Blog News

Privacidade na saúde: para muito além do segredo

Sobre aquilo que vir ou ouvir respeitante à vida dos doentes, no exercício da minha profissão ou fora dela, e que não convenha que seja divulgado, guardarei silêncio como um segredo religioso, Juramento de Hipócrates. Versão de 1771

Mesmo após a morte do doente respeitarei os segredos que me tiver confiado, Juramento de Hipócrates. Versão de 1983

I – INTRODUÇÃO

A prestação de serviços de saúde é uma das atividades mais intensivas em informação.  Da perspectiva da prestação de cuidados médicos ao indivíduo, a conduta médica adequada depende da disponibilidade imediata de informações de saúde completas, acuradas, atuais e confiáveis a respeito do indivíduo. Da perspectiva do cumprimento da sua função social, isto é, daquilo que é afeito ao processo de melhoria constante dos serviços ou de um dado sistema de saúde, a atividade médica demanda igualmente, e com o mesmo vigor, de dados que digam respeito à saúde das pessoas, seja para fins de pesquisa, estudo, gestão do sistema ou financeira, dentre outros.[1]

Por outro lado, informações de saúde classificam-se, sem sombra de dúvidas, entre aquelas de natureza mais íntima, pessoal e sensível que podem ser coletadas e mantidas a respeito de qualquer indivíduo.  Assim, por qualquer que seja o parâmetro de justificação ética para a defesa da proteção da privacidade do indivíduo na área de saúde, este será sempre um valor a figurar em alta conta.

Deparamo-nos, assim, com um imperativo de compatibilização de valores equivalentes, ou quase equivalentes, dentre os mais complexos.  Note-se que, se por um lado, a disseminação indevida de informações pode prejudicar vidas, por outro, a disponibilidade e integridade para a equipe médica das informações de saúde de um paciente pode ser essencial para salvar sua vida. De outra perspectiva, é na saúde, sem sombra de dúvidas, que se verifica a maior tensão entre a necessidade de fluxo desimpedido de informações, de um lado, e a obrigação de sigilo e confidencialidade, de outro.[2]

Diante de dualidade tão marcante, é esperado que políticas públicas nas quais estejam inseridas a questão do tratamento de dados de saúde sejam guiadas pelo desejo de conciliação entre o fluxo mais desimpedido possível dos dados necessários à prestação de serviços de saúde adequados (bem como a evolução constante desses serviços), e o princípio universal da preservação da privacidade.

A conveniência, ou melhor, o dever de conciliar esses interesses, repita-se, de igual ou comparável valor, não é novidade. Com o objetivo de bem cuidar, o médico, ou de forma mais ampla, os sistemas de saúde, sempre demandaram informações de alta qualidade e em alto grau de disponibilidade.  E foi desde os primórdios da profissão que, ao se reconhecer, dentre outros riscos, o alto potencial discriminatório dos dados de saúde, optou-se pela adoção do segredo profissional como elemento fundamental para atingir esse equilíbrio.

Pelo menos do ponto de vista estritamente normativo, é primordialmente com base no sistema da confidencialidade que a comunidade médica atua no Brasil até os dias hoje.  Diante do que o mundo contemporâneo convém chamar de Imperativo de Dados,[3] e mesmo ainda antes desse, o apelo ao segredo com fonte primordial de preservação da privacidade se apresenta anacrônico.

Em tempos de Big Data, Cloud Computing e uso difundido de dispositivos móveis na coleta de dados de saúde, não pretende esse artigo se aprofundar na discussão se é ou não possível coletar volumes massivos de dados médicos, tal qual se exige, sem ao mesmo tempo comprometer o direito à privacidade e à autonomia do paciente. Nossos objetivos estão mais alinhados a uma abordagem pragmática do tema.

Primeiro, queremos alertar a comunidade médica brasileira para a existência de descompasso entre as normas vigentes e o zeitgeist[4] da profissão médica, o qual se rendeu, como grande parte das indústrias, à inevitabilidade do uso cada vez mais difundido de dados como instrumento de desenvolvimento da técnica e da profissão em sentido latu.

Segundo, que o tema está regulamentado de forma mais adequada em outros países, indicando que há dois modelos predominantes: norma de alcance geral ou especial, e explicitando a nossa preferência.

Em terceiro lugar, mostraremos que há esforços normativos em marcha no Brasil, sendo que os mais relevantes são de alcance geral e não têm origem na comunidade médica, o que implica em poderem estar dissociados dos objetivos maiores de nossos sistemas de saúde público e privado.

II – O SEGREDO COMO RESPOSTA

São boas as razões que fazem com que as pessoas se preocupem em manter seu histórico médico confidencial.  Por exemplo, certas doenças desde muito estão associadas a grande estigma (e.g. lepra ou doenças psiquiátricas), outras enfermidades são correlacionadas a determinados hábitos ou estilos de vida (e.g. doenças sexualmente transmitidas) e certas outras podem alterar a percepção das capacidades e potencialidades do doente na vida social (e.g. doenças inabilitantes ou degenerativas).  Ser doente em público equivale, portanto, a ser classificado ou olhado de forma diferente, quase sempre em seu próprio detrimento.  Tão simplesmente, quase sempre equivale a se colocar ou ser colocado em posição para ser discriminado ou como alvo de situações de constrangimento público.[5]

Isso é tão verdade hoje, quanto foi no passado.  Ao longo da história entranhou-se na cultura médica que a preservação da privacidade do paciente se assentaria na relação de confidencialidade entre o paciente e o médico[6] quanto a informações referentes a consultas, intervenções e tratamentos de saúde. Coube à figura do médico a responsabilidade de ser fiel depositário e guardador das informações sobre o paciente, sendo certo que este dever se estenderia aos demais pares que, em razão de atuação profissional, teriam ciência dos fatos confidenciados.

