O regulamento europeu relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“General Data ProtectionRegulation – EU 2016/679 – GDPR”, na sigla em inglês) é uma normativa aplicável a todos os indivíduos na União Europeia. Com sua entrada em vigor, em 25 de maio de 2018, os titulares passam a contar com direitos adicionais para garantir que seus dados sejam processados de forma segura e com proteção adequada. Responsabilidades mais robustas e obrigações mais claras são impostas às empresas que trabalham com a coleta, processamento e transferência de dados pessoais.
No Brasil, o Senado Federal aprovou em 10 de julho de 2018, por unanimidade, o projeto de lei nº 53/2018, oriundo da Câmara dos Deputados (projeto de lei no 4060/2012), sobre a proteção de dados pessoais, com texto inspirado na legislação europeia (GDPR). Em 14 de agosto de 2018, foi sancionada pelo Poder Executivo a Lei nº 13.709, publicada no dia seguinte. Logo conhecida como Lei Geral de Proteção de Dados (LGPD), ela consolida princípios e normas esparsas e introduz inovações, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Em 27 de dezembro de 2018, já no recesso do Congresso Nacional e no final do mandato presidencial, foi editada pelo Presidente Michel Temer a Medida Provisória nº 869 (MPV 869/2018), que altera a LGPD. Além de dispor sobre a proteção de dados pessoais, tem por objetivo a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal vinculado à Presidência da República, dotado de autonomia técnica e com um Conselho Diretor como órgão máximo de direção, cujos membros deverão ser nomeados pelo Presidente para mandato de quatro anos. É interessante observar que a MPV 869/2018 equaciona a vacatio legis da LGPD em duas situações: quanto aos artigos relacionados à criação da ANPD (artigos 55A-K e 58-A), os efeitos jurídicos são imediatos, isto é, vigoram desde a data de publicação, em 28 de dezembro de 2018; quanto aos demais artigos da LGPD, a MPV aumenta o prazo para a entrada original (de dezoito meses) para vinte e quatro meses após a data de sua publicação, isto é, em 15 de agosto de 2020 (artigo 65 da LGPD).
Sabe-se que Medida Provisória é uma norma com força de lei editada pelo Presidente da República por ser considerada pelo Poder Executivo aplicável a situação de relevância e urgência, nos termos do artigo 62 da Constituição Federal. Apesar de produzir efeitos jurídicos imediatos, precisa da posterior convalidação pelas casas do Congresso Nacional (Câmara e Senado) para se converter definitivamente em lei ordinária. O prazo inicial de vigência é de sessenta dias, podendo ser prorrogada automaticamente por igual período caso não tenha sua votação concluída. Se não for apreciada em até quarenta e cinco dias contados de sua publicação, e considerando o recesso, entra em regime de urgência, sobrestando todas as demais deliberações legislativas da Casa em que estiver tramitando.
Atualmente, a tramitação da MPV 869/2018 se encontra no aguardo da designação dos membros de Comissão Mista pelo Presidente do Congresso Nacional, a ser formada por doze senadores e doze deputados, para a análise prévia dos pressupostos constitucionais de relevância e urgência e de mérito. Considerando o período de recesso, o prazo para tramitação iniciará em fevereiro de 2018 (artigo 62, § 4º da Constituição Federal).
A MPV 869/2018 não alterou a definição de dado pessoal e dado pessoal sensível, sendo esse último “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (artigo 5º, II da LGPD).
Dados relacionados à saúde são necessariamente considerados dados sensíveis aos olhos da LGPD. O tratamento desses dados somente poderá ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas (artigo 11, I, da LGPD). Salvo em algumas hipóteses taxativas, como o cumprimento de obrigação legal ou regulatória pelo controlador, por exemplo, como no caso da Lei nº 13.685, de 25 de junho de 2018, que estabelece a notificação compulsória de agravos e eventos em saúde relacionados às neoplasias. Outra adequação à LGPD trazida pela MPV 869/2018 é a autorização da comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúdepara obtenção de vantagem econômica, sem o consentimento do titular, desde que estritamente necessário para a adequada prestação de serviços de saúde suplementar (artigo 11, §4º, II da LGPD).
A LGPD implicará em profundos impactos na área da saúde, em que necessariamente há o tratamento de dados pessoais sensíveis, sobre os quais não se admite a hipótese de tratamento para atender interesses legítimos do controlador ou de terceiros. Para escaparem de sanções administrativas aplicáveis pela ANPD, hospitais, clínicas, laboratórios, serviços de saúde complementar, empresas do ramo farmacêutico, centros de pesquisa clínica e órgãos de pesquisa, de natureza jurídica pública ou privada, todos considerados controladores de dados pessoais sensíveis referentes à saúde, terão até 14 de agosto de 2020 para adotarem medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais sensíveis contra acessos não autorizados, em situações acidentais ou ilícitas. Sem a pretensão de esgotar o tema, este artigo busca refletir sobre a nova situação, principalmente no que tange à proteção de banco de dados de saúde e estudos retrospectivos.
Há quem considere banco de dados o “petróleo da era digital”. A analogia é geralmente creditada a Clive Humby[1], matemático britânico, que destacou em 2006 o fato de que, embora inerentemente valiosos, os dados precisam ser tratados, assim como o óleo precisa ser refinado, antes que seu verdadeiro valor possa ser revelado. Cada um, dados e petróleo, com seus fatores econômicos próprios.
O artigo 5º, IV, da LGPD define banco de dados como sendo o “conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico”. Como órgão de pesquisa designa “órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico” (artigo 5º, XVIII da LGPD, redação dada pela MPV 869/2018).
