Risco na proteção de dados em saúde

Por Jonas Valente e Marina Pita* 

No início de agosto, o Ministério da Saúde abriu uma consulta pública de minuta para a atualização da Política Nacional de Informação e Informática em Saúde (PNIIS). A medida faz parte de um conjunto de iniciativas da pasta relacionadas à gestão de dados na área, como a criação da Rede Nacional de Dados em Saúde (RNDS) criada pela Portaria 1.434/2020, e a conectividade de unidades básicas para ampliar a troca de informações entre os diversos entes do Sistema Único de Saúde (SUS).

Foi dado prazo de 15 dias para as contribuições, período extremamente pequeno para uma sondagem de tema de tal relevância. O Conselho Nacional de Saúde, com apoio de entidades de proteção do direito à comunicação e direitos digitais, tal como o Intervozes, pressionou o ministério e obteve mais quinze dias para o envio das sugestões – prazo, importante frisar, ainda apertado e insuficiente para avaliação detalhada de especialistas e da sociedade civil. 

A celeridade do processo é ainda mais preocupante pois a minuta proposta está centrada na ampliação das formas de coleta e compartilhamento de dados, inclusive pessoais. E, no entanto, há uma completa ausência de previsão de mecanismos e instrumentos para a proteção destes, apesar de o Supremo Tribunal Federal (STF), em decisão histórica no julgamento da Ação Direta de Inconstitucionalidade n. 6387, 6388, 6389, 6393 e 6390, reconhecer a existência de um direito autônomo à proteção de dados pessoais. Tal reconhecimento, argumenta Laura Schertel, professora adjunta de Direito Civil da Universidade de Brasília (UnB) e do Instituto Brasiliense de Direito Público (IDP), tem duplo efeito sobre os deveres do Estado: um dever negativo – de não interferir indevidamente no direito fundamental – e um dever positivo – de adotar medidas positivas para a proteção desse direito.

De acordo com o texto proposto pelo MS, a política de informatização do SUS tem como finalidade “promover a melhoria da governança no uso da informação, das soluções de tecnologia da informação e da saúde digital, visando à inovação em saúde e à transformação digital do governo e dos processos de trabalho em saúde”. Ou seja, foco absoluto na inovação e no livre fluxo de dados e silêncio acerca da necessidade de garantia de direitos, dentre os quais a proteção de dados. Ainda mais aberrante a definição de finalidade proposta pelo MS, pois a política tem fins de atender os mandamentos constitucionais e não, como poderia uma empresa privada, estar voltada para eficiência, produtividade e lucro.

Vale lembrar que para além da interpretação do STF, a privacidade é direito consagrado na Constituição Federal e que as informações pessoais de saúde são enquadradas, no âmbito da Lei Geral de Proteção de Dados (Lei 13.709/2018), já em vigor, como sensíveis por sua relevância e pela gravidade das consequências em caso de abuso no seu tratamento. Além disso, também está em fase final de tramitação a Proposta de Emenda Constitucional 17/2019 (PEC 17), que inclui a proteção de dados pessoais entre os direitos e garantias fundamentais. 

O reconhecimento da qualidade “sensível” dos dados de saúde, o que os sujeita a condições de tratamento específicas, não se deu à toa. Informações médicas e biométricas de indivíduos podem levar a processos discriminatórios, com impacto severo na vida dos cidadãos.

Ainda, dados de saúde podem levar a exploração ilegal e são considerados “ativo” importante para diversos tipos de oferta de bens e serviços. Por isso mesmo, sua proteção se torna fundamental, ainda mais agora com a disseminação de tecnologias de vigilância e com a chamada “datificação” das diversas atividades econômicas e sociais. 

