022. Como resultado, o texto retorna à Casa original para nova apreciação. Outro exemplo aplicável é o próprio Código de Defesa do Consumidor (Lei nº 8.078, de 11 de setembro de 1990), o artigo 99 da Resolução nº 357/2001 do Conselho Federal de Farmácia, o Decreto nº 20.377 de 08 de setembro de 1931 e o Decreto nº 20.931 de 11 de janeiro de 1932, entre outros como Resoluções da Diretoria Colegiada da Agência Nacional de Vigilância Sanitária. A Lei nº 5.991 de 17 de dezembro de 1973, que versa sobre o controle sanitário do comércio de drogas, medicamentos, insumos farmacêuticos e correlatos.
[7] A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências (artigo 11, § 3º da LGPD).
[8] DALLARI, Analluza Bolivar. Interpretação do artigo 11, parágrafo 4º da LGPD no contexto pós-pandemia. Disponível online em: https://www.conjur.com.br/2022-ago-26/analluza-bolivar-artigo-11-lgpd-contexto-pos-pandemia (acesso em 6/12/2022).
[9] O Decreto 11.098 de 20 de junho de 2022 criou a Assessoria Especial de Proteção de Dados no âmbito do Ministério da Saúde. Publicou uma Política de Privacidade e designou um Encarregado de Dados. Espera-se que assuma o protagonismo necessário em termos de interpretação da LGPD na área da saúde de forma ativa e transparente.
Encontrou um erro? Avise nossa equipe!