Vinícius Bechtlufft Rezende*
A Meta/Facebook está no centro de mais um embate jurídico sobre a coleta de dados online e o compartilhamento ilegal de informações dos usuários.
A empresa, juntamente com o UCSF Medical Center (Centro Médico da Universidade da Califórnia em São Francisco – é um hospital de pesquisa e ensino) e a Dignity Health Medical Foundation (uma empresa sem fins lucrativos de benefício público sediada na Califórnia que opera hospitais e instalações de cuidados auxiliares em três estados), estão sendo processados nos Estados Unidos por coletar ilegalmente informações de saúde dos pacientes (incluindo doenças, médicos e medicamentos prescritos), para publicidade direcionada.
Os sites de 33 dos 100 principais hospitais dos Estados Unidos e portais da Web protegidos por senha de sete sistemas de saúde, englobando UCSF Medical Center e Dignity Health Medical Foundation, incluíram a ferramenta de monitoramento Pixel da Meta para reunir dados de pacientes, compartilhando-os com o Facebook.
O que é o Pixel?
A “Meta Pixel” é, de acordo com o site Computing, um código JavaScript utilizado em sites de terceiros para rastrear as atividades dos visitantes. Assim, com relação às informações de saúde, era capaz de realizar a coleta de dados online dos pacientes e os compartilhar com o Facebook, numa flagrante violação à regulamentação sobre a matéria.
Nos Estados Unidos, ainda não existe uma lei federal que trata da proteção de dados pessoais. O modelo seguido é o da legislação setorial e, em se tratando de saúde, a matéria é regulada pela HIPAA (“Health Insurance Portability and Accountability Act”).
Mas como essa questão da coleta, compartilhamento e uso de dados de saúde é tratada à luz da LGPD?
Quais as lições que podemos tirar desse episódio?
– Tratando os dados pessoais “online”
Um erro muito corriqueiro cometido por alguns sites é a coleta de dados online sem que o visitante seja previamente informado.
Essa questão deve ser abordada na “Política de Privacidade”, que é o documento onde o Controlador especifica quais os dados pessoais são coletados, processados, compartilhados e as respectivas finalidades do tratamento, de forma a cumprir com o princípio da transparência (inciso VI, do artigo 6º, da LGPD).
O link deve estar disponível logo que o visitante acessa a página da web, uma vez que o consentimento, se for essa a base legal a ser utilizada, deve ser fornecido previamente (antes da coleta/tratamento das informações).
– Base legal
Não existe uma prevalência de uma base legal sobre outra, mas sim qual a que melhor se aplica a determinada finalidade e o contexto do processamento.
Lembre-se de que, em se tratando de dados sensíveis, NÃO é possível o seu tratamento com fundamento no legítimo interesse.
Uma das bases legais indicadas para o tratamento de dados sensíveis é o consentimento.
Mas muita atenção. Existem dois tipos de consentimento: o previsto no inciso I, do artigo 7º e o do inciso I, do artigo 11, ambos da LGPD.
E existe diferença? Sim. Vejamos quais são.
Consentimento na coleta de dados online
O consentimento, do inciso I, do artigo 7º, é uma manifestação de vontade qualificada, ou seja, deve ser inequívoco (exige uma ação afirmativa), para uma finalidade específica, informado (se serão compartilhados; para o que estão sendo compartilhados; qual o tipo de fornecedor…), livre (de vícios de manifestação de vontade, ou seja, de ameaça, coerção) e prévio (deve ser fornecido antes da coleta do dado). Trata-se de uma manifestação pela qual o titular concorda com o tratamento de seus dados e que pode ser revogado a qualquer momento (de forma gratuita).
Já o consentimento para o tratamento de dados sensíveis, do inciso I, do artigo 11, deve conter ainda outros dois requisitos: deve ser específico e em destaque. Significa que o aceite deve ser em separado.
Existem outras duas hipóteses (bases legais) em que os dados de saúde podem ser tratados: proteção da vida ou da incolumidade física do titular ou de terceiro (alínea “e”) e tutela da saúde (alínea “f”).
Outro ponto importante é que nem sempre os Hospitais estarão tratando de dados pessoais sensíveis. Exemplo 1: os dados de um veículo (placa) para acessar o estacionamento de um Centro Médico para identificar o seu proprietário são dados pessoais “comuns”. Exemplo 2: o vale-transporte concedido ao funcionário. Neste caso, há o compartilhamento dos dados pessoais “comuns” do funcionário com terceiro (administradora do cartão Riocard).