E, para surpresa geral, a minuta proposta pelo MS foi elaborada de forma descolada da legislação acerca da proteção de dados no Brasil, não apenas na finalidade, mas nos conceitos. Prevê uma série de definições, práticas e métodos como saúde digital, Internet das Coisas e dispositivos inteligentes, sem incorporar o arcabouço conceitual da LGPD, como as caracterizações de dado pessoal, dado sensível, titular, tratamento e seus responsáveis (controlador e operador). Ao não fazer isso, a PNIIS cria insegurança jurídica acerca da aplicação da LGPD no âmbito das operações disciplinadas por ela.

Ao elevar princípios, a proposta não traz menção à proteção de dados, mais um indício evidente da falta de preocupação do MS com este aspecto. A LGPD é citada, mas restringindo sua aplicação apenas ao Artigo 6º, mais uma evidência do pouco caso com um direito fundamental autônomo. A LGPD deveria ser referência basilar de toda norma infralegal que vise lidar com tratamento de dados em qualquer área, especialmente quando há dados sensíveis, como é o caso da saúde.

Sem critérios claros na coleta de dados

A PNIIS deve também contribuir para a Rede Nacional de Dados em Saúde, tendo como uma de suas diretrizes o “fortalecimento e criação de mecanismos de articulação institucional por gestores de saúde, públicos e privados, com vistas à integração dos sistemas de informação em saúde à RNDS”. Também está entre as diretrizes o “estabelecimento de política de controle de acesso autorizado aos bancos de dados dos sistemas de informação em saúde pelo usuário, pelos profissionais e pelos gestores de saúde”. 

Mas aí reside uma parte crucial do problema, pois a Política traz comandos normativos para ampliar as formas de coleta, tratamento e compartilhamento dos dados sem preocupação com a proteção destes, como já pontuado anteriormente. Afirma apenas a autonomia do cidadão, sem indicar em quais casos será necessário consentimento. Cria-se, assim, um vácuo normativo para as hipóteses de coleta e tratamento de informações dos pacientes que pode tornar uma política de controle de acesso por demais permissiva. 

A LGPD elenca entre suas hipóteses de coleta e tratamento de dados sem a necessidade de consentimento para “a proteção da vida ou da incolumidade física do titular ou de terceiro” ou para “a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária” (Art. 7º).

Já a obtenção de vantagem econômica em dados sensíveis é vedada, “exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados”.

Essas provisões da LGPD ensejam a necessidade de regulamentação, que deveria ser promovida pela Autoridade Nacional de Proteção de Dados, embora o governo federal não a tenha instituído até agora. Neste cenário de insegurança jurídica criado pelo próprio governo é ainda mais preocupante a PNIIS avançar em um regime próprio de proteção e segurança de dados.

Mais grave porque propõe integração dos registros em saúde entre os sistemas público e privado, sendo que a estes agentes são previstos regimes distintos para tratamento de dados dos cidadãos. 

Se já é complexo assegurar a proteção e a segurança dos dados em um sistema composto por órgãos federais, 27 Unidades da Federação e mais de 5.500 municípios, imagine considerando todo o setor privado e os diferentes agentes que fazem parte dele. Se não é segredo que os dados são apontados como insumo básico a novos serviços de saúde digital e a novas configurações de serviços, como a precificação de planos de saúde e de outros serviços de assistência em saúde, disponibilizar dados de pacientes ao setor privado sem proteção é um risco muito grave. 

Se a proteção de dados é uma das maiores batalhas dos direitos humanos contemporâneos, a proteção de dados em saúde é uma das disputas chave dentro deste universo. E o Brasil passa agora por um momento definidor de se sua população terá no sistema de saúde público um vetor de promoção da saúde ou um instrumento de ampliação de controle por instituições e corporações sobre as pessoas e seus corpos. Este é um tema que interessa não somente aos profissionais e entidades de saúde, aos especialistas e organizações de direitos digitais, mas ao conjunto da sociedade. 

*Jonas Valente é integrante do Intervozes professor da UnB e pesquisador em Internet, plataformas digitais e políticas de comunicação. Marina Pita é coordenadora do Intervozes e pós-graduanda em Direitos Digitais na UERJ