A Lei Geral de Proteção de Dados (LGPD – nº 13.709 de 14/08/2018), tem previsão para entrar em vigor em 16 de agosto de 2020.
Quem já estuda o tema e busca adequar os procedimentos internos de suas empresas às regras de governança e proteção de dados pessoais, tem se deparado com uma grande preocupação: o compartilhamento de dados de titulares coletados por uma parte (controlador) e disponibilizado para tratamento pela outra parte (operador).
Essa preocupação se potencializa na área da saúde, considerando, principalmente, que a LGPD considera dados da saúde como sendo DADOS SENSÍVEIS (art. 5º, II), ou seja, são dados pessoais que, pelo potencial de dano e constrangimento que podem causar ao titular, devem ser tratados com maior critério.
O art. 11 da LGPD estabelece que o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses, quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas (inciso I, c.c. art. 7º, I) ou sem fornecimento de consentimento do titular, nas hipóteses especificadas (inciso II).
Antes de identificar as hipóteses que justificam a dispensa, é importante verificar que, dada a sensibilidade dos dados de saúde de um titular (diagnóstico de doenças graves ou não, por exemplo, ou medicamentos que utiliza, implantes de próteses), o legislador preferiu exigir consentimento do titular do dado, para tratamento pelos agentes de tratamento em “finalidades específicas”.
Essa afirmação, antes das hipóteses de dispensa do consentimento, leva a crer que se deva priorizar o consentimento especificado do titular (consentimento assistido e informado).
Isso acarretaria uma séria de obrigações à empresa ou pessoa que coletou os dados. O art. 7º, § 5º da Lei estabelece que, por exemplo, para o controlador compartilhar o dado, seria necessário consentimento específico para compartilhamento. Por outro lado, ainda a título ilustrativo, seria necessário garantir ao titular do dado o direito de revogar o consentimento a qualquer tempo (art. 8º, § 5º) e, ainda, de pedir a eliminação dos dados (art. 18, VI).
Mas estamos falando de dados de saúde do titular. Esses dados serão disponibilizados pelo próprio titular, ou coletados, num primeiro momento, num primeiro atendimento, por profissionais de saúde ou estabelecimentos de saúde, considerados pela legislação como CONTROLADORES dos dados do titular. Se esses controladores se pautarem, apenas, na base legal do consentimento para a coleta e tratamento de dados pessoais, precisarão prever, com antecedência, todo o fluxo que esses dados pessoais percorrerão para garantir o atendimento à saúde do titular e, de forma especificada, como manda a lei, colher o consentimento assistido e informado do titular para todas as etapas de tratamento.
Essa é uma opção do controlador que coletou o dado. Mas não só de LGPD é feito o mundo!!! Há muito terror e receio em torno da aplicabilidade prática da LGPD, mas não é necessário pânico.
Dados de Saúde podem sim ser tratados sem consentimento do titular. Isso porque há outras normas que ainda vigoram e que estabelecem responsabilidades para quem comercializa produtos para saúde ou presta serviços de saúde.
A LGPD também estabeleceu como base legal o tratamento de dados pessoais para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (art. 7º, inciso VIII e art. 11, II, “f”). Ou seja, nessa primeira análise, os profissionais de saúde (médicos e terapeutas, de um modo geral), hospitais, clínicas, centros de diagnóstico, devem prestar assistência à saúde e, por questão ética, zelar pela privacidade e intimidade dos pacientes. Portanto, independentemente de consentimento, devem cuidar para que os dados pessoais sejam tratados EXCLUSIVAMENTE para os fins terapêuticos, de diagnóstico, enfim, para a garantia do atendimento à saúde.
