A tensa relação entre desenvolvimento tecnológico e a proteção de dados pessoais, tendo como base a nova Lei Geral de Proteção de Dados (LGPD), (Lei nº 13.709/2018) – marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil – e sua relação com a saúde foram o tema da palestra do Secretário Geral da Associação Brasileira de Direito da Tecnologia da Informação e das Comunicações (ABDTIC), Gustavo Artese. A apresentação ocorreu na nona edição do Seminários de Gestão, na quinta-feira (18), no Hotel Continental. O evento foi promovido pela Federação dos Hospitais e Estabelecimentos de Saúde do RS (FEHOSUL), Sindicato dos Hospitais e Clínicas de Porto Alegre (SINDIHOSPA) e Associação dos Hospitais do Rio Grande do Sul (AHRGS).

Esta foi a 5ª edição de 2018 do Seminários, que teve como tema central  Saúde Digital e Telemedicina. Prestigiado na área de gestão de saúde, o evento contou mais uma vez com auditório lotado. O Seminários teve como patrocinador o Banrisul e o portal Setor Saúde como veículo de comunicação oficial do evento. A instituição de ensino superior responsável pela emissão do certificado é a FASAÚDE/IAHCS, e os apoiadores desta edição foram o IAHCS Acreditação, a Amrigs, Comcet e Conselho Regional de Farmácia do RS.

Privacidade

“Nós só sentimos a dor da privacidade quando temos a nossa própria invadida. Nós não temos um valor social da privacidade”, ressaltou. Artese explicou que um fato motivou a criação da LGPD: o escândalo envolvendo as eleições presidenciais dos Estados Unidos, em 2016, em que foi denunciada a participação da Cambridge Analytica na campanha de Donald Trump, utilizando dados sigilosos de aproximadamente 50 milhões de norte-americanos, para coletar informações e ajudar a eleger o atual presidente.

A proteção dos dados pessoais possui uma amplitude muito maior do que o direito à privacidade, de acordo com o palestrante. “Não é a questão clássica de privacidade (respeito à vida privada, vida familiar etc) que a Lei protege, e sim a proteção a dados pessoais”, frisou. Esta proteção diz respeito à proibição de processamento inapropriado de informações. Também protege os direitos afetados pelo fluxo de informações, como direito ao emprego, à família, à liberdade de expressão e a vida econômica.

Artese: “Não é a questão clássica de privacidade (respeito à vida privada, vida familiar etc) que a Lei protege, e sim a proteção a dados pessoais”

As normas protegem dados pessoais (dado relacionado à pessoa natural identificada ou identificável) e o tratamento destes (a partir de toda operação realizada com dados pessoais). O palestrante enfatizou que os dados anônimos são estritamente privados e não fazem parte do escopo da norma. “Se o dado pessoal é protegido, o dado anônimo, que não diz respeito a ninguém, não é passível de proteção”, disse.

A Lei garante maior controle dos cidadãos sobre suas informações pessoais: exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.

E proíbe, entre outras coisas, o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva. Esse tratamento é o cruzamento de informações de uma pessoa específica ou de um grupo para subsidiar decisões comerciais (perfil de consumo para divulgação de ofertas de bens ou serviços, por exemplo), políticas públicas ou atuação de órgão público.

Relação com a área da saúde

Artese também falou sobre dados sensíveis. A LGPD em seu art. 5º, II, define o que é dado pessoal sensível:

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 

O advogado ressaltou o perigo de expor a condição de saúde do cliente a terceiros – o que pode gerar discriminação, por exemplo. Por isto, os estabelecimentos de saúde, seus gestores e os responsáveis de TI que gerenciam os dados, devem ter uma responsabilidade enorme com a privacidade das informações. “Os dados de saúde são dados sensíveis. Então, a área de saúde é bem afetada pela legislação, porque além de tratar dos dados sensíveis, o fluxo dos dados [por outro lado] é fundamental para o monitoramento médico. As forças associadas à lei na área da saúde são bem fortes, o que apresenta um desafio para o setor da saúde”, ressaltou o advogado Artese.

Gustavo Artese, da ABDTIC

Artese explicou que, por se tratar de uma atividade de risco, há tensão entre o desenvolvimento tecnológico e econômico e os direitos dos titulares de dados. Além disso, a legislação de proteção de dados limita o tratamento para buscar equilibrar interesses e direitos envolvidos. “Com tudo isso, a restrição ao tratamento torna-se a regra”, explicou.