Sob a ótica utilitarista, o sigilo médico apresenta-se como forma de garantir que os indivíduos busquem auxílio médico, sem que pairem quaisquer meandres em relação à repercussão pública de suas patologias, bem como garante que se estabeleça uma relação mútua de confiança entre as partes envolvidas. Nesse sentido, leciona José Henrique Pierangeli[7]:

“A vida mantida em meio a uma comunidade apresenta fatos e problemas para cuja solução temos de recorrer a terceiros, pessoas qualificadas técnica e profissionalmente para removê-los, e as pessoas que exercem certos ministérios, aos quais se confiam segredos da intimidade pessoal ou doméstica, que devem ser mantidos em sigilo não só em benefício do cidadão confidente, mas da própria confidência social, interesses de ordem natural, moral, social ou econômica.”        

Observa-se que essa relação de confidencialidade entre médico e paciente, se estende aos demais profissionais da saúde e áreas administrativas que tenham contato direto ou indireto com as informações. O dever de prestar confidencialidade, todavia, está presente em outras profissões, em que é associado ao princípio ético e à relação de fidúcia entre as partes (e.g psicólogos, advogados, gestores financeiros, pesquisadores/desenvolvedores, determinados funcionários públicos, etc,), e é regulamentada, em última análise, através dos códigos de ética profissional.

No caso específico da medicina, o dever de sigilo médico está previsto no Código de Ética Médica[8], e elenca como princípio fundamental o dever de guardar sigilo, precisamente em seu Capítulo I, XI: “ O médico guardará sigilo a respeito das informações de que detenha conhecimento no desempenho de suas funções, com exceção dos casos previstos em lei”. Posteriormente, o capítulo IX expõe condutas vedadas ao médico em razão da observância ao princípio fundamental de confidencialidade. Entre as vedações podemos elencar, a proibição de exibir retratos de pacientes em anúncios profissionais, revelação de informações confidenciais em exame médicos de trabalhadores, informações acerca de óbito além daquelas contidas na declaração de óbito; ressalvadas as exceções expressas no próprio texto legal.

O dever “prima facie” de preservação das informações obtidas na relação médico-paciente se firmou como preceito moral tamanho, que surtem desdobramentos inclusive no sistema normativo processual, eximindo os médicos – e demais profissionais que tenham o dever de prestar sigilo – de depor, fornecer documentação e/ou informações que tenham sido obtidas em razão da relação com o paciente ou parte confidente, de maneira geral.

O Código Civil em seu artigo 229, por exemplo, faz referência a desobrigação de depor sob fatos confidenciais relacionados à profissão, ou seja, uma vez intimado, o profissional pode alegar impedimento em virtude da confidencialidade.

No mesmo sentido, o Novo Código de Processo Civil, em seu artigo 388, dispõe que sobre “a não obrigação da parte a depor sob fatos a cujo respeito, por estado ou profissão deva guardar sigilo”. Posteriormente, o Art. 404 garante o direito de não exibição de documento ou coisa em juízo:

“Art. 404. A parte e o terceiro se escusam de exibir, em juízo, o documento ou a coisa se: (…) IV – sua exibição acarretar a divulgação de fatos a cujo respeito, por estado ou profissão, devam guardar segredo.”

A par da previsão legal no âmbito cível, a violação do sigilo médico também encontra amparo legal na legislação penal, na medida em que o Código Penal em seu Art. 154 tipifica a conduta como crime, com pena de detenção de 3 (três meses) até 1 (um) ano, ou multa.

“Art. 154 – Revelar alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem:

Pena – detenção, de três meses a um ano, ou multa.

Parágrafo único – Somente se procede mediante representação.”

No mesmo sentido, verifica-se no Código de Processo Penal a desobrigação de depor em juízo, caso as informações tenham sido obtidas em razão de função, ministério, ofício ou profissão que devam guardar segredo:

“Art. 207 – São proibidos de depor as pessoas que, em razão de função, ministério, ofício ou profissão, devam guardar segredo, salvo se, desobrigados pela parte interessada, quiserem dar o seu testemunho.”

Como se vê, a proteção à privacidade e aos dados médicos do paciente é baseada, no Brasil, em grande parte no pilar da confidencialidade.  Ocorre que, seja aqui, seja no exterior, especialistas tem apontado de forma sistemática para a insuficiência desse sistema, especialmente, em razão de sua incompatibilidade com a constante informatização e burocratização dos sistemas de saúde. Pretender, nos dias de hoje, privilegiar o direito à privacidade com base somente na relação fiduciária do binômio médico-paciente, não configura estratégia efetiva. Nesse sentido, o catedrático português Manuel da Costa Andrade,[9] já no ano de 2007 alertava:

“A verdade é que a confiança está longe – e cada vez mais longe – de figurar como um momento necessário da interação médico-paciente. Por causa disso, o acesso do médico ao segredo não passa invariavelmente por uma relação de confiança. Recordem-se os casos em que o paciente chega inconsciente ao hospital, ou em que o médico tem conhecimento do facto (por diagnóstico) antes do próprio paciente. E, sobretudo, os casos, talvez os mais frequentes, em que a pessoa concreta do médico é ditada pelo acaso, ou mesmo imposta ao paciente (v. g., médico militar, prisional, etc.). E será cada vez mais assim, à vista da crescente organização e burocratização dos serviços de saúde, cada vez mais anônimos e impessoais.”

Também os americanos apontaram para o problema. Sempre à frente na corrida tecnológica, já em 1995, Lawerence O. Gostin, professor de direito da Georgetown University, comentava[10] quanto ao desgaste do segredo médico como ferramenta de preservação à privacidade do paciente:

“O segredo médico é amplamente respeitado na legislação e na medicina, legitimamente. De fato, no passado, a confidencialidade funcionou de forma razoavelmente adequada na garantia da privacidade dos indivíduos. Muito, se não todo, o conhecimento íntimo sobre o paciente advinha da relação médico-paciente, que era frequentemente significativa e duradoura. Os formulários médicos dos pacientes continham informações obtidas primeiramente durante consultas, e então todo o prontuário médico tornava-se confidencial. Os responsáveis pela guarda dos prontuários, grande parte das vezes, eram os próprios médicos que se responsabilizavam desde então pela sua segurança.