Por outro lado, ainda é necessário considerar que a área da saúde é ambiente extremamente regulado no Brasil. A ANVISA – Agência Nacional de Vigilância Sanitária, regula todas as atividades relacionadas à saúde, como comercialização de produtos e prestação de serviços à saúde. E a LGPD previu que o “cumprimento de dever legal ou regulatório” (art. 7º, II) é base legal que autoriza o tratamento de dados pessoais. E no art. 11, II a LGPD reforça o entendimento de que os dados pessoais podem ser tratados:
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
Para ilustrar, imagine um paciente chegando ao pronto socorro do hospital para tratar um cálculo renal (pedra nos rins). Não se sabe qual o desdobramento do atendimento. Mas antes de iniciar seu atendimento, imagine se fosse necessário coletar dele consentimento para que os dados coletados pelo hospital (controlador) possam ser compartilhados com o centro de diagnósticos (terceirizado, normalmente), médicos e enfermeiros que o atenderão (operadores dos dados). Dificilmente ele concederá o consentimento informado, ele quer é o atendimento!
É importante verificar que, considerando a vulnerabilidade do titular de dados numa situação como a relatada acima, estabelece a lei uma proteção especial, disposta no § 4º do art. 11 da lei: a lei veda a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, mas não quando for necessário para prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, desde que reverta em benefício e interesse do titular do dado.
O art. 11, II da LGPD ainda dispensa o consentimento na hipótese de tratamento ou compartilhamento de dados para garantir a “proteção da vida ou da incolumidade física do titular ou de terceiro” (alínea “e”).
Para reforçar que a LGPD deve coabitar o mundo jurídico com outras normas de igual ou equivalente valor para os indivíduos que protege, é importante verificar que a garantia de proteção da vida e da saúde não é novidade para o ordenamento jurídico.
No Código de Defesa do Consumidor, está entre os direitos básicos do consumidor: a proteção da vida, saúde e segurança contra os riscos provocados por práticas no fornecimento de produtos e serviços considerados perigosos ou nocivos (art. 6º, I da Lei 8.078/90). O Capítulo IV e a Seção I do diploma legal mencionado dedicam-se às normas que garantem a proteção da saúde e segurança dos consumidores e, no artigo 10, § 1º, determinam ao fornecedor que que, posteriormente à introdução de produto ou serviço no mercado de consumo, tomar conhecimento de sua periculosidade e risco que apresentem, comuniquem o fato imediatamente às autoridades competentes e aos consumidores.
Isso é o dever de RECALL, imposto a todos os fornecedores.
Importante lembrar que, serviços de saúde são serviços enquadrados no Código de Defesa do Consumidor e, ainda, que para o CDC, fornecedor é toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços (art. 3º) e que, para efetividade de proteção do consumidor, foi estabelecida a responsabilidade objetiva e solidária entre todos os fornecedores de produtos e serviços para a saúde (Parágrafo Único do art. 7º do CDC).
Para garantir o dever de RECALL, a ANVISA estabeleceu para fabricantes e importadores de produtos para saúde o dever de RASTREABILIDADE DE PRODUTOS. Em se tratando de produtos implantáveis, por exemplo, é um dever do fabricante e do importador que, geralmente, é transferida contratualmente para o distribuidor.
A ANVISA normatiza o setor, normalmente, por meio de Resoluções da Diretoria Colegiada da Agência (RDC’s) e, na RDC 14/2011, institui o regulamento técnico com os requisitos para agrupamento de materiais de uso em saúde para fins de registro e cadastro na ANVISA, adotando como estratégia e instrumento de rastreabilidade para produtos implantáveis o sistema de etiquetas. Prevê no art. 18 o seguinte:
Art. 18. Para os materiais de uso em saúde implantáveis de uso permanente de alto e máximo risco, o fabricante ou importador deve disponibilizar etiquetas de rastreabilidade com a identificação de cada material ou componente de sistema implantável.
- 1º Devem ser disponibilizadas no mínimo 3 (três) etiquetas para fixação obrigatória: no prontuário clínico, no documento a ser entregue ao paciente, e na documentação fiscal que gera a cobrança.
Obviamente, essa norma trata da ETIQUETA DE RASTREABILIDADE e, na mesma RDC 14, há informação no art. 4º, IV de que a etiqueta deve conter: a) nome ou modelo comercial; b) identificação do fabricante ou importador; c) código do produto ou do componente do sistema; e d) número de lote e número de registro na ANVISA. Até aqui, não há preocupação com a LGPD.
