A tecnologia tem, em escala geométrica, mudado a forma de atuação na indústria da saúde, introduzindo soluções inovadoras e eficientes e desenvolvendo cada dia novas oportunidades de negócios com as informações produzidas. Ao passo que a inovação tecnológica faz a indústria voar, as mudanças no sistema legal e regulatório trazem seus pés de volta para o chão: dados referentes à saúde são cada vez mais coletados, compartilhados e destinados a propósitos nebulosos.
Ainda há muito a direcionar e especificar dentro da Lei Geral de Proteção de Dados (LGPD). Uma das poucas questões, porém, que não estão abertas à discussão, é o enquadramento de dados pessoais sensíveis.
Dados sensíveis são aqueles dispostos, de forma exaustiva no artigo 5º, II, da LGPD, incluindo-se dado referente à saúde e dado genético. Dados referentes à saúde não são apenas sensíveis como também altamente visados no mercado de crime cibernético, uma vez que geralmente abrangem informações de aspecto financeiro, confidencial e que podem afetar diretamente outros indivíduos que não apenas o titular, o que lhes coloca em lugar de destaque.
Sobre seu tratamento, também de forma clara e precisa, declara o artigo 11º que somente poderá ocorrer nas hipóteses de consentimento; cumprimento de obrigação legal ou regulatória; compartilhamento com a Administração Pública; estudos por órgãos de pesquisa; exercício regular de direito; proteção à vida; tutela à saúde e prevenção à fraude. Em outras palavras, o tratamento de dados pessoais sensíveis não pode ser justificado com base no legítimo interesse. Tamanho desafio para a agentes da indústria da saúde que utilizam os dados de clientes, pacientes e consumidores para tantas outras finalidades que não apenas o cumprimento de obrigações legais e contratuais.
Como justificar, por exemplo, a coleta do CPF de consumidores em uma rede farmacêutica e o envio para laboratórios? Ou, então, a transmissão de relatórios médicos às seguradoras? Parece-nos que, assim como vem sendo feito na Europa, o consentimento é a base legal mais adequada e deve abranger não somente os novos clientes que vierem a se relacionar com tais operadores da saúde, mas também toda aquela base de clientes antigos, que, todavia, caso inativos, deve ser excluída.
E para que se obtenha um consentimento livre, claro e desimpedido, inúmeras práticas estão sendo consideradas – de totens com termos breves e claros em estabelecimentos físicos à exibição de conteúdos didáticos em dispositivos móveis. Não será mais aceitável que um laboratório de diagnósticos apenas informe que a política de privacidade utilizada está disponível de forma online (sem que o titular saiba especificamente o que está consentindo) ou que uma farmácia justifique que a coleta de CPFs seja para o fornecimento de descontos, mas que a possibilidade de desconto apenas possa ser verificada após a informação.
A criatividade para que consentimentos sejam dados de forma transparente e conforme os princípios da LGPD ditam recebe, assim, um novo nome: boas práticas. Nesse mesmo sentido, para o Food & Drug Administration (FDA) dos Estados Unidos, as boas práticas oriundas do HIPAA, Lei de Portabilidade e Responsabilidade para Seguradoras de Saúde serão agora guia para determinar as diretrizes do setor. Significa dizer que todo o setor deverá se adequar e se inspirar naquilo que foi executado e modelado por empresas que foram pioneiras na adequação aos regulamentos de proteção de dados. Resta apenas saber: quem será a âncora?
Sobre os autores
Leandro Augusto é sócio e Isabella Becker é gerente da KPMG.