O segredo médico não funciona nem de perto da mesma forma na atual sociedade da informação. Informações médicas na era da sistematização eletrônica de dados, são baseadas cada vez menos na relação médico-paciente. Muitas consultas são realizadas em um primeiro momento por profissionais diversos dos médicos. Pacientes podem ser atendidos por médicos diferentes, enfermeiros, outros profissionais da área de saúde, e/ou por um plano de saúde suplementar/ público. As informações obtidas através desses encontros possuem proteção incerta em relação às tradicionais regras de confidencialidade. Focar a proteção legal em uma única relação terapêutica (no caso, médico e paciente), é um vestígio anacrônico de uma época prematura e simples da medicina.  Os prontuários médicos, frequentemente, contêm uma quantidade expressiva de informações reunidas de fontes primárias e secundárias: laboratórios, farmácias, escolas, autoridades sanitárias, pesquisadores, seguradoras e outros indivíduos e instituições. Os registros de saúde de pacientes não são mantidos apenas nos consultórios médicos ou em planos de saúde, mas também em agências estatais, base de dados de organizações estaduais, “brokers” etc. A base de dados mantida por cada um desses partes é coletada e transmitida de forma eletrônica e interligada. Leis que reforçam a privacidade nos segmentos de saúde recaem sobre as entidades que possuem essas informações. Assim, o detentor dos registos – seja um consultório de um médico particular, um hospital, ou uma operadora de planos de saúde-mantém a obrigação primordial de manter a confidencialidade dos dados obtidos.
O desenvolvimento de sistemas eletrônicos nos serviços de saúde permite que informações padronizadas dos pacientes possam fluir por todo o país, e talvez em todo o mundo, isso significa que o atual sistema de proteção de privacidade, que se baseia na proteção pelos pares (médicos, planos de saúde, laboratórios, etc.) de seus registros, precisa ser reconsiderada. No passado pensamos em um registro físico ou digital protegido pelo provedor. Temos agora de imaginar um registro com foco nos pacientes, considerando que qualquer pessoa possa acessar esse sistema através de uma tela. Pelo fato da localização geográfica ter menos significado em um mundo eletrônico, a proteção da privacidade requer reforços na proteção aos registros de saúde eletrônicos, ao em vez de focar apenas na instituição/indivíduo que o gera.”
 

Sejamos bem claros: no contexto atual da tecnologia e da gestão na área de saúde, todo aquele que jura apenas sob Hipócrates, jura apenas em parte.  Isso porque, não cabe mais a um único prestador de serviço de saúde, excetuada, talvez, a prática clínica privada, o controle sobre as informações de saúde.  Esse se pulverizou por todos os participantes da cadeia de atendimento e para além desta (e.g. atores financeiros, seguradoras, pesquisadores, brokers). O prestador de serviços tem, no máximo, controle apenas sobre si,[11] o que hoje corresponde a muito pouco na equação geral do fluxo de dados médicos.  Fosse um medicamento, me arrisco a dizer que, no Brasil, a promessa de confidencialidade já teria se tornado um placebo.  Seus efeitos tendem a se limitar, praticamente, a reações psicológicas.

Convivemos, sem qualquer sombra de dúvidas, com modelo ultrapassado, o qual nem bem preserva a privacidade do paciente, nem bem tira o proveito máximo das informações médicas que circulam pelo sistema.  Mas essa defasagem não é, em si, uma má notícia, na medida em que nos dá a oportunidade de adotarmos o melhor modelo para os dias atuais.

III – POR UM NOVO MODELO DE PROTEÇÃO

Legislações que tratam do processamento ético ou justo de dados pessoais, sejam médicos, ou de qualquer outra natureza, têm surgido pelo mundo, pelo menos desde o começo da década de 1980.  São sistemas de leis ou conjuntos normativos que reconhecem a insuficiência do segredo como método único de proteção à privacidade, e que, ao invés de simplesmente abandoná-lo, passaram adotá-lo como uma dentre uma série de técnicas visando ao tratamento justo de dados.

Importante estabelecer que a maior parte dos países optou por tratar os dados de saúde como uma dentre outras várias categorias de dados de natureza pessoal, no que regulam o tema a partir de leis gerais de proteção de dados ou, nos países de common law, com base em fair information practice principles (em uma série de contextos, tais como publicidade digital, credit score e segurança nacional).[12]

Privacidade e Proteção de Dados

  1. Já que predomina a estratégia de proteção baseada em leis gerais de proteção de dados e não em leis específicas de gestão de dados de saúde, antes de prosseguirmos, faz-se necessário abordar o conceito de proteção de dados pessoais, bem como delimitar os princípios de tratamento justo de dados.

Em uma frase: proteção de dados pessoais seria o sistema de regras que impedem o tratamento inadequado, injusto ou antiético de dados pessoais, entendendo-se por dados pessoais, dados que digam respeito à uma pessoa identificada ou identificável.

É tema relacionado à chamada “privacidade informacional” que diverge de outros padrões de privacidade, como, por exemplo, a “privacidade física”.  Por exemplo, uma câmera que observa você no trocador de roupas de uma loja, abusa da sua privacidade física, uma vez que esta está relacionada ao que os outros podem ver ou ouvir sobre nós. No caso, o abuso nasce do fato de que você está sendo observado com a expectativa de que sua privacidade estaria protegida.  Por outro lado, quando as imagens são gravadas digitalmente para uso futuro, essa é uma questão afeita à “privacidade informacional”, à proteção de dados pessoais.

A distinção pode não parecer relevante a princípio, mas é.  Enquanto a proteção à privacidade em sentido amplo está mais voltada preservação da intimidade (e.g. a privacidade física, o recato do lar, o direito de estar só), a proteção de dados pessoais se concentra em resguardo aos dados ou informações que dizem respeito às pessoas.  Ao fazê-lo, a proteção de dados tende a resguardar direitos de alta significância, tais como o emprego e o direito à participação econômica, dentre outros.  Por exemplo, fazer uso de informações de saúde para fins de discriminação numa oportunidade de emprego, é tema que diz respeito essencialmente à proteção de dados pessoais.