Dentre o rol de direitos consagrados pela LGPD está a eliminação dos dados pessoais tratados com o consentimento do titular, isto é, exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. Mas como eliminar dados constantes em bancos de dados sem afetar o desenvolvimento científico e da saúde pública? A LGPD preconiza que dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades. Contudo, autoriza a conservação para finalidades específicas, duas delas pertinentes ao objeto deste artigo: cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais (artigo 16 da LGPD).
A Resolução nº 1.638/2002 do Conselho Federal de Medicina estabelece que o prontuário é documento valioso para o paciente, para o médico que o assiste e para as instituições de saúde, bem como para o ensino, a pesquisa e os serviços públicos de saúde, além de instrumento de defesa legal. Compete à instituição de saúde ou ao médico o dever de guarda do prontuário, devendo estar disponível nos ambulatórios, nas enfermarias e nos serviços de emergência para permitir a continuidade do tratamento do paciente e documentar a atuação de cada profissional.
O artigo 1º do referido diploma infra-legal define prontuário médico como “o documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo”.
A Resolução nº 2.217/2018 do Conselho Federal de Medicina aprovou o novo Código de Ética Médica. O artigo 87 estabelece que é vedado ao médico “deixar de elaborar prontuário legível para cada paciente, sendo que deve, obrigatoriamente, conter os dados clínicos necessários para a boa condução do caso, sendo preenchido, em cada avaliação, em ordem cronológica com data, hora, assinatura e número de registro do médico no Conselho Regional de Medicina”. Estabelece, ainda, que o prontuário ficará sob a guarda do médico ou da instituição que assiste o paciente. O artigo 88 do Código de Ética Médica também veda ao médico negar ao paciente ou, na sua impossibilidade, a seu representante legal, acesso a seu prontuário, deixar de lhe fornecer cópia quando solicitada, bem como deixar de lhe dar explicações necessárias à sua compreensão, salvo quando ocasionarem riscos ao próprio paciente ou a terceiros. Não pode o médico liberar cópias do prontuário sob sua guarda, exceto para atender a ordem judicial ou para sua própria defesa, assim como quando autorizado por escrito pelo paciente.
O dever de privacidade e sigilo do prontuário médico encontra abrigo constitucional. O artigo 5º, X, da Constituição Federal qualifica como direito fundamental a inviolabilidade da intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Infraconstitucionalmente, o artigo 21 do Código Civil estabelece que “a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”.
Desta forma, para garantir a conformidade com a LGPD, até que novas diretrizes sejam editadas sobre a adequação progressiva de bancos de dados já constituídos, órgãos de pesquisa podem tratar dados pessoais sensíveis sem o fornecimento de consentimento do titular, desde que respeitem os princípios descritos na LGPD, possuam meios técnicos razoáveis para garantir a anonimização desses dados pessoais sensíveis e garantam um ambiente de armazenamento controlado e seguro. É que, levando em consideração a complexidade das operações de tratamento e a natureza dos dados, a LGPD, em seu artigo 63, estabelece que caberá à ANPD editar normas sobre a adequação progressiva de bancos de dados constituídos até a data de sua entrada em vigor.
Já na realização de estudos em saúde pública, está garantido o acesso por órgãos de pesquisa a bases de dados pessoais, contanto que tratados exclusivamente dentro do mesmo órgão e estritamente para a finalidade de realização de estudos e pesquisas. O ambiente de armazenamento, no entanto, deve ser controlado e seguro e é preciso garantir sempre que possível, a anonimização ou pseudonimização dos dados, além de considerar os devidos padrões éticos relacionados a estudos e pesquisas (artigo 13 da LGPD). Pseudoanonimização é o tratamento por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro
Nesse sentido, o Código de Ética Médica aprovado em novembro de 2018 trouxe como inovação a possibilidade do acesso dos médicos a prontuários em estudos retrospectivos. O artigo 101 institui que o acesso aos prontuários será permitido aos médicos, em estudos retrospectivos desde que acompanhado de questões metodológicas justificáveis e autorizados pelo Comitê de Ética em Pesquisa (CEP) ou pela Comissão Nacional de Ética em Pesquisa (Conep).
É bastante prudente que os órgãos e empresas da área da saúde comecem a realizar planos de governança e adequação da gestão dos dados pessoais sensíveis que acessam e tratam, por meio de práticas de duediligence, auditoria sobre a aderência à LGPD. Deverão desenvolver programas de governança em privacidade, com a previsão de processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais sensíveis. É aconselhável o engajamento e atuação de agentes de tratamento na área da saúde, no âmbito de suas competências, individualmente ou por meio de associações, na formulação de regras de boas práticas e de governança prevendo as condições de organização, o regime de funcionamento, os procedimentos e as normas de segurança. A elaboração de ações educativas, treinamento e de meios internos de supervisão e de mitigação de riscos são formas para evitar a aplicação de sanções administrativas como advertência, multa simples e diária, publicização da infração, bloqueio e eliminação de dados infringidos.
A criação da ANPD, na forma como foi concebida, ainda não é definitiva. Com a recente troca do Poder Executivo e posse de novos deputados e senadores, é difícil prever como se dará a tramitação da MPV 869/2018 no Congresso Nacional,até sua eventual conversão em lei ordinária. Enquanto isso, na prática, outros órgãos ficarão encarregados pela proteção de dados pessoais, por exemplo, a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios, iniciativa nacional dedicada exclusivamente à proteção dos dados pessoais e da privacidade dos brasileiros. Vamos acompanhar.
Fonte: Analluza Bolivar Dallari, em artigo de opinião publicado na Revista Consultor Jurídico