(Por MARCIO NEVES ARBACH)
Publicada em 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, entrou em vigor em setembro de 2020. Com o “objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, a Lei, assim como o regulamento europeu, General Data Protection Regulation (GDPR), resulta da constatação de que os dados pessoais são um ativo econômico valioso e um bem jurídico a ser criteriosamente tutelado pela legislação.
Cenário institucional
Desde a entrada em vigor do normativo, os órgãos do Poder Público, em suas três esferas, têm buscado adequar estruturas administrativas, processos de trabalhos, sistemas de informação e instrumentos contratuais aos requisitos definidos na LGPD. Também tem havido grandes esforços para treinar e capacitar equipes que tratam dados pessoais.
No campo da Saúde, a privacidade não é um tema novo. Trata-se de matéria há muito regulada por códigos de ética e de conduta de diferentes profissões da área da saúde. A LGPD, contudo, inaugura um novo arcabouço jurídico, definindo com mais clareza a forma como dados pessoais e dados pessoais sensíveis devem ser tratados.
Os desafios de proteção à privacidade dos usuários de serviços públicos de saúde são inúmeros. O SUS, por exemplo, atende 190 milhões de brasileiros, por meio de sua Rede de Atenção à Saúde, que envolve instituições dos setores público e privado, sem ou com fins lucrativos. No processo de prestação de serviços de saúde, são coletados, armazenados, processados, transmitidos e compartilhados dados pessoais e dados pessoais sensíveis.
O ecossistema de saúde digital brasileiro reflete a complexidade e a grandiosidade do nosso sistema de saúde, “caracterizado pela presença simultânea de um sistema público universal, materializado no Sistema Único de Saúde (SUS), e um setor privado sobreposto, baseado, sobretudo, em planos de saúde coletivos”[1].
O Governo Federal criou o Programa ConecteSUS, cujo objetivo é ampliar a informatização e a integração digital dos estabelecimentos de saúde, viabilizando o uso de dados e informações dos usuários do SUS para o aumento e o aprimoramento do cuidado em saúde. Instituída pela Portaria GM/MS 1.434/2020, a Rede Nacional de Dados em Saúde (RNDS) é a plataforma nacional de interoperabilidade em saúde. Por meio dela são transmitidos, processados, armazenados e compartilhados, de maneira segura, responsável e flexível, os dados dos usuários do SUS, de modo a viabilizar a transição e continuidade do cuidado à saúde nos setores públicos e privados.
O contexto institucional internacional também molda o cenário doméstico da proteção de dados. No processo de adesão à Organização para a Cooperação e Desenvolvimento Econômico (OCDE), por exemplo, o Brasil recebeu recomendações sobre Governança de Dados de Saúde, resultantes de avaliações conduzidas pela Secretaria-Executiva daquela organização internacional. O Estudo 47, concluído em 2021, apresentou um rol de 15 orientações relacionadas a dados de saúde. Pelo menos metade delas abordam diretamente a proteção à privacidade.
Os desafios do SUS
O contexto institucional, doméstico e internacional, acima, aponta para a necessidade de o sistema de saúde brasileiro adotar medidas para tornar mais seguros plataformas, sistemas e aplicações, bem como os procedimentos realizados por meios digitais na prestação de serviços de saúde, a fim de evitar vazamentos, sequestros ou perda dos dados pessoais coletados, armazenados, processados e compartilhados no acesso e na prestação de serviços de saúde, buscando, por um lado, assegurar a universalização da saúde e, por outro, proteger o direito à privacidade dos usuários desses serviços.
Política Nacional de Proteção de Dados
A exemplo de outras orientações nacionais, que contribuem para nortear programas e ações, bem como para induzir a cooperação intra e interfederativa, faz-se necessário a elaboração de uma diretriz nacional tratando da proteção de dados pessoais no âmbito SUS. Diretiva essa que deverá, por óbvio, ser amplamente discutida com estados e municípios, por meio de suas instâncias de representação, Conass e Conasems, para posterior aprovação na CIT. A discussão também precisa envolver as entidades vinculadas ao Ministério da Saúde: ANS, ANVISA, Fiocruz e Funasa, de modo a contemplar os diferentes efeitos da LGPD no sistema público de saúde brasileiro.
