No último dia 28 de março, a autoridade de proteção de dados italiana, o Garante Per La Protezione Dei Dati Personali (GPDP), publicou um compêndio – um guia orientativo – sobre o tratamento de dados pessoais entre plataformas para contato entre o paciente e o profissional.
Nas palavras do trabalho, o compêndio pretende “fornecer indicações preliminares sobre o tratamento de dados pessoais, incluindo os relativos à saúde, realizado através de plataformas – utilizáveis através da web e/ou App – destinadas a facilitar o contacto dos utilizadores com os profissionais de saúde, incluindo médicos de clínica geral (GP) e pediatras de livre escolha (PLS)“[1].
O trabalho é direcionado a aqueles aplicativos que oferecem serviços de marcação de consultas especializadas e tratamentos de diagnóstico, permitindo ao usuário escolher o profissional com base na especialização e na área em que atua. Este tipo de tecnologia possibilita, também, que o profissional de saúde faça uma gestão mais simples do relacionamento com seus pacientes, da sua agenda, assim como do pagamento pelos serviços prestados.
Pois bem, e qual a pertinência do trabalho para o Brasil? Considerando que muitos entendimentos têm sido aplicados com base em reflexões do contexto europeu, apesar das distinções entre a lei estrangeira e a brasileira, podemos utilizar a análise do GPDP como ponto de partida para a aplicação da Lei Geral de Proteção de Dados (LGPD), a Lei 13.709, às plataformas de saúde.
Primeiro, o que chama a atenção é que o GPDP identificou três tipos de tratamentos macros em relação as referidas plataformas:
1. Tratamento de dados de usuários utilizadores que criam uma conta na plataforma: para o GPDP, estes dados também podem ser adequados para revelar o estado de saúde dos referidos usuários. Por exemplo, um dado de saúde pode ser revelado a depender do tipo de serviço de saúde solicitado ou da especialização do profissional de saúde requisitada. Este mesmo entendimento poderia ser aplicado no Brasil com base no art. 5º, I e 11, §1º da LGPD.
2. Tratamento de dados pessoais de profissionais de saúde que utilizam as plataformas para entrar em contacto com potenciais pacientes. Este tratamento é realizado no âmbito de uma relação contratual entre o proprietário/gestor da plataformae o profissional de saúde, e pode também dizer respeito à avaliação eventualmente expressa pelo usuário sobre o profissional de saúde.
3. Tratamento de dados de saúde de pacientes que entraram em contato com o profissional de saúde através da plataforma. Esta hipótese ocorre no contexto da relação entre médico e paciente e envolve, por exemplo, o compartilhamento de documentos de saúde, como receitas ou relatórios.
Em relação as hipóteses de tratamento previstas no Regulamento Geral de Proteção de Dados (RGPD), a autoridade italiana entendeu para as situações 1, 2 e 3 acima indicadas que:
a) Na situação 1, isto é, para o paciente aderir a plataforma e cadastrar os seus dados, haveria a possibilidade de utilização da execução do contrato (art. 6, 1, alínea “b” do Regulamento) para as informações cadastrais. Aqui estamos tratando, por exemplo, do nome, de um número de identificação e outras informações básicas e necessárias para o cadastro. Sob a incidência do art. 7º, inciso V da LGPD, o referido tratamento também estaria abarcado pela execução do contrato.
Por outro lado, em relação a utilização dos dados em situações relativas a outros serviços oferecidos pelos proprietários/gestores das plataformas como, por exemplo, nas palavras do GPDP, comunicações comerciais e o marketing, haveria a necessidade do consentimento.
Sobre a hipótese acima, sem pretender esmiuçar a questão, sob a ótica da LGPD, considerando também o entendimento da Autoridade Nacional de Proteção de Dados em seu Guia Orientativo sobre o Legítimo Interesse[2], quando não forem utilizados dados sensíveis e não havendo outra forma menos intrusiva, ao invés do consentimento, após o teste de balanceamento, é possível a aplicação do legítimo interesse no tratamento de dados para a promoção das atividades da plataforma, respeitados os direitos e interesses dos titulares.