O início das discussões a respeito da proteção de dados pessoais, como sistema de proteção a um novo aspecto da privacidade, a proteção de um conjunto de informações a respeito de alguém, se deu nas décadas de 1960 e 1970.  Contudo, a gênese de esforços normativos e inspiração para praticamente todas as leis posteriores, foi a publicação, pela Organização para Cooperação e Desenvolvimento Econômicos (OCDE), de suas Diretrizes para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais, em 1980, cujo prefácio atual[13] estabelece o seguinte:

“Com a introdução da tecnologia de informação em várias áreas da vida econômica e social, e a importância e poder crescentes do processamento automatizado de dados, a Organização para a Cooperação e Desenvolvimento Econômicos (OCDE) decidiu publicar em 1980 Diretrizes relativas à política internacional sobre a proteção da privacidade e dos fluxos transfronteiriços de dados pessoais. Mais recentemente, o desenvolvimento veloz e predominante das tecnologias e infraestruturas de informação e comunicação, caracterizado por fenômeno tal como a Internet, facilitou a rápida evolução para uma sociedade global de informação. Portanto, a OCDE enfocou na melhor maneira de implementar estas Diretrizes no século 21, para ajudarem a assegurar o respeito à privacidade e a proteção dos dados pessoais em linha. (…) 

(…)As Diretrizes sobre a Privacidade representam um consenso internacional sobre a orientação geral a respeito da coleta e do gerenciamento da informação pessoal. Os princípios determinados nas Diretrizes sobre a Privacidade são caracterizados pela clareza e flexibilidade de aplicação e pela formulação, suficientemente ampla para possibilitar a adaptação às mudanças tecnológicas. Esses princípios abrangem todos os meios utilizados para o processamento automatizado de dados referentes a indivíduos (do computador local à rede de complexas ramificações nacionais e internacionais), todos os tipos de processamento de dados pessoais (da administração do pessoal ao levantamento de perfis de consumidores) e todas as categorias de dados (da circulação de dados ao seu conteúdo, dos mais comuns ao mais sensíveis).”

 Tradicionalmente a proteção de dados se assenta em princípios, os quais encetam condutas e regras específicas, que têm como objetivo garantir com que o tratamento de dados pessoais se dê de forma ética e justa. A fonte mais tradicional desses princípios são as Diretrizes das OCDE, que os elenca da seguinte forma:

  1. Princípio de Limitação da Coleta

A coleta de dados pessoais deveria ser limitada e qualquer desses dados deveria ser obtido através de meios legais e justos e, caso houver, informando e pedindo o consentimento do sujeito dos dados.

  1. Princípio da Qualidade dos Dados

Os dados pessoais deveriam ser relacionados com as finalidades de sua utilização e, na medida necessária, devem ser exatos, completos e permanecer atualizados.

  1. Princípio de Definição da Finalidade

Os propósitos da coleta de dados pessoais devem ser indicados no momento da coleta de dados ao mais tardar e o uso subsequente limitado à realização destes objetivos ou de outros que não sejam incompatíveis e que sejam especificados cada vez que mudar o propósito.

  1. Princípio de Limitação de Utilização

Dados pessoais não deveriam ser divulgados, comunicados ou utilizados com finalidades outras das que foram especificadas de acordo com o princípio 3, salvo: om o consentimento do sujeito dos dados; ou or força de lei.

5 -Prncípio do Back-Up de Segurança

Back-up de segurança regulares deveriam proteger os dados pessoais contra riscos tais como perda, ou acesso, destruição, uso, modificação ou divulgação desautorizados de dados.

  1. Princípio de Abertura

Deveria haver uma política geral de abertura a respeito do desenvolvimento, da prática e da política referentes a dados pessoais. Deveriam estar prontamente disponíveis meios de estabelecer a existência e natureza de dados pessoais, as finalidades principais de seu uso, bem como a identidade e residência habitual do controlador de dados.

  1. Princípio de Participação do Indivíduo

Um indivíduo deveria ter o direito de :

  1. obter do controlador de dados, ou por outro meio, a confirmação de que este possui ou não dados referentes a ele;
  2. de que lhe sejam comunicados dados relacionados a ele;
  3. dentro de um prazo razoável;
  4. por um preço, caso houver, que não seja excessivo;
  5. de maneira razoável; e
  6. de modo prontamente compreensível para ele;
  7. obter explicações caso for rejeitado um pedido feito conforme o disposto nos subparágrafos 1 e 2, e ter meios de contestar tal recusa; e
  8. contestar dados relacionados a ele e, se a contestação for recebida, pedir que os dados sejam apagados, retificados, completados ou modificados.
  1. Princípio da Responsabilização

O controlador de dados terá de prestar contas pela observância das medidas que dão efeito aos princípios acima indicados.

O que nos dizem as Diretrizes?  Basicamente que se o tratamento dos dados pessoais seguir os princípios acima, (minimização, finalidade, transparência, qualidade, etc…), a tendência é que a privacidade informacional do titular esteja preservada. Nos diz também que os princípios são aplicáveis a uma série de outros contextos, e.g., educação, emprego, telecomunicações, seguro, alcançando, portanto, servem muito além da privacidade em saúde. O que não nos diz é a que preço tal proteção se dará

  1. Lei de Alcance Geral ou Lei Especial?

O Brasil caminha a passos largos para a adoção da solução mais empregada ao redor do mundo,[14] qual seja, o tratamento da privacidade informacional em saúde por meio de lei geral de proteção de dados. Tramitam no Senado e Câmara dos Deputados, respectivamente, os PL 330/2013 e PL 5276/2016,[15] dos quais desaguará uma Lei Geral de Proteção de Dados brasileira.[16]

É verdade que no âmbito do SUS, do Ministério da Saúde, da ANS e da ANVISA, já existem normas específicas no Brasil a respeito do tema.[17] Estas, muito provavelmente conviverão com uma futura Lei Geral de Proteção de Dados, mas com aplicabilidade restrita aos contextos bastante específicos nos quais estão inseridas. Certamente, somadas sua abrangência limitada com o status de subordinação hierárquica à futura lei geral, não lhes será possível cumprir o papel que cabe a uma lei moderna de proteção de dados de saúde, como aliás, já não são capazes de fazer hoje.

