LGPD | Como a Lei Geral de Proteção de Dados muda negócios e pesquisas na saúde?

Influenciada pela General Data Protection Regulation (GDPR), lei que protege dados de indivíduos na União Europeia, a Lei Geral de Proteção de Dados Pessoais (LGPD), válida no Brasil, foi sancionada no dia 14 de agosto de 2018 pelo ex-presidente Michel Temer. Em vigor desde o dia 18 de setembro de 2020, a nova lei alterou a dinâmica de empresas e impactou, inclusive, pesquisas na área de saúde. Nesse cenário, já é constante a disputa entre a proteção de dados e o avanço da ciência.

• Saúde 5.0: ainda falta muito para a telemedicina alcançar todo o seu potencial
• Cyrela é a 1ª empresa condenada por descumprir a LGPD e deve pagar R$ 10 mil
• Agora quem manda é a LGPD

Para entender como a LGPD modificou dinâmicas no setor médico e como os players da área conseguem trabalhar com dados de pacientes, visando o desenvolvimento de novas tecnologias, o Canaltech acompanhou painel da segunda edição da Global Summit Telemedicine & Digital Health 2020, que discutiu o tema.

Com uma série de atividades nesta semana, o evento digital é organizado pela Associação Paulista de Medicina (APM) em conjunto com o Transamerica Expo Center (TEC) e discute quais serão os rumos da área médica nos próximos anos. Na ocasião, estavam presentes: Fábio Alonso Vieira, advogado e sócio do escritório Kestener, Granja & Vieira Advogados; Fabiana Farah, diretora associada legal & compliance na Roche; Roberta Guedes, consultora de política de privacidade e proteção de dados; e a mediadora Beatriz Kestener.

Afinal, o que é LGPD?

A LGPD procura assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, tanto no mundo virtual quanto no físico, através de práticas mais seguras quanto o uso dessas informações obtidas. Essa lei deve ser lida “sob dois vieses, um de proteger os direitos fundamentais e as liberdades individuais das pessoas, mas, por outro lado, sem se esquecer que nos precismos da tecnologia, que nós precisamos sempre estimular o desenvolvimento econômico e as inovações”, explica o advogado Fábio Alonso Vieira, focando nos primeiros artigos da LGPD.

Basicamente, essa lei protege os dados pessoais que são definidos como informações relacionadas a pessoa natural identificada ou identificável, ou seja, aquilo que leva a identificação de uma pessoa, como nome, RG, CPF, idade. Ainda como parte deles, estão os dados pessoais considerados sensíveis, onde se encontram informações sobre a saúde da pessoa — basicamente todo o prontuário médico produzido a partir de uma consulta ou um exame —, vida sexual, informações genéticas ou biométricas, quando vinculados a uma pessoa. Agora, o tratamento de dados é qualquer etapa que os envolva e os manuseie, desde a própria coleta. São essas ações que estão, agora, na mira da fiscalização e da lei.

De acordo com a LGPD, os dados pessoas podem ser tratados em seis condições: cumprimento de obrigação legal; execução de contrato; tutela da saúde; consentimento; e legítimo interesse. Para que não seja declarado em algum momento nulo, “esse consentimento, não necessariamente, precisa ser escrito, mas precisa ser expresso e passível de prova”, comenta o advogado Vieira. “A questão do legítimo interesse ainda é muito cinzenta”, ressalta Fábio, porque é “um conceito muito aberto e que merece uma atenção específica. Aqui, vale uma ressalva que o legítimo interesse não se aplica aos dados pessoais sensíveis”.

Anonimização dos dados é viável?

Para pesquisas e estudos, os dados sensíveis são bastante importantes. Por exemplo, um paciente com um síndrome rara que traz um extenso prontuário e participou de estudos clínicos pode ser um material muito rico de investigação em pesquisas. Por outro lado, é um direito desse indivíduo sua privacidade e de que seus dados sejam usados, pelo menos de maneira que não o identifique.

