Se a proteção de dados pessoais já é um tema de extrema relevância, o tratamento de dados de saúde merece uma atenção ainda maior.
A Lei Geral de Proteção de Dados Pessoais (LGPD) classifica os dados referentes à saúde como dados pessoais sensíveis, que já possuem uma camada adicional de proteção em relação aos dados não sensíveis.
Existem, no entanto, disposições específicas sobre os dados de saúde que vão além daquilo que é previsto para os dados pessoais sensíveis.
Neste artigo, vamos explorar em detalhes o que a LGPD define como dados de saúde, as bases legais que autorizam o seu tratamento, as responsabilidades dos agentes envolvidos, e as medidas de segurança necessárias para garantir a proteção dessas informações.
Veremos em detalhes:
- A classificação dos dados de saúde como dados pessoais sensíveis
- As bases legais de tutela da saúde
- A vedação à comunicação ou ao uso compartilhado entre controladores de dados de saúde
- A vedação à prática de seleção de riscos por parte das operadoras de planos de saúde
- O uso de dados de saúde na realização de estudos em saúde pública
- A regulação acerca do tratamento de dados de saúde por farmácias
Comecemos pela definição dos dados referentes à saúde como dados pessoais sensíveis.
A classificação dos dados de saúde como dados pessoais sensíveis
Todo dado pessoal referente à saúde ou à vida sexual, assim como o dado genético ou biométrico, é considerado como dado pessoal sensível, por força do disposto no art. 5º, inciso II, da LGPD.
Na prática, dados de saúde incluem uma ampla gama de informações, desde o histórico médico de um paciente até detalhes sobre diagnósticos, tratamentos, prescrições, resultados de exames, entre outros.
O tratamento desses dados é altamente regulado, dada a sua natureza sensível e o potencial de impacto sobre a privacidade e a dignidade dos indivíduos.
Como vimos em texto específico sobre o tema, dados pessoais sensíveis são informações que revelam aspectos delicados e específicos sobre um indivíduo, que podem expô-lo a discriminação ou a situações de vulnerabilidade caso sejam mal utilizados.
Os dados pessoais sensíveis possuem uma camada adicional de proteção em relação aos dados pessoais não sensíveis. Assim, em regra não se aplicam a eles as bases legais do art. 7º, mas sim as duas hipóteses listadas no art. 11 da LGPD:
- Com consentimento: o inciso I do art. 11 dispõe que pode haver tratamento de dados pessoais sensíveis quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
- Sem consentimento: o inciso II do art. 11 dispõe que pode haver tratamento de dados pessoais sensíveis sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para sete casos específicos que são listados nas alíneas do mesmo inciso.
Isso se aplica a todos os dados pessoais sensíveis. Aos dados de saúde, no entanto, aplicam-se também outras disposições específicas, que veremos a seguir.
As bases legais de tutela da saúde
Tanto o art. 7º, que trata do tratamento de dados pessoais não sensíveis, quanto o art. 11, referente aos dados sensíveis, trazem hipóteses em que o tratamento é permitido para a tutela da saúde.
O inciso VIII do art. 7º e a alínea “f” do inciso II do art. 11 dispõem que é permitido o tratamento de dados pessoais para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Como o texto deixa claro, essas bases legais só podem ser utilizadas quando o agente de tratamento se enquadra em alguma das três categorias dispostas:
- Profissionais da área da saúde (médicos, enfermeiros, psicólogos, fisioterapeutas etc.)
- Serviços de saúde (Hospitais, Clínicas, Consultórios etc.)
- Autoridade sanitária (Anvisa, Ministério da Saúde, Secretarias estaduais e municipais de saúde etc.)
Note-se que, nesses casos, não necessariamente estarão sendo tratados dados de saúde, mas sim qualquer dado pessoal – sensível ou não – que seja necessário para a tutela da saúde.
A vedação à comunicação ou ao uso compartilhado entre controladores de dados de saúde
O § 4º do art. 11 veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica.
A vedação não é absoluta. O próprio dispositivo permite o compartilhamento de dados de saúde nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnóstico e terapia, em benefício dos interesses dos titulares de dados.
Tais exceções são utilizadas para permitir:
- a portabilidade de dados quando solicitada pelo titular; ou
- as transações financeiras e administrativas resultantes do uso e da prestação dos serviços referidos.
Além disso, o compartilhamento, quando enquadrado em uma das exceções, deve observar o § 5º do art. 11, que trata da proibição à prática de seleção de riscos por parte dos planos de saúde, como veremos a seguir.
A vedação à prática de seleção de riscos por parte das operadoras de planos de saúde
Dispõe o § 5º do art. 11 da LGPD que “é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários”.
