Sobre

SOBRE

IMPACTOS PRÁTICOS DA LPGD NA ÁREA DA SAÚDE


Em 14 de agosto de 2018, foi sancionada pelo Poder Executivo a Lei no 13.709, publicada no dia seguinte. Logo conhecida como Lei Geral de Proteção de Dados (LGPD), o texto foi inspirado no regulamento europeu relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (General Data Protection Regulation – UE 2016/679, ou GDPR, na sigla em inglês).

LGPD consolida princípios e normas esparsas e introduz inovações, tendo os seguintes fundamentos: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre-iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A saúde, em que há, essencialmente, o tratamento de dados pessoais sensíveis, é uma das áreas afetadas pela LGPD. A natureza sensível das informações da área da saúde reflete no impacto que a nova lei trará ao setor, que deverá se adequar para garantir a conformidade.

Dois pontos são fundamentais nesse processo: o consentimento específico do titular dos dados para que haja o tratamento e as hipóteses em que esse consentimento é dispensado. Princípios como o da boa-fé, finalidade, adequação, necessidade, transparência deverão ser sempre garantidos, assim como o sigilo, a segurança e a anonimização, sempre que possível.

Após o término do tratamento, a LGPD garante ao titular, entre outros direitos, o de solicitar a eliminação de seus dados. Isso implicaria em prejuízos para os agentes de tratamento da área da saúde. Porém a lei também prevê as hipóteses de conservação desses dados.

Assim, os atores do setor, sejam hospitais, clínicas, laboratórios de análises clínicas, saúde suplementar e as operadoras, órgãos de pesquisa, empresas do ramo farmacêutico, centros de pesquisa clínica; todos deverão se preparar para detectar qualquer tipo de vulnerabilidade à segurança desses dados. A lei estabelece que haverá a inversão do ônus da prova a favor do titular, quando for verossímil a alegação ou houver hipossuficiência para fins de produção de prova (art.42, parágrafo 2º.) No caso de incidente de segurança, como o vazamento dados, há uma série de medidas que as empresas deverão adotar.

Na área da saúde, a LGPD ainda enseja lacunas que podem e devem ser aprofundadas com o fim de se consubstanciar regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, levando-se em consideração a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

É bastante prudente que os atores do setor comecem a realizar planos de governança e adequação da gestão dos dados pessoais sensíveis que acessam e tratam, por meio de práticas de due diligence, auditoria sobre a aderência à LGPD. Deverão desenvolver programas de governança em privacidade, com a previsão de processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais sensíveis. É aconselhável o engajamento e atuação de agentes de tratamento na área da saúde, no âmbito de suas competências, individualmente ou por meio de associações, na formulação de regras de boas práticas e de governança prevendo as condições de organização, o regime de funcionamento, os procedimentos e as normas de segurança. A elaboração de ações educativas, treinamento e de meios internos de supervisão e de mitigação de riscos são formas para evitar a aplicação de sanções administrativas como advertência, multa simples e diária, publicização da infração, bloqueio e eliminação de dados infringidos.

São essas e outras questões voltadas à interpretação e implementação da  LGPD relativamente ao setor de saúde que esse portal deseja analisar, debater e apontar soluções, reunindo um grupo multidisciplinar de advogados e outros especialistas.

CONSELHO CIENTÍFICO


Analluza Bolivar Dallari – advogada especializada em saúde. É Doutora e Mestre em Direito Internacional e Comparado pela Faculdade de Direito da Universidade de São Paulo (USP).É pós-graduada em Direito dos Contratos pela FGVLaw. Cursou o Summer Course on Public International Law and Private International Law – The Hague Academy of International Law, na Haia, Holanda, respectivamente em 2009 e 2013.

Gustavo Ferraz de Campos Mônaco – professor titular de Direito Internacional Privado da Faculdade de Direito da USP. É graduado em Direito pela Universidade de São Paulo (2000), Mestre em Ciências Jurídico-Políticas pela Universidade de Coimbra (2003), Doutor em Direito pela Universidade de São Paulo (2008) e Livre-docente em Direito Internacional pela Universidade de São Paulo (2013).