Recordemos que o objetivo de uma lei de proteção de dados médicos é estabelecer regras para a coleta, uso e difusão de informações pessoais de saúde dos indivíduos, que protejam a confidencialidade daquela informação e a privacidade dos indivíduos no que diz respeito àquela informação e, ao mesmo tempo, sejam facilitadoras da prestação eficaz de serviços médicos.[18]

É de se destacar que leis dessa natureza não têm, a princípio, intenção de privilegiar nem a proteção informacional, nem o fluxo desimpedido de informações de saúde. Também não têm, como medida de política pública, estabelecer qual, dentre saúde ou privacidade, o bem jurídico de maior valor, seja da perspectiva individual, seja da perspectiva social.  Até porque, estudos já realizados sobre o tema têm concluído não haver primazia significativa de um valor sobre o outro.[19]

O que a lei deve buscar, portanto, é criação de modelo de conciliação ideal, o qual seja capaz de equilibrar os dois valores humanos, sem declarar a existência de vencedor ou vencido.  Nesse sentido, nossa primeira proposição é que, diante da proximidade da promulgação de uma Lei Geral de Proteção de Dados, que se comece a discutir a convivência desta com uma Lei de Proteção de Dados Médicos.  Para tanto, convocamos a comunidade médica para que tome mais interesse na discussão do tema da privacidade, inclusive, para que desde já participe da discussão dos projetos de lei de alcance geral, os quais terão, para o melhor ou para o pior, influência importante no desenvolvimento do setor de saúde.

  1. Perdas Aceitáveis

Por mais que os defensores mais apaixonados da privacidade tenham dificuldade em admitir, o primeiro passo na construção de normas de proteção de dados de saúde, envolve, necessariamente a tomada de atenção de que a renúncia, em alguma medida, ao direito à privacidade, é indispensável para a obtenção de certos benefícios sociais.  São vários os exemplos de bens de valor social, cujo atingimento implica em alguma medida na perda de privacidade, tais como, a segurança pública e a fiscalização tributária.  Não seria diferente em relação à saúde pública.

Colocado de outro modo, a boa política pública deve reconhecer que uma das consequências ao construirmos um sistema de saúde universal, eficiente e acessível é a perda de privacidade em alguma medida.  A conciliação entre o fluxo adequado de dados médicos e o direito à privacidade, passa pelo reconhecimento de que o direito à privacidade não é um direito absoluto.  A depender da contrapartida (no caso, saúde melhor e mais barata para todos), perdas razoáveis de privacidade são admissíveis.  Leis especiais desempenham essa função melhor do que as leis gerais.  É natural que seja assim.

Por focarem na proteção dos dados em qualquer contexto, leis e reguladores gerais do tema, tendem a dar menos atenção aos bens de valor social que dependem do fluxo livre de dados, tais como, inovação, pesquisa, desenvolvimento econômico, desenvolvimento de políticas públicas, combate à fraude, segurança, dentre muitos outros. O que deveria ser um exercício de conciliação, acaba se transformando em esforço de preservação da privacidade como objetivo prioritário.

No modelo baseado apenas em lei geral, a necessidade de conciliações constantes e específicas, reconhecidas, como se vê abaixo, pelas próprias normas de privacidade, se transmutam em esforços de proteção de dados monolíticos.  Não é o mais desejável.

As Diretrizes da OCDE,[20] (Cf. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Ob, cit., p. 11) por exemplo, reconhecem que é aconselhável:

“[…] a aplicação de diferentes medidas de proteção para diferentes categorias de dados pessoais, dependendo de sua natureza e o contexto em que são coletados, armazenados, processados ou disseminados.”

A esta aplicação de medidas e graus de proteção de diferentes para situações diferentes se dá o nome de “Privacidade em Contexto”. As categorizações mais comuns referem-se à:

  • Sensibilidade[21] dos dados pessoais (e.g. dados relativos à saúde, biometria, genética, opiniões políticas, que revelem origem racial);
  • O sujeito a quem se referem os dados (e.g. dados associados a menores de idade, empregados ou pacientes);
  • O propósito para o qual os dados são utilizados (e.g. uso comercial, uso pessoal, investigação policial, propósitos científicos);
  • O contexto (strictu sensu) no qual os dados são processados (e.g. no contexto de comunicações eletrônicas; criação e guarda de arquivos);
  • O grau de anonimização dos dados pessoais (e.g. identificador, de-identificado, anônimo, pseudônimo); e
  • Se o dado foi coletado direta ou indiretamente (para fins de obtenção de consentimento ou dever de notificação).

A consequência prática mais importante da “Privacidade em Contexto” é que, uma vez que a regulação depende de contexto, cada atividade econômica (e profissional) que se utilize de dados pessoais na condução de seus negócios estará sujeita a tratamentos regulatórios distintos.

A necessidade de se dar tratamento regulatório específico na área de saúde salta aos olhos. São muitas e intensas as características próprias do fluxo de dados de saúde. Dentre esses, destacam-se os seguintes: (i) o fato de que dados pessoais de saúde são extremamente sensíveis; (ii) para permitir tratamento adequado ao paciente, dados pessoais de saúde devem estar disponíveis de forma livre e indiscriminada aos profissionais de saúde envolvidos; (iii) o número de profissionais de saúde envolvidos no atendimento a um mesmo indivíduo tende a aumentar (o que, necessariamente, aumenta as chances de quebra de sigilo); (iv) o emprego especialmente intensivo da tecnologia da informação na área de saúde (e.g. prontuários eletrônicos e uso de dispositivos móveis); e (v) o interesse público na utilização de dados pessoais de saúde para finalidades secundárias (e.g. pesquisas médicas).[22] Se há um contexto em que uma lei especial, conquanto fundada em princípios análogos aos da lei geral, se faz necessária é o da saúde.

De se notar que a discussão, não é se a “Privacidade em Contexto” é necessária, mas sim, se consegue ser obtida no contexto de uma regulação única, generalista.  Países como Canadá, EUA, e Austrália, entenderam que não e promulgaram leis específicas a par de leis gerais preexistentes. É exatamente o que propomos para o Brasil.