Mas para garantir a EFETIVIDADE da rastreabilidade num mercado complexo como é o da saúde, protagonizado por diversos players, é necessário que o fabricante, o distribuidor, o hospital ou plano de saúde tenham registros das informações do paciente que recebeu o material e que, sem ressalvas ou restrições, todos os agentes econômicos recebam essas dados de forma compartilhada e com a finalidade específica de assegurar a proteção da vida e da incolumidade física do paciente.
E isso normalmente se faz através de indicação de dados pessoais do paciente nos documentos fiscais que formalizam as relações entre os agentes econômicos do setor e, também, antes disso, nos documentos que antecedem a emissão de documento fiscal, como pedidos de materiais, autorização de procedimentos cirúrgicos, exames, relatório de cirurgia, prontuário médico de internação hospitalar, etc. O fluxo dos dados pressupõe o compartilhamento e o contato de muitas pessoas com essas informações (controladores e operadores dos dados).
Assim, é possível afirmar que há legitimidade para que os agentes econômicos compartilhem os dados do paciente, por exemplo, para inserção na DANFE ou NFE (conforme exceção assegurada no § 4º do art. 11 da LGPD), independentemente de consentimento do paciente, para garantir a rastreabilidade de produtos médicos (leia-se, para permitir o cumprimento de exigências administrativas decorrentes de uso de produtos de saúde ou prestação de serviços de saúde), pois trata-se de DEVER LEGAL E REGULATÓRIO dos próprios controladores ou operadores de dados, garantir a “PROTEÇÃO DA VIDA OU DA INCOLUMIDADE FÍSICA DO TITULAR OU DE TERCEIRO”, conforme diz o art. 11, II, “e” da LGPD.
Ora, é claro que a rastreabilidade tem a função de, rapidamente, assegurar a identificação de pacientes que receberam os materiais e produtos médicos, especialmente medicamentos e implantáveis, para eventual hipótese de intercorrências com referidos materiais e, isso, portanto, se presta a garantir e prevenir a vida e a saúde e a incolumidade física do paciente.
No âmbito do Ministério da Justiça, a Portaria Ministerial nº 487/2012, que disciplina o procedimento de chamamento dos consumidores ou recall de produtos e serviços, estabelece que o fornecedor deve informar “imediatamente aos consumidores” sobre a nocividade ou periculosidade do produto ou serviço por ele colocado no mercado, independentemente de comunicar aos órgãos legais (DPDC – Departamento de Proteção e Defesa do Consumidor, Procon’s, órgão normativo ou regulador – art. 5º da Portaria 487/2012), afirmando, ainda, que se optar pela comunicação individual dos consumidores, não estará o fornecedor dispensado de comunicar a coletividade pela mídia e rede mundial de computadores. Ou seja, a posse de dados pessoais do paciente que é destinatário final do produto ou serviço objeto do recall precisa ser compartilhado entre os agentes econômicos para garantir a efetividade do chamamento.
A Portaria MJ nº 487/2012 mencionou que é dever do fornecedor informar as autoridades e, entre elas, eventual órgão regulador. Pois bem, em se tratando de produtos para saúde, a Resolução da Diretoria Colegiada nº 23/2012 da ANVISA é a norma que regula o procedimento a ser adotado (chamado de ação de campo) sempre que houver indícios suficientes ou comprovação de que um produto para a saúde não atende aos requisitos essenciais de segurança e eficácia aplicáveis a este produto, de forma que a referida ação seja planejada e executada com o objetivo de minimizar o risco à saúde de forma efetiva e oportuna (art. 4º e § 1º da RDC 23/2012), destacando que cabe ao detentor de registro (fabricante ou importador de produto para saúde) selecionar e utilizar o(s) meio(s) de comunicação mais efetivo(s) para a divulgação da mensagem de alerta.