Solano de Camargo – graduando em Direito Francês, pela Université Lyon 3 (França), Doutor e Mestre em Direito Internacional pela USP e Especialista em Direito Internacional pela PUC-SP. Membro da IBA (International Bar Association), do SLADI (Sociedade Latino-americana de Direito Internacional) e do NETI/USP (Núcleo de Estudo em Tribunais Internacionais da USP). Palestrante no Curso de Pós-graduação em Direito da GVLaw e articulista do Congresso Brasileiro de Direito Internacional. Autor de diversos artigos jurídicos e do livro “Forum Shopping: A Escolha da Jurisdição Mais Favorável” (Ed.Intelecto,2016) e coautor das obras “Direito Internacional Clássico e seus Fundamentos”(Ed.Arraes, 2014),“Direito Internacional Contemporâneo e seus Fundamentos” (Ed.Arraes, 2014),“Famílias Internacionais: Seus Direitos e Deveres”(Ed. Intelecto, 2016) e “Aspectos da Unificação Europeia do Direito Internacional Privado“(Ed.Intelecto, 2016).Indicado entre os Advogados Mais Admirados, segundo a Análise Advocacia – 500, em Direito do Consumidor, de 2009 a 2018, figurando em 10. lugar nos anos de 2017 e 2015. Também se destacou entre os Advogados Mais Admirados, em 2018, no ranking da Análise Advocacia nos setores: Aeronáutico (1º lugar), Direito Cível (2ºlugar), Saúde (2º lugar), Estado de São Paulo (2º lugar), Eletroeletrônico (3º lugar). Foi vencedor do Prêmio Internacional Law Office (ILO) – Client Choice Awards – Litigation, em 2011 e 2012. É sócio fundador da Lee, Brock, Camargo Advogados (LBCA).

Autoridade Nacional de Proteção de Dados: desenho institucional e modelos de governança


Este espaço é reservado para discussão sobre o modelo institucional da Autoridade Nacional de Proteção de Dados (ANPD) de forma que tenha uma governança à altura de sua missão e seja dotada de atributos essenciais: qualificação técnica, para lidar com a multidisciplinariedade da proteção de dados pessoais; independência funcional; autonomia financeira; e competência normativa, a ser exercida com transparência, maximizando a participação multissetorial. A independência da ANPD é de extrema importância para o exercício de suas funções. Tal garantia é fundamental para permitir sua capacidade de atuação isonômica, tendo em vista que uma de suas principais funções é a fiscalização.

O Relatório da Comissão Mista apontou a possível fragilidade à independência e autonomia funcional da ANPD. É que a Medida Provisória nº 869/2018 criou um órgão despersonalizado, integrante da estrutura da Presidência da República, e pertencente, portanto, à administração direta. O receio apontado por especialistas é que, no âmbito da administração direta, a ANPD não tenha ambiente institucional de independência suficiente para exercer com autonomia suas funções, eminentemente técnicas. No direito brasileiro, como regra, são as agências reguladoras setoriais, instituídas por lei na forma de autarquias, que possuem independência financeira, administrativa e funcional/técnica.

O Relatório entendeu que, embora fosse desejável que a autoridade fosse uma autarquia independente, o posicionamento é de que, sob o risco de que novo veto crie vácuo jurídico de autoridade para regular e fiscalizar o tratamento de dados no Brasil, é oportuno e prudente a manutenção do órgão na estrutura administrativa tal como estabelecido na MP. Entretanto, julgamos pertinente reforçar o máximo possível aspectos da autoridade que possibilitem uma atuação independente, reforçando seu caráter técnico e provendo legitimidade, liberdade e autonomia de atuação para seus diretores, sempre dentro dos limites do nosso mandato constitucional.

Assim que, o texto do Relatório alterou a MP no sentido de condicionar a conversão da natureza jurídica da ANPD e sujeitou a escolha dos membros do Conselho Diretor à aprovação pelo Senado conforme o seguinte:

“Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública federal, integrante da Presidência da República. § 1o A vinculação da ANPD à Presidência da República é transitória e sua natureza jurídica deverá ser transformada em órgão da administração pública indireta pelo Poder Executivo em até dois anos da data em que entrar em vigor sua estrutura regimental. § 2º O provimento dos cargos e das funções necessárias para a criação e atuação da ANPD estão condicionados à expressa autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias.” (NR)

“Art. 55-D. O Conselho Diretor da ANPD será composto por cinco diretores, incluído o Diretor-Presidente. § 1º Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, nos termos da alínea f do inciso III do art. 52 da Constituição Federal e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superior – DAS, no mínimo, de nível 5.