O movimento normativo atual, porém, não ruma para o bom caminho, na medida em que nos aponta para a convivência de uma lei geral naturalmente restritiva e normas específicas esparsas e sem efetividade.

Caso sigamos por esse caminho, tudo indica que assim que for aprovada a nova Lei Geral de Proteção de Dados, migraremos do modelo atual, o qual, como já dissemos, nem bem preserva a privacidade do paciente, nem bem tira o proveito máximo das informações médicas que circulam pelo sistema, para realidade normativa restritiva em excesso. Nessa, com apoio da lei e da convicção do regulador, não haverá espaço para perdas aceitáveis de privacidade, em nome da evolução médica.  Tão simplesmente, dados médicos serão tratados como dados de alta sensibilidade e, portanto, sujeitos a altíssimos níveis de restrição ao seu fluxo.

Nesse contexto, atividades importantíssimas e essenciais à gestão e evolução dos serviços de saúde, tais como, compensação financeira entre serviços de saúde e outra empresas, detecção de fraudes em seguros, pesquisa, interoperabilidade de dados médicos, dentre outras, podem encontrar na proteção de dados obstáculo penoso, e em alguns casos, quiçá, intransponível.

  1. Compliance Complicado

Outra consequência de não se privilegiar uma norma específica de proteção de dados em saúde, é a complexidade que isso traz para as atividades de compliance.  Sem uma norma especial, os players do setor de saúde serão obrigados a monitorar e seguir várias normas esparsas que digam respeito ao tema da privacidade, as quais, na maioria das vezes, terão sido pensadas para outras indústrias ou contextos.  Além de ter que arcar com os custos associados ao cumprimento dessa obrigação, a insegurança jurídica também se fará presente, na medida em que a ausência de especialidade das normas tende a gerar dificuldades para sua interpretação.

Exemplo mais marcante dessa situação é a necessidade de compliance atual, e pouco conhecida, com a Lei no 12.965 de 23 de abril de 2014, o chamado Marco Civil da Internet (“MCI”).

O MCI trouxe um novo regime institucional em matéria de preservação do direito à privacidade no Brasil. A principal novidade é que a tutela do direito à privacidade passou a ter caráter administrativo, na medida em que passa a ser de competência da administração pública, inclusive a partir da imposição de penalidades. Está baseada na nova lei e em princípios gerais de proteção ao consumidor, por exemplo, a atuação da Secretaria Nacional do Consumidor (SENACON), em especial, de seu Departamento de Proteção e Defesa do Consumidor (DPDC), no leading case em que aplicou à Oi/Velox, multa de R$ 3,5 milhões de Reais em razão de suposta quebra de privacidade de dados de navegação de seus clientes.

Mas em que medida uma lei voltada à privacidade na Internet teria influência na gestão de informações em saúde e, em especial, de que modo afetaria as atividades de compliance de prestadores de serviços de saúde ou do setor de saúde em geral?

Pode-se dizer que o MCI é uma lei de caráter especial, mas cuja abrangência é geral.  Parece incongruente do ponto de vista jurídico, mas não o é na prática.  O MCI regula a privacidade de dados pessoais que trafegam pela Internet.  Apesar do contexto específico da Internet, dados pessoais de qualquer natureza (e.g. bancários, marketing, tributários e obviamente de saúde), desde que trafeguem pela rede, devem ser tratados de acordo com as regras estabelecidas pelo o MCI.  Como, hoje, quase toda informação passa pela Internet, o MCI passa a ser de enorme relevância para qualquer atividade econômica, a da saúde, incluída.

Mesmo antes da regulamentação pela que passou esse ano, o MCI já estabelecia direitos para o paciente/internauta em suas interações on-line com toda a cadeia de prestadores de serviços na saúde (e.g. operadoras de planos de saúde, hospitais e clínicas, laboratórios), direitos esses, cuja inobservância sujeita a penalidades severas, como, por exemplo, multa máxima de 10% (dez por cento) do faturamento bruto do grupo econômico do infrator. [23]

Do ponto de vista de política pública, não faz o menos sentido que o setor de saúde seja afetado pelo MCI.  Não é o caso, infelizmente. Sem apelar para os panos quentes, não tenho dúvidas que paga o setor de saúde por seu desinteresse quanto ao tema da proteção de dados e da privacidade.

IV – CONCLUSÕES

Vivemos no que alguns têm chamado da era do Imperativo de Dados, já mencionada mais acima.[24]  Em quase todas as atividades da vida, o monitoramento e a medição do nosso comportamento, hábitos e características está em plena expansão, além de estar ganhando em granularidade.[25] Esse fenômeno é testemunhado, dentre outros, em relação aos nossos hábitos de consumo, perfil de crédito, relações de emprego, na educação e, de forma bastante importante, na saúde.

Para o bem ou para o mal,[26] estamos assistindo a um novo regime social de classificação das pessoas, baseado em técnicas algorítmicas e dependente de grandes volumes de dados.  Traços digitais de comportamentos individuais são cada vez mais agregados, estocados e analisados.  Isso é feito cada vez mais pelo cruzamento de dados obtidos de fontes diferentes.  A partir desse processo classificação, se atribui valor ao indivíduo.  Como se isso não bastasse, diz-se que todo esse processo não ocorre porque se deve, ou por obrigação, mas sim porque se pode.[27]

Nesse contexto, a área de saúde se vê diante de enorme pressão. Isso porque, além de ter de cuidar da privacidade em seu próprio terreno, o que em si já é difícil considerando os avanços tecnológicos e os imperativos de uso de dados médicos pelo próprio setor, haverá de cuidar também do uso abusivo de dados para fins secundários (não ligados ao atendimento médico).  Afinal, informações de saúde, é inegável, estão dentre as mais úteis[28] para quem quer que deseje classificar ou atribuir valor (em sentido estrito) a uma pessoa.