Ora, nada mais efetivo do que comunicar diretamente o consumidor final, paciente, a fim de que ele, atendendo ao chamamento, se apresente para eventual intervenção necessária à assegurar sua saúde e segurança. Para isso, é necessário que os dados coletados, por exemplo, por um hospital, clínica médica ou mesmo profissional médico ou, por fim, o plano de saúde do paciente, seja compartilhado com os fabricantes e importadores (detentor de registro), bem como os demais agentes envolvidos desde a produção até o uso do produto, ou descarte deste quando couber, pois todos são solidariamente responsáveis pela manutenção da qualidade, segurança e eficácia dos produtos para a saúde até o consumidor final (Parágrafo Único do artigo 2º da RDC nº 23/2012).
Quaisquer “partes interessadas” que receberem esses dados em compartilhamento, independentemente do consentimento do titular, como já visto acima, deverão, contudo, observar a Boa Fé e os seguinte princípios do art. 6º, incisos I, II, III, VI, VII e VIII da LGPD, sem prejuízo dos demais:
a) Finalidade e Adequação: o compartilhamento de dados deve se destinar a finalidades específica, informadas ao titular, tratados de forma compatível com a finalidade declarada, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Assim, se o dado foi recebido para cumprimento de obrigação legal ou regulatória e proteção da vida ou incolumidade física do titular ou de terceiro (caso do recall ou ações de campo)
b) Necessidade: o tratamento deve ser limitado ao mínimo necessário para a realização de suas finalidades, qual seja cumprimento de obrigação legal ou regulatória e proteção da vida ou incolumidade física do titular ou de terceiro, abrangendo apenas os dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
c) Transparência e Prestação de Contas do Tratamento dos Dados: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento dos dados e os respectivos agentes de tratamento (o que demanda a criação de fluxo e controle de compartilhamento de dados entre os agentes econômicos que os receberem para cumprimento dos deveres legais e regulatórios);
d) Prevenção e Segurança: utilização, por todos os agentes de tratamento de dados, de medidas técnicas e administrativas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais e, ainda, medidas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Em reforço a tudo que foi dito acima, importante também mencionar que a LGPD estabeleceu a responsabilização do controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, ao titular dos dados em violação à legislação de proteção de dados pessoais (art. 42), impondo a responsabilidade solidária entre todos os agentes que compartilharem os dados, garantido o direito de regresso contra aquele agente que efetivamente provocou o dano (§ 3º do art. 42).
Assim, medidas de controle e monitoramento do tratamento dos dados compartilhados devem ser implementadas, amarras contratuais estabelecendo a responsabilidade entre os agentes de tratamento de dados devem ser estabelecidas, de forma a assegurar o interesse do titular do dado que, em que pese não precise consentir, tem assegurada a proteção da sua intimidade e privacidade, ainda mais considerado que os dados de saúde são sensíveis.
Por fim, as sanções administrativas cabíveis contra a violação de dados pessoais são drásticas e variam de uma advertência com indicação de medidas corretivas para evitar novas violações, multa de até 2% do faturamento da empresa (limitado a R$ 50 milhões) e multa diária até que seja restabelecida a garantia de inviolabilidade dos dados, até suspensão, bloqueio ou eliminação do banco de dados a que se refere a infração, proibição da atividade de tratamento de dados e a publicização da infração caracterizada.
Portanto, a comunicação ou o uso compartilhado de dados de pacientes entre agentes econômicos considerados controladores e operadores de dados pessoais sensíveis referentes à saúde, nunca pode ter por objetivo a obtenção de vantagem econômica.
Observadas essas condições e requisitos, o consentimento do titular dos dados é dispensado, assim como é dispensado o controlador de estabelecer burocracias e coleta desnecessária de consentimento do titular.
Alexandro Guirão é CPC-A e CEC, advogado, Sócio do Guirão Advogados. Palestrante e Consultor em Compliance. Profissional Certificado em Compliance: CPC-A (LECBOARD/FGV) e CEC (instituto ARC). Mestre em Direito Político e Econômico pela Universidade Presbiteriana Mackenzie. Professor de Direito Empresarial do Curso de Direito e da Escola de Negócios da USCS – Universidade Municipal de São Caetano do Sul. Coordenador do OIEC – Observatório de Integridade Empresarial e Compliance da USCS.
Imagem: Freepik