O Relatório da Comissão Mista será submetido à aprovação das duas Casas do Congresso Nacional para deliberação. Vamos acompanhar.

Boas Práticas e Governança


A LGPD preconiza que agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Os agentes de tratamento, no âmbito de suas competências, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Neste espaço, vamos discutir alternativas para a implementação de programas de governança ou códigos de conduta em privacidade.

Estabelecimentos de Saúde


Estabelecimentos de saúde (postos de saúde, policlínicas, hospitais, prontos-socorros, consultórios) tratam dados pessoais sensíveis de saúde e armazenam prontuários médicos. Portanto, deverão programar e implementar medidas que assegurem a conformidade com a LGPD de forma a assegurar a tutela desses dados. Neste espaço, o debate consiste em analisar as hipóteses permitidas pela LGPD para o tratamento de dados pessoais sensíveis de saúde, os requisitos para a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, no caso, a necessidade de comunicação para a adequada prestação de serviços de saúde suplementar.

Pesquisa Científica e Pesquisa Clínica em seres humanos


A evolução médica é baseada na pesquisa clínica, que se fundamenta, em parte, na experimentação envolvendo seres humanos. Para um novo medicamento ser registrado e comercializado, precisa ter sido antes submetido a testes clínicos em seres humanos, para demonstrar cientificamente sua eficácia e segurança. Denomina-se “pesquisa clínica” a pesquisa que é “conduzida em seres humanos com o objetivo de descobrir ou confirmar os efeitos clínicos e/ou farmacológicos e/ou qualquer outro efeito farmacodinâmico do medicamento experimental e/ou identificar qualquer reação adversa ao medicamento experimental e/ou estudar a absorção, distribuição, metabolismo e excreção do medicamento experimental para verificar sua segurança e/ou eficácia” (RDC Anvisa 9/2015, artigo 6º, VII).

Ainda não estão claros quais serão os impactos que causará na atividade de pesquisa clínica com seres humanos. Desde a publicação dos preceitos éticos dispostos no Código de Nuremberg, em 1947, o “mundo” da pesquisa clínica está familiarizado com conceitos de anonimização, sigilo e privacidade. Esta é a oportunidade de aprofundar de que forma os atores que conduzem pesquisa clínica deverão se adaptar à LGPD.

Banco de Dados em saúde


Há quem considere banco de dados o “petróleo da era digital”.

O artigo 5º, IV, da LGPD define banco de dados como sendo o “conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico”. Como órgão de pesquisa designa “órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico” (artigo 5º, XVIII da LGPD, redação dada pela MPV 869/2018).

Dentre o rol de direitos consagrados pela LGPD está a eliminação dos dados pessoais tratados com o consentimento do titular, isto é, exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. Mas como eliminar dados constantes em bancos de dados sem afetar o desenvolvimento científico e da saúde pública? A LGPD preconiza que dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades. Contudo, autoriza a conservação para finalidades específicas: cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais (artigo 16 da LGPD). Os requisitos para o tratamento sem o consentimento do titular, a conservação e o compartilhamento também serão abordados neste espaço.

Laboratórios de Análises Clínicas


O tratamento de dados pessoais sensíveis de saúde é a essência do trabalho realizado pelos laboratórios de análises clínicas. A LGPD preconiza que dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para finalidades específicas, como o cumprimento de obrigação legal ou regulatória pelo controlador e, no caso de transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD. Além da adequação à LGPD por estas entidades, os requisitos para o tratamento sem o consentimento do titular, a conservação e o compartilhamento também serão abordados neste espaço.

Saúde Suplementar (Seguradoras e Operadoras de Saúde)


A saúde suplementar no Brasil é a atividade que envolve a operação de planos e seguros privados de assistência médica à saúde, referidos simplesmente como planos ou seguros de saúde. Essa operação é regulada pelo poder público, representado pela Agência Nacional de Saúde Suplementar (ANS) e as operadoras compreendem seguradoras especializadas em saúde, medicinas de grupo, cooperativas, instituições filantrópicas e autogestões.

