LGPD e o mito do consentimento para tratamento dos dados de saúde
Por Redação LEC
A Lei Geral de Proteção de Dados (LGPD – nº 13.709 de 14/08/2018), tem previsão para entrar em vigor em 16 de agosto de 2020.
Quem já estuda o tema e busca adequar os procedimentos internos de suas empresas às regras de governança e proteção de dados pessoais, tem se deparado com uma grande preocupação: o compartilhamento de dados de titulares coletados por uma parte (controlador) e disponibilizado para tratamento pela outra parte (operador).
Essa preocupação se potencializa na área da saúde, considerando, principalmente, que a LGPD considera dados da saúde como sendo DADOS SENSÍVEIS (art. 5º, II), ou seja, são dados pessoais que, pelo potencial de dano e constrangimento que podem causar ao titular, devem ser tratados com maior critério.
O art. 11 da LGPD estabelece que o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses, quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas (inciso I, c.c. art. 7º, I) ou sem fornecimento de consentimento do titular, nas hipóteses especificadas (inciso II).
Antes de identificar as hipóteses que justificam a dispensa, é importante verificar que, dada a sensibilidade dos dados de saúde de um titular (diagnóstico de doenças graves ou não, por exemplo, ou medicamentos que utiliza, implantes de próteses), o legislador preferiu exigir consentimento do titular do dado, para tratamento pelos agentes de tratamento em "finalidades específicas".
Essa afirmação, antes das hipóteses de dispensa do consentimento, leva a crer que se deva priorizar o consentimento especificado do titular (consentimento assistido e informado).
Isso acarretaria uma séria de obrigações à empresa ou pessoa que coletou os dados. O art. 7º, § 5º da Lei estabelece que, por exemplo, para o controlador compartilhar o dado, seria necessário consentimento específico para compartilhamento. Por outro lado, ainda a título ilustrativo, seria necessário garantir ao titular do dado o direito de revogar o consentimento a qualquer tempo (art. 8º, § 5º) e, ainda, de pedir a eliminação dos dados (art. 18, VI).
Mas estamos falando de dados de saúde do titular. Esses dados serão disponibilizados pelo próprio titular, ou coletados, num primeiro momento, num primeiro atendimento, por profissionais de saúde ou estabelecimentos de saúde, considerados pela legislação como CONTROLADORES dos dados do titular. Se esses controladores se pautarem, apenas, na base legal do consentimento para a coleta e tratamento de dados pessoais, precisarão prever, com antecedência, todo o fluxo que esses dados pessoais percorrerão para garantir o atendimento à saúde do titular e, de forma especificada, como manda a lei, colher o consentimento assistido e informado do titular para todas as etapas de tratamento.
Essa é uma opção do controlador que coletou o dado. Mas não só de LGPD é feito o mundo!!! Há muito terror e receio em torno da aplicabilidade prática da LGPD, mas não é necessário pânico.
Dados de Saúde podem sim ser tratados sem consentimento do titular. Isso porque há outras normas que ainda vigoram e que estabelecem responsabilidades para quem comercializa produtos para saúde ou presta serviços de saúde.
A LGPD também estabeleceu como base legal o tratamento de dados pessoais para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (art. 7º, inciso VIII e art. 11, II, "f"). Ou seja, nessa primeira análise, os profissionais de saúde (médicos e terapeutas, de um modo geral), hospitais, clínicas, centros de diagnóstico, devem prestar assistência à saúde e, por questão ética, zelar pela privacidade e intimidade dos pacientes. Portanto, independentemente de consentimento, devem cuidar para que os dados pessoais sejam tratados EXCLUSIVAMENTE para os fins terapêuticos, de diagnóstico, enfim, para a garantia do atendimento à saúde.
Por outro lado, ainda é necessário considerar que a área da saúde é ambiente extremamente regulado no Brasil. A ANVISA – Agência Nacional de Vigilância Sanitária, regula todas as atividades relacionadas à saúde, como comercialização de produtos e prestação de serviços à saúde. E a LGPD previu que o "cumprimento de dever legal ou regulatório" (art. 7º, II) é base legal que autoriza o tratamento de dados pessoais. E no art. 11, II a LGPD reforça o entendimento de que os dados pessoais podem ser tratados:
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
- a) cumprimento de obrigação legal ou regulatória pelo controlador;
Para ilustrar, imagine um paciente chegando ao pronto socorro do hospital para tratar um cálculo renal (pedra nos rins). Não se sabe qual o desdobramento do atendimento. Mas antes de iniciar seu atendimento, imagine se fosse necessário coletar dele consentimento para que os dados coletados pelo hospital (controlador) possam ser compartilhados com o centro de diagnósticos (terceirizado, normalmente), médicos e enfermeiros que o atenderão (operadores dos dados). Dificilmente ele concederá o consentimento informado, ele quer é o atendimento!
É importante verificar que, considerando a vulnerabilidade do titular de dados numa situação como a relatada acima, estabelece a lei uma proteção especial, disposta no § 4º do art. 11 da lei: a lei veda a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, mas não quando for necessário para prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, desde que reverta em benefício e interesse do titular do dado.
O art. 11, II da LGPD ainda dispensa o consentimento na hipótese de tratamento ou compartilhamento de dados para garantir a "proteção da vida ou da incolumidade física do titular ou de terceiro" (alínea "e").
Para reforçar que a LGPD deve coabitar o mundo jurídico com outras normas de igual ou equivalente valor para os indivíduos que protege, é importante verificar que a garantia de proteção da vida e da saúde não é novidade para o ordenamento jurídico.
No Código de Defesa do Consumidor, está entre os direitos básicos do consumidor: a proteção da vida, saúde e segurança contra os riscos provocados por práticas no fornecimento de produtos e serviços considerados perigosos ou nocivos (art. 6º, I da Lei 8.078/90). O Capítulo IV e a Seção I do diploma legal mencionado dedicam-se às normas que garantem a proteção da saúde e segurança dos consumidores e, no artigo 10, § 1º, determinam ao fornecedor que que, posteriormente à introdução de produto ou serviço no mercado de consumo, tomar conhecimento de sua periculosidade e risco que apresentem, comuniquem o fato imediatamente às autoridades competentes e aos consumidores.
[…]
Portanto, a comunicação ou o uso compartilhado de dados de pacientes entre agentes econômicos considerados controladores e operadores de dados pessoais sensíveis referentes à saúde, nunca pode ter por objetivo a obtenção de vantagem econômica.
Observadas essas condições e requisitos, o consentimento do titular dos dados é dispensado, assim como é dispensado o controlador de estabelecer burocracias e coleta desnecessária de consentimento do titular.
Observação CM Advogados: Dado o caráter extremamente inovador da Lei Geral de Proteção de Dados, faz-se indispensável criteriosa análise sobre seus dispositivos. O "consentimento", termo técnico utilizado pela Lei para definir o aceite que o titular outorga para o tratamento de seus dados é um dos institutos jurídicos que causam maiores dúvidas haja vista o conflito entre leis que regulamentam o uso dos dados. Nesse sentido, visando afastar qualquer possibilidade de infração à LGPD, indispensável se faz a consulta à advocacia especializada em LGPD que auxiliará na definição dos procedimentos que a tratadora de dados deve seguir para que não haja qualquer sanção e/ou irregularidade.
Publicado em Lec.