A elaboração de diretriz nacional voltada especificamente para a saúde tornou-se ainda mais premente quando a Autoridade Nacional de Proteção de Dados (ANPD), agência reguladora responsável por fiscalizar a aplicação da LGPD no País, excluiu da sua agenda regulatória para o biênio 2023-2024 a dimensão “saúde”, conforme verifica-se na Portaria ANPD 35/2022[2]. A “saúde” constava como tema prioritário de regulação da agência, contudo o tema foi retirado da programação. Como consequência, resta ao setor da saúde buscar a autoregulação[3] e a disseminação de boas práticas de implementação da LGPD entre os agentes de tratamento da saúde.
Agentes de tratamento
Um tema que também pode ser tratado no âmbito de uma diretriz nacional é a definição dos agentes de tratamento (controlador e operador), bem como orientação sobre a importância de as instituições que compõem a Rede de Atenção à Saúde designarem seus encarregados de dados.
No complexo ecossistema da saúde digital os papéis de controlador e operador podem se sobrepor. Exemplo disso é um hospital privado que atende SUS. A instituição atua como controlador ao armazenar, processar e, eventualmente, compartilhar dados pessoais coletados dos pacientes em sua rede de computadores própria. A função de operador ocorre quando esse o hospital transmite os dados dos pacientes SUS para a RNDS. Nesse caso, na função de operador, o hospital deverá observar regras e padrões estabelecidos pelo Ministério da Saúde para a transmissão e utilização dos dados pessoais.
A definição dos agentes de tratamento em normativo nacional também contribui para definir papéis e obrigações no tratamento dos dados pessoais. Essa definição, por sua vez, contribuiu para maior assertividade nos processos de apuração de responsabilidade em razão de incidentes de segurança e privacidade que acarretam vazamentos, sequestros e alterações indevidas de dados pessoais. Adicionalmente, a correta identificação dos agentes de tratamento contribui para fortalecer no SUS os princípios da transparência e da responsabilização e prestação de contas, nos moldes do art. 6° da LGPD.
Compartilhamento de dados
Fator que se intensifica na saúde é o compartilhamento de dados fora do ambiente RNDS, seja em razão do aumento acelerado da transformação digital da saúde, seja pela adoção de metodologias inovadoras de incorporação tecnológica baseada em acordos de compartilhamento de riscos entre SUS e indústria, como foi o caso da incorporação do medicamento Zolgensma[4]. Nesse contexto, faz-se necessário elaborar e disseminar frameworks e boas práticas de compartilhamento baseados nos requisitos de tratamento de dados pessoais estabelecidos na LGPD.
A discussão em torno do compartilhamento de dados na área da saúde também abrange a transferência internacional de dados de saúde, seja para adequação do Brasil a padrões internacionais de segurança e privacidade da informação, seja para adequar a troca de dados realizadas quando da execução de pesquisas e políticas públicas, como é o caso de estudos e programas que coletam amostras laboratoriais e as enviam para a análise do material em outros países.
A transferência internacional de dados de saúde consta da agenda regulatória da ANPD par ao biênio 2023-2024[5].
Conclusão
Este texto é uma primeira tentativa de organizar questões centrais para o avanço da proteção de dados no SUS, tendo como baliza a LGPD, Lei 13.709/2018, que já se encontra em vigor e produzindo seus efeitos jurídicos. Sua no SUS ainda requer amadurecimento dos gestores do SUS, mas também dos órgãos reguladores, já que a política de saúde possui particularidades em relação a outras políticas públicas.
Fonte: Jota (Autor: MARCIO NEVES ARBACH)
Leia a matéria completa