“Um dos grandes tabus da LGPD é que, a partir da lei, seria necessário o consentimento do titular para a realização de qualquer tratamento de dados. Vimos juntos que não é bem isso e não é para tudo que precisamos do consentimento", explica Fabiana Farah, diretora associada legal & compliance na Roche. Isso porque uma das possíveis medidas legais para lidar com a questão é a anomização dos dados. Dessa forma, eles podem ser trabalhados, mesmo sem consentimento.

Na área da saúde, parte dessas informações médicas específicas dos pacientes, como aquelas vindas de estudos, são conhecidas como real world data (RWD). "Sabemos que os titulares dos dados não querem uma exposição da sua condição de saúde. Os dados de vida real podem ser muito sensíveis, porque são as intimidades das pessoas", comenta Farah.

Nesses casos, "as corporações devem ter muito cuidado na hora de processar os real world data, no sentido de nunca burlar, a privacidade dos pacientes. Em princípio, isso pode ser alcançado com a anonimização dos dados, onde a gente não consegue identificar o indivíduo", completa Farah sobre uma prática que permite o uso desses dados desde que não associados ao indivíduo. Entretanto, vazamentos podem acarretar questões legais.

Case da Roche com a LGPD

Quanto a essa nova legislação, uma das responsáveis pela implementação das novas políticas de proteção de dados no país da companhia farmacêutica suíça Roche afirma: “Complicou, complicou muito. Hoje, um dos maiores desafios que temos na indústria é a adequação dos processos à LGPD". É a partir desse ponto de vista, interno e do dia a dia, que Farah comenta sobre os atuais procedimentos.

“Antes do advento da lei, tínhamos os dados no Brasil que seguiam uma lógica do Big Data. As empresas coletavam e tratavam todos os dados existentes possíveis, sem questionar a necessidade e a finalidade. Com a LGPD, migramos do Big Data para o Privacy by Design, onde coletamos e tratamos, somente, os dados que, de fato, preencham uma finalidade e uma necessidade específica, por um determinado prazo", pontua Farah.

“O primeiro grande desafio que enfrentamos, logo no início do projeto, foi mapear os dados que estavam sendo tratados dentro da Roche, porque nunca ninguém tinha parado para pensar que dados [pessoais e sensíveis] que tínhamos dentro da empresa. Tivemos que fazer um inventário de todos os dados pessoais tratados dentro da empresa", explica sobre os primeiros momentos de adequação. Após esse entendimento, foi possível o ajuste e adequação dos processos.

Armadilhas do tratamento de dados

Mesmo que empresas farmacêuticas, hospitais, consultórios e profissionais da medicina se adéquem existem alguns perigos para a proteção dos dados. Segundo Roberta Guedes, consultora de Política de Privacidade e Proteção de Dados, um dos grandes desafios é a segurança digital e a ação de hackers mal-intencionados, conhecidos como black hats.

“Os black hats, normalmente, nos indicam o ponto de vulnerabilidade que está deixando possível que aquele dado fique aberto para todos, o que hoje é ilegal no Brasil. Esses hackers nos provocam a sempre estarmos à frente, preventivamente, mas não é algo impossível de acontecer. Muito pelo contrário, no mundo inteiro nunca ninguém vai estar livre 100% a uma possível vulnerabilidade", argumenta Guedes. Nesse contexto, é responsabilidade das equipes usar todas as ferramentas possíveis para limitar essas ações;

“Um outro pilar importante é a gestão de terceiros", lembra a consultório. Por exemplo, os médicos que para poderem executar suas atividades e não têm um sistema próprio, por isso, contam com os serviços de terceiros para tratar dados de seus pacientes. Nesses casos, é preciso se atentar para quais tipos de acesso serão liberados e se as empresas seguem os protocolos de segurança necessários para se evitar vazamentos.

Para além dessas questões sobre o tratamento de dados, há alguns desafios ainda quanto ao entendimento da lei, como aponta o advogado Vieira. Um desses pontos soltos no entendimento da lei ainda é da transferência internacional de dados, já que muitas vezes nem está à vista. Ou ainda como se daria uma teleconsulta entre médicos e pacientes em diferentes países para a LGPD. Nesse sentido, a lei ainda precisará amadurecer no país.

Para acessar a LGPD (Lei nº 13.709/2018) completa, clique aqui.