O tratamento de dados, em suas diversas etapas de processamento, e a necessidade de comunicação e interconexão de banco de dados e de transações por inúmeras empresas é uma realidade em diversos segmentos. No tratamento de dados de saúde não é diferente e são diversos os profissionais e entidades envolvidos na prestação de serviços. A circulação, conexão e coordenação dos dados pelos diversos agentes envolvidos na contraprestação a serviço contratado são imprescindíveis ao atendimento médico moderno, rápido, eficiente e seguro.

O uso e compartilhamento de dados pessoais sensíveis de saúde e de registros médicos são considerados peças-chave para explorar as possibilidades disponíveis tanto no desenvolvimento de novas tecnologias quanto na própria pesquisa biomédica.

Não pode ser a intenção do setor de Saúde Suplementar a comercialização de dados de saúde para fins diversos e não relacionados com o atendimento que está sendo prestado ao paciente. Existe a necessidade de coordenação entre todos os agentes da cadeia para a prestação dos serviços de saúde. Contudo, o texto originalmente oferecido pela MP 869/2018, ao artigo 11, § 4º da LGPD, em que veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto “nas hipóteses de necessidade de comunicação para a adequada prestação de serviços de saúde suplementar” seria muito amplo e flexível, o que poderia permitir abusos – a coleta de dados pelo comércio poderiam ser utilizados em malefício do usuário, o que poderia resultar em negação de acesso a seguros médicos, planos de saúde e à saúde de maneira geral. Nos termos constantes na Súmula Normativa no 27,de 10 de junho de 2015, da Agência Nacional de Saúde Suplementar, está vedada a prática de seleção de riscos pelas operadoras de planos de saúde na contratação de qualquer modalidade de plano privado de assistência. Dessa forma, cadastros em farmácias ou laboratórios para a obtenção de descontos ou o repasse de dados para outros fins não contratados estariam proibidos.

Nesse sentido, o Relatório da Comissão Mista da MP 869/2018 sugere alteração ao dispositivo, com a seguinte redação:

§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício aos interesses dos titulares de dados e para permitir a:

II – transações financeiras e administrativas resultantes do uso e prestação dos serviços de que trata este parágrafo. § 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.” (NR)

Pretende-se debater como a regulação do uso de dados pessoais sensíveis e a preservação da privacidade poderá interferir na área da saúde e no desenvolvimento científico e tecnológico. Buscar-se-á encontrar maneiras de compatibilizar a privacidade individual com o desenvolvimento de inovações que possam ter impactos sociais positivos, bem como possibilitar a regulação do acesso e do tratamento de registros de saúde de indivíduos sem expô-los a riscos.

O Relatório da Comissão Mista será submetido à aprovação das duas Casas do Congresso Nacional para deliberação. Vamos acompanhar.

“A LGPD implicará em profundos impactos na área da saúde, em que necessariamente há o tratamento de dados pessoais sensíveis, sobre os quais não se admite a hipótese de tratamento para atender interesses legítimos do controlador ou de terceiros. Para escaparem de sanções administrativas aplicáveis pela ANPD, hospitais, clínicas, laboratórios, serviços de saúde complementar, empresas do ramo farmacêutico, centros de pesquisa clínica e órgãos de pesquisa, de natureza jurídica pública ou privada, todos considerados controladores de dados pessoais sensíveis referentes à saúde, terão até 14 de agosto de 2020 para adotarem medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais sensíveis contra acessos não autorizados, em situações acidentais ou ilícitas. Sem a pretensão de esgotar o tema, este artigo busca refletir sobre a nova situação, principalmente no que tange à proteção de banco de dados de saúde e estudos retrospectivos.”

Analluza Bolivar Dallari – advogada especializada em direito da pesquisa clínica. Doutora e Mestre em Direito Internacional e Comparado pela Faculdade de Direito da Universidade de São Paulo

“Acredito que a LGPD represente uma contribuição concreta para um marco regulatório em pesquisa e, especificamente, pesquisa em saúde pública. A bem da verdade, este marco regulatório foi desenvolvido ao longo dos anos em torno de instrumentos e institutos que procuram estabelecer e implementar um conjunto de padrões éticos para a pesquisa que envolve seres humanos, com destaque para as resoluções do Conselho Nacional de Saúde.”

Danilo Doneda, Grupo de Trabalho em Ciência Aberta (GTCA) da Fiocruz