Nada mais natural, portanto, esperar que o setor de saúde[29] tomasse interesse pelo tema da privacidade dos dados médicos. Não é o que tenho testemunhado em meu acompanhamento do tema nos últimos 5 anos.  Pelos menos não da parte dos principais agentes econômicos brasileiros no setor.  Enquanto, e.g., empresas de Internet, telecomunicações e financeiras se mostram atentas ao processo legislativo em privacidade, a participação pelo setor de saúde se resume, quase que exclusivamente, à comunidade acadêmica, o que, por uma série de motivos que não vem ao caso explicitar, não é necessariamente auspicioso.

Muito embora não se trate de omissão grave,[30] a sua reversão se faz urgente, na medida em que a ausência nos palcos da discussão tende a ser bastante custosa.  No que respeita ao custo para se obter e processar dados, por exemplo, é possível que as restrições impostas, digamos, por uma lei de abrangência geral, não justifiquem a coleta de dados que, de outra forma, poderiam ser úteis.  Ou pior, certos dados podem se tornar simplesmente inacessíveis a depender do contexto. Outra consequência, já citada, mas que vale repetir, é o incremento dos custos e da insegurança em matéria de compliance.

O fato é que, queria o setor ou não, o tema da proteção à privacidade em saúde será regulado. O mais saudável para a saúde brasileira é que nossos médicos e os agentes econômicos e políticos que os representam se engajem.  É conduta que já passou da prevenção à urgência, mas ainda há tempo de sobra.

Gustavo Artese,  sócio da Artese e Advogados e Marina Alves Mandetta, Advogada de Eichin Amaral & Furnaletto Advogados, RJ

Gustavo tem especialização em Direito Digital e Internet. Graduado pela Faculdade de Direito da UERJ; Master of Laws (L.L.M.) pela Universidade de Chicago; Professor de Direito e Tecnologia da Escola Politécnica da USP; Secretário Geral da Associação Brasileira de Direito da Tecnologia da Informação e das Comunicações; Fellow da Information Accountability Foundation – IAF no Brasil; Co-Chair, IAPP KnowledgeNet, São Paulo Chapter, 2016/2018; Membro da International Technology Law Association – ItechLaw; Rankeado no Chambers & Partners e em Who’s Who Legal, para Telecomunicações e Tecnologia, 2014/2016; Organizador e co-autor do livro “Marco Civil da Internet, Análise Jurídica sob uma Perspectiva Empresarial” – QL, 2015.

Marina é advogada de Eichin Amaral & Furnaletto Advogados, RJ.Graduada pela Faculdade de Direito da UFRJ, 2015; Pós-Graduanda em Propriedade Intelectual pela PUC/RJ.

[1] CAVOUKIAN, Ann e EL EMAM, Khaled in A Positive-Sum Paradigm in Action in the Health Sector. Disponível em www.privacybydesign.ca. Acesso em 11.10.2016

[2] ARTESE, Gustavo in Marco Civil da Internet: Tem Mais a Ver com Saúde do que Você Pensa. Setembro de 2014. Disponível em http://saudebusiness.com/noticias/marco-civil-da-internet-tem-mais-a-ver-com-saude-do-que-voce-pensa/   Acesso em 11.10.2016.

[3] FOURCADE, Marion e HEALY, Kieran in Seeing Like a Market. Próxima Socio-Economic Review. Agosto de 2016.

[4] Zeitgeist (pronúncia: tzait.gaisst) é um termo alemão cuja tradução significa espírito da época, espírito do tempo ou sinal dos tempos. O Zeitgeist significa, em suma, o conjunto do clima intelectual e cultural do mundo, numa certa época, ou as características genéricas de um determinado período de tempo. https://pt.wikipedia.org/wiki/Zeitgeist

[5] SOLOVE, Daniel J. e SCHWARTZ, Paul M. in Information Privacy Law, Capítulo 4, Health and Genetic Privacy, pg. 399, Wolters Kluwer, 2008.

[6] Para fins da relação de confidencialidade que descrevemos aqui, o termo “médico” deve ser entendido de forma ampla, englobando profissionais de saúde em geral e alguns prestadores de serviços (e.g. laboratórios, planos de saúde).

[7] PIERANGELI, José Henrique in Manual de Direito Penal Brasileiro, v.2: parte especial: artigos. 121 a 361. 2. Ed. Ver., atual., ampl., e compl. São Paulo: Editora dos Tribunais, 2007

[8] Código de Ética Médica: Resolução CFM nº 1.931, de 17 de setembro de 2009.

[9] ANDRADE, Manuel da Costa in Direito Penal Médico. SIDA: Testes Arbitrários, Confidencialidade e Segredo.

Portugal: Coimbra Editora. 2008.

[10] A atualidade do texto de mais de 20 anos e sua praticamente plena adequação à realidade brasileira são marcantes.

[11] E mesmo assim controle limitado diante dos imperativos tecnológicos.  Consideremos, por exemplo, o que se tem denominado “fetiche pela técnica”.  Quantos são os casos de médicos que se veem obrigados a fazer uso, diga-se, errôneo, de ferramentas como o WhatsApp na sua prática? Já que de outro modo seriam considerados párias entre seus pares ou mesmo desatualizados na visão de seus pacientes.

[12]USA, Homeland Security: Privacy Policy Guidance Memorandum. Disponível em https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf;. Acesso em 11.10.2016
ECD Privacy Principles. Disponível em http://oecdprivacy.org/. Acesso em 11.10.2016

[13] OECD. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Disponível em <http://www.oecd.org/sti/ieconomy/15590254.pdf>.  Acesso em 11.10.2016

[14] São poucos os países que adotaram leis especiais. As de maior destaque são a do Canadá (Ontário), EUA e Austrália. Não à toa, é dentre os países mais sofisticados do mundo sobre o tema que se encontram leis específicas sobre a proteção às informações de saúde.

[15] Brasil. Projeto de Lei do Senado nº 330, de 2013. Disponível em

http://www.senado.leg.br/atividade/rotinas/materia/getPDF.asp?t=185315&tp=1. Acesso em 11.10.2016

Brasil. Projeto de Lei 5276, de 2016. Disponível em http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra?codteor=1457459&filename=PL+5276/2016 . Acesso em 11.10.2016

[16] Muito embora seja impossível fazer previsões precisas quanto ao processo legislativo, espera-se que o Brasil passe a contar com uma nova lei no segundo semestre de 2017.