Condições para o tratamento de dados pessoais

A LGPD autoriza o tratamento de dados pessoais se forem garantidos os seguintes requisitos: consentimento do titular; cumprimento de obrigação legal ou regulatória pelo controlador; execução de políticas públicas pela Administração Pública; realização de estudos por órgão de pesquisa (anonimização sempre que possível);  execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O palestrante também apontou os 10 princípios gerais da nova legislação para proteção de dados:

1 Finalidade (os dados coletados só podem ser tratados para fins legítimos e especificados aos titulares);

2 Adequação (o tratamento dos dados deve estar adequado com a finalidade que foi informada para o usuário);

3 Necessidade: (os dados devem ter seu uso limitado ao necessário para realização das suas finalidades. Isso inclui ter apenas dados pertinentes, proporcionais e que não excedam as finalidades do tratamento);

4 Livre acesso (os titulares dos dados devem sempre ter acesso fácil e gratuito às suas informações, serem informados sobre como esses dados estão sendo usados e por quanto tempo eles serão tratados);

5 Qualidade dos dados (princípio que garante aos titulares que seus dados serão exatos, terão informações claras, relevantes e atualizadas para tratamento); 

6 Transparência (garante aos usuários informações claras e de fácil acesso sobre o tratamento dos seus dados e sobre quem são os responsáveis por tratá-los);

7 Segurança (define que as empresas que tratam de dados devem adotar medidas para proteger essas informações de acessos não autorizados, de eventos acidentais ou ilícitos de destruição, alteração, perda, comunicação ou difusão);

8 Prevenção (as empresas que tratam de dados devem adotar medidas para prevenir a ocorrência de danos no tratamento dessas informações);

9 Não discriminação (os dados não podem ser utilizados para fins discriminatórios, ilícitos ou abusivos);

10 Responsabilização (as empresas têm que se responsabilizar pelos dados e, para isso, têm o dever de mostrar quem são os parceiros responsáveis pelo tratamento dessas informações).

Também são garantidos direitos aos titulares dos dados, como confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desacordo com a LGPD; portabilidade dos dados; eliminação dos dados pessoais tratados com o consentimento do titular; informação das entidades com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; revogação do consentimento.

Allgayer, Katz, Artese, Chao, Tatiana e Chazan

Entre as medidas de controle e governança que precisam ser estabelecidas, estão a segurança desde a concepção e o sigilo dos dados; nomeação de Encarregado de Proteção de Dados Pessoais; Relatórios de Impacto à Proteção de Dados (DPIA); comunicação de incidentes que envolvam dados pessoais; limitação ao uso de dados pessoais sensíveis; e requisitos para transferência internacional.

O palestrante apresentou o compliance em proteção de dados, em que constam: manter inventário e fluxos de dados (Data Mapping); manter estrutura de governança; manter política interna e externa de privacidade; manter programa de treinamento; elaboração de relatório de impacto à privacidade; e segurança da informação.

“Confiança é fundamental e precisa ser estabelecida com os clientes, com o regulador e com os parceiros. Estes três agentes precisam ter certeza do que está acontecendo, porque cada um deles é um stakeholder, de alguma forma”, salientou. Além disso, a legislação “tem a intenção de regular condutas. Então, a questão da ética é fundamental. Errar é perdoável, mas não podemos admitir atitudes antiéticas”, frisou.

Saúde digital e telemedicina

O Seminários de Gestão contou com a participação de referências da área da saúde nacional. Além de Gustavo Artese, o evento também contou com o presidente do Instituto do Cérebro do Rio Grande do Sul (InsCer), Prof. Dr. Jaderson Costa da Costa , que apresentou O homem na era digital: inteligência artificial e pós-humanismo. O evento também contou com o chefe da disciplina de Telemedicina da Faculdade de Medicina da USP, Dr. Chao Lung Wen, que apresentou Modelo Brasileiro de Telesaúde: Desafios, Realidade e Lições Aprendidas. A palestra da médica geneticista do Hospital Albert Einstein, Tatiana Ferreira Almeida, teve como tema Soluções Digitais em Medicina de Precisão. Por fim, o médico Natan Katz, coordenador da área de TelessaúdeRS, trouxe o tema Telemedicina: Experiência no RS.

A próxima edição já tem data marcada: 4 de dezembro, que terá como tema SUSTENTABILIDADE e VALOR EM SAÚDE. Em breve, as organizações promotoras divulgarão os nomes dos especialistas e os assuntos que serão apresentados.