– Compartilhamento dos dados de saúde
A lei somente autoriza o compartilhamento nos casos em que for para a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnóstico e terapia, em benefício dos interesses dos titulares de dados.
Segundo a ANVISA, serviços de saúde são estabelecimentos destinados a promover a saúde do indivíduo, protegê-lo de doenças e agravos, prevenir e limitar os danos a ele causados e reabilitá-lo quando sua capacidade física, psíquica ou social for afetada.
Somente dentro do contexto desses serviços é que é permitido ainda o compartilhamento de informações para fins econômicos, como as transações financeiras e administrativas resultantes do uso e da prestação dos serviços.
Finalmente, temos a possibilidade do compartilhamento de dados de saúde, na hipótese em que o titular requer a sua portabilidade (inciso I, do §4º, do artigo 11).
– Pesquisa clínica
O conceito de pesquisa clínica é estabelecido na Resolução nº 466/2012, do Conselho Nacional de Saúde.
Os estudos por órgãos de pesquisa ou universidades podem ser realizados, mesmo em se tratando de dados sensíveis, sem o consentimento do titular, desde que não tenham fins lucrativos.
Os especialistas mais conservadores, ainda assim, entendem que é recomendável (boa prática) a solicitação do fornecimento do consentimento.
Conclusão sobre a coleta de dados online dos pacientes
Arquivos contendo informações médicas do paciente são os mais cobiçados e valiosos pelos hackers ao serem negociados na dark web, porque não mudam muito ao longo da vida da pessoa.
O dever de sigilo dos dados de saúde do titular persiste, mesmo após o seu falecimento, mas não pela aplicação da LGPD, que regulamenta as informações da pessoa natural (artigo 6º, do Código Civil: “a existência da pessoa natural termina com a morte”), mas pelo Código de Ética Médica (capítulo IX, o qual veda o médico de revelar qualquer fato que tenha tido acesso em virtude do exercício profissional, a não ser por motivo justo, dever legal ou nos casos de consentimento por escrito do paciente).
O conflito entre as normas é apenas aparente e o profissional da área de saúde no exercício de sua atividade deve observar ambas.
O sigilo sobre o prontuário médico é a regra, mas a LGPD ressalva que o tratamento dos dados de saúde poderá ocorrer mesmo sem o consentimento do titular, quando do cumprimento de obrigação legal ou regulatória ou ainda para a realização de políticas públicas pelos Órgãos da Administração.
Ressalte-se que as boas práticas, a gestão de riscos e a adoção de medidas técnicas para reduzir incidentes de segurança serão levados em conta pela ANPD numa eventual apuração e aplicação de multa.
Já está em fase de consulta pública a minuta da Resolução que regulamenta a aplicação de sanções pela ANPD, em atenção ao disposto nos artigos 52 e 53 da LGPD, com o objetivo de fornecer os instrumentos necessários para o exercício da competência sancionadora e com previsão de vigência entre o período de outubro do ano corrente a janeiro de 2023.
A atenção ao contexto em que as informações estão sendo processadas é muito importante para determinar a sua base legal e finalidade.
Referências
- KUNDALIYA, Dev “Meta Sued for Secretly Harvesting Patient Data for Targeted Advertising”. Computing, 2022. Disponível em: https://www.computing.co.uk/news/4054043/meta-sued-secretly-harvesting-patient-targeted-advertising Acessado em: 22.08.2022.
- CONSELHO FEDERAL DE MEDICINA – CFM. “A Lei Geral de Proteção de Dados Pessoais e a Atuação do Profissional de Medicina”. Brasília, 2022.
- BRASIL. Resolução nº 466, de 14 de dezembro de 2012. Conselho Nacional de Saúde.
- BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 de agosto de 2018.
- BRASIL. Lei nº 3.268, de 30 de setembro de 1957. Dispõe sobre os Conselhos de Medicina, e dá outras providências. Diário Oficial da União, Brasília, DF, 01 de outubro de 1957.
- AITH, Fernando; DALLARI, Analluza Bolivar. “LGPD na Saúde Digital”. Rio de Janeiro. Editora Revista dos Tribunais, 2022.
Leia outro artigo do autor:
A Regulamentação dos “Dados Públicos”, segundo a LGPD
Vinícius Bechtlufft Rezende: Advogado especializado em Direito Digital e Encarregado de Dados Pessoais com certificação CDPO/BR (LGPD + CIPM) pelo IAPP, GDPR pela University of Groningen; Cibersegurança pela CISCO Networking Academy, Compliance pela FGV e docente convidado na área de proteção de dados pessoais pela UNIFEI/MG.