Ou seja, uma operadora de saúde não pode se valer dos dados de saúde de uma pessoa para decidir se a aceita em um plano de saúde ou até se a exclui de um plano já contratado.
Isso não significa, entretanto, que as operadoras não possam precificar os riscos. É natural vermos, por exemplo, planos de saúde mais baratos para pessoas mais jovens e planos mais caros para idosos.
A fiscalização dessas práticas tem sido auxiliada pelo Código de Boas Práticas de Proteção de Dados para Prestadores Privados em Saúde, um documento da Confederação Nacional de Saúde lançado em 2021 para garantir o uso correto dos dados dos pacientes e proteger os dados dos usuários de serviços de saúde.
Em um elogiado exemplo de corregulação, o Código ajuda a regulamentar a coleta e o compartilhamento de dados de saúde entre prestadores de saúde e operadoras de planos privados de saúde.
O uso de dados de saúde na realização de estudos em saúde pública
A realização eficiente de políticas públicas de saúde requer uma análise precisa de dados para que a Administração Pública possa planejar com exatidão quais questões precisam ser tratadas, em que locais e em que quantidades.
Pensando nisso, a LGPD trouxe um dispositivo específico para regulamentar a realização de estudos em saúde pública que utilizem dados de saúde da população.
Dispõe o art. 13 que, para essa finalidade, órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro.
Tais tratamentos devem seguir práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
Órgão de pesquisa, nos termos da LGPD, é órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
A lei diz ainda que a divulgação dos resultados ou de qualquer parte da pesquisa em nenhuma hipótese poderá revelar dados pessoais.
O órgão de pesquisa será o responsável pela segurança da informação, não sendo permitida, em circunstância alguma, a transferência dos dados a terceiro.
O acesso aos dados de saúde constantes desse tipo de pesquisa será objeto de regulamentação por parte da ANPD e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.
A regulação acerca do tratamento de dados de saúde por farmácias
Existe uma prática comum no Brasil de farmácias solicitarem o CPF de seus clientes para efetivar a venda de um remédio, alegando que isso daria descontos ou outros benefícios.
Muitos suspeitam que a prática serve para realizar um perfilamento de clientes, identificando doenças e hábitos de saúde. Esse perfilamento poderia ser utilizado, por exemplo, para a venda de relatórios a operadoras de planos de saúde e outras instituições para as quais tais informações seriam valiosas.
Para regulamentar a prática, a ANPD emitiu a Nota Técnica nº 4/2023 para monitorar a atuação do mercado farmacêutico, realizar estudo sobre práticas correntes, incentivar boas práticas e identificar a adequação das farmácias à LGPD.
A Nota recomenda, entre outras ações, a coleta de dados menos sensíveis do que a biometria e concluiu que ainda há baixa maturidade no setor farmacêutico na jornada de adequação à LGPD.
Conclusão
O tratamento de dados de saúde sob a égide da LGPD é um tema complexo e de vital importância, especialmente considerando a sensibilidade dessas informações e o impacto potencial na privacidade das pessoas.
Neste artigo, exploramos detalhadamente os principais aspectos da regulamentação dos dados de saúde, desde a sua classificação como dados pessoais sensíveis até as bases legais específicas que autorizam seu tratamento.
Destacamos que, além das proteções gerais aplicáveis a todos os dados sensíveis, os dados de saúde possuem disposições específicas que restringem ainda mais seu tratamento, como a vedação à comunicação ou ao uso compartilhado com o objetivo de obter vantagem econômica, e a proibição da prática de seleção de riscos por operadoras de planos de saúde.
Também examinamos o uso de dados para estudos em saúde pública, nos quais a LGPD estabelece critérios rigorosos para garantir a segurança e a privacidade, incluindo a anonimização sempre que possível.
Finalmente, discutimos a regulação específica para o tratamento de dados por farmácias, um tema de grande relevância no cotidiano dos brasileiros, especialmente diante das práticas de coleta de dados associadas ao CPF dos clientes.
A conformidade com a LGPD não é apenas uma obrigação legal, mas também uma questão de ética e responsabilidade social para profissionais de saúde, empresas e entidades envolvidas no tratamento desses dados.
A correta aplicação das normas não só protege os direitos dos titulares dos dados, mas também fortalece a confiança no sistema de saúde como um todo.
É fundamental, portanto, que todos os agentes de tratamento estejam plenamente cientes de suas responsabilidades e adotem as medidas necessárias para garantir a proteção dos dados de saúde, contribuindo para um ambiente mais seguro e respeitoso para todos os cidadãos.