[17] Contabilizam-se esforços do SUS e do Ministério da Saúde, no que respeita à Política Nacional de e-Saúde, com especial destaque à Portaria 2.073/2011, sobre o uso de padrões de informação em saúde e de interoperabilidade entre os sistemas de informação do SUS e para os sistemas de privados e de saúde suplementar, e a Portaria 940/2011 que regulamenta o Sistema Cartão Nacional de Saúde. Enquanto a Portaria 2.073/2011 apenas coloca entre seus objetivos a promoção da utilização de uma arquitetura da informação em saúde de modo a permitir o compartilhamento de informações em saúde, de modo a permitir o compartilhamento de informações em saúde em meio seguro e com respeito ao direito à privacidade (art. 2o, II), a Portaria 940/2011 especifica as regras para a garantia do sigilo dos dados e das informações dos usuários SUS coletados pelo Sistema. Já a Agência Nacional de Saúde Suplementar (ANS) ao estabelecer um padrão obrigatório para a troca de informações em saúde entre operadoras de planos privados de assistência à saúde e prestadores de serviço, denominado TISS (Troca de Informações na Saúde Suplementar), previu por meio da Resolução Normativa 305 (RN305) de outubro de 2012, alguns requisitos para a proteção dos dados de atenção à saúde, tendo em conta a privacidade e princípios de segurança da informação.

[18] Tradução livre do item, 1, A, “Objetivos” da Personal Health Information Protection Act de 2004, PHIPA, Ontário, Canadá.

[19] GOSTIN, Lawrence O., in Health Information: Reconciling Personal Privacy with the Public Good of Human Health.  2001.

 [21] A sensibilidade do dado pessoal tende a ser diretamente proporcional ao dano que sua revelação pode causar.

[22] ARTESE, Gustavo in Privacidade em Contexto: Área de Saúde. Setembro de 2014, http://convergecom.com.br/portal/privacidade-em-contexto-area-de-saude/

[23] A partir dos direitos garantidos aos pacientes/internautas pelo MCI e da severidade das penalidades previstas, aconselhamos aos serviços de saúde que lidam com dados de paciente via internet, desenvolver capacidades e controles internos necessários ao cumprimento das obrigações estabelecidas pela MCI. Essas capacidades e controles podem ser assim resumidos:

  1. controles de cumprimento da obrigação de guarda de registros de acesso a aplicação de Internet por prazos específicos em ambiente controlado e seguro, o que inclui, e.g., definição formal de responsável, inventário de acesso e outros controles;
  2. existência de controles e programas de segurança da informação efetivos e proporcionais à sensibilidade dos dados coletados e/ou armazenados;

iii. capacidade de avaliação de pedidos administrativos e ordens judicias, bem como da conveniência de seu cumprimento;

  1. monitoramento constante de correspondência entre consentimento obtidos dos titulares dos dados (clientes/pacientes) em potencial para o processamento de dados pessoais e as finalidades específicas de processamento. Respeito aos princípios da minimização, especificidade e transparência;
  2. estabelecimento de procedimento a partir do qual o titular dos dados poderá solicitar a sua exclusão da base de dados com exercício de distinção entre dados passíveis ou não de exclusão;
  3. monitoramento constante de recomendações e determinações de natureza administrativa, o que inclui, por exemplo, a adoção de padrões técnicos específicos em relação à guarda e processamento de dados;

vii. revisão de práticas e contratos que envolvam a troca ou fornecimento de dados pessoais a terceiros ou entre empresas dos próprios grupos econômicos dos clientes/pacientes; e

viii. revisão de contratos de prestação de serviço com fornecedores de TI (e.g. outsourcing, cloud computing)

[24] FOURCADE, Marion e HEALY, Kieran in Seeing Like a Market. Próxima Socio-Economic Review. Agosto de 2016.

[25] O monitoramento e a medição granulares, são aqueles que conseguem ser realizados em relação a grupos cada vez mais reduzidos de pessoas, chegando, no limite, ao nível do indivíduo.

[26] Sem querer entrar em uma discussão que está muito além dos objetivos desse artigo, e sem querer fazer qualquer juízo de valor, partimos do pressuposto que ser classificado, não necessariamente, traz prejuízos.  A classificação pode, em tese, gerar benefícios para um determinado indivíduo.

[27] “The injunction coming from professions is normative and moral: we do these things because we must. That coming from programs is mimetic, taking the whole environment into account: we do these things because everyone else does. But the institutional command coming from technology is the most potent of all: we do these things because we can. Data collection in modern organizations bears this ceremonial character to a high degree. Professionals recommend, the institutional environment demands, and technology enables organizations sweep up as much individual data as possible. It does not matter that the amounts collected may vastly exceed a firm’s imaginative reach or analytic grasp. The assumption is that it will eventually be useful, i.e. valuable. The semi-structured data that sits on a firm’s servers (e.g. online chats, phone conversations, images) will gradually be made usable through improvements in—for instance—semantic analysis, voice recognition, or image processing. Weber (1998) remarked that technology does not need a purpose. It is its own purpose.” Trecho de FOURCADE, Marion e HEALY, Kieran in Seeing Like a Market. Próxima Socio-Economic Review. Agosto de 2016.

[28] A gravidez, por exemplo, está dentre as informações mais perseguidas pelos departamentos de marketing das empresas.

[29] Por “setor de saúde” me refiro a toda cadeia econômica, desde o setor acadêmico e de pesquisa, passando pelos serviços de saúde, a medicina diagnóstica, os seguros e convênios médicos, o setor farmacêutico, incluindo, até mesmo, provedores de soluções tecnológicas em saúde.

[30] Muito embora o tema da privacidade seja crítico para o médico, a ciência da proteção de dados é relativamente nova, tendo nascido e se desenvolvido em ambientes distantes da ciência ou da prática médica.