Ademais, segundo o GPDP se houver, ainda, no cadastro na plataforma, a necessidade inserção de dados de saúde, com o tratamento de tais dados em contexto que não envolva a tutela da saúde, a hipótese de tratamento a ser utilizada deverá também ser o consentimento (art. 9º, n.º 2., alínea “a” do RGPD).
Neste ponto, considerando a LGPD, há de se questionar se não poderia ser utilizado, ao invés do consentimento, o exercício de direitos em contrato (art. 11, II, d), que se aplica a situações em que a coleta do dado de saúde seja necessária para a prestação do serviço.[3] Um exemplo seria a necessidade de inserção da demanda de saúde para a busca do profissional, revelando por meio indireto a doença do paciente.
- b)Na situação 2,o GPDP entende que seria também utilizada a hipótese de tratamento de execução do contrato (art. 6º, n.º 1, alínea “b” do Regulamento) para a utilização de dados dos profissionais de saúde para fins de serem contatados pelos pacientes. Na mesma linha, se utilizássemos a LGPD, este tratamento envolveria a execução de um contrato nos termos do art. 7º, V;
- c) Na situação 3, os dados tratados do paciente na relação médico-paciente dispensariam o consentimento por estarem dentro de uma relação de saúde. Como esta situação envolve um tratamento para fins de diagnóstico sob a responsabilidade de um profissional de saúde vinculado ao sigilo profissional, para o GPDP este tratamento se enquadra na hipótese do art. 9, §2º, “h” e §3º do RGPD. No caso da LGPD, tal tratamento está inserido na tutela da saúde prevista nos arts. 7º, VIII e 11, II, alínea “f”, da LGPD.
O trabalho do GPDP traz também outras questões importantes. Uma delas a exigência de que os desenvolvedores das plataformas adotem medidas técnicas e administrativas para evitar o risco de acesso não autorizado às informações introduzidas pelos usuários, além da realização de um Relatório de Impacto para a avaliação dos riscos. Há a orientação, ainda, no sentido de que as plataformas ofereçam aos interessados de forma “concisa e transparente” informações sobre o tratamento.
O GPDP também sugeriu algumas medidas de segurança nas plataformas, dentre as quais pode-se mencionar um procedimento de verificação/validação dos dados de contato escolhidos pelo usuário, medidas destinadas a reduzir homônimos, procedimentos de autenticação informática, mecanismos de bloqueio de aplicativos em caso de inatividade, além — é claro — de ferramentas para o consentimento prévio no caso de cookies e mecanismos de rastreamento.
Como se vê, é possível perceber, mesmo de forma sintética, considerando a multiplicidade de plataformas de saúde no mercado, que o trabalho da autoridade italiana é de grande importância e serve como uma excelente base para a aplicação da LGPD a tais tecnologias no Brasil.
[1] ITÁLIA. Garante Per La Protezione Dei Dati Personale. Compendio sul trattamento dei dati personali attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app.pdf. 2024. Disponível em: https://www.gpdp.it/documents/10160/0/Compendio+sul+trattamento+dei+dati+personali+attraverso+piattaforme+volte+a+mettere+in+contatto+i+pazienti+con+i+professionisti+sanitari+accessibili+via+web+e+app.pdf/7fc9ca53-f078-af9b-248d-a71dee74da07?version=2.0. Acesso em: 31 mar. 2024.
[2] BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo: Hipóteses legais de tratamento de dados pessoais legítimo interesse. 2024. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_legitimo_interesse.pdf. Acesso em: 31 mar. 2024.
[3] TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais. Civilistica.com. Rio de Janeiro, a. 9, n. 1, 2020. Disponível em: http://civilistica.com/tratamento-de-dados-pessoais-na-lgpd/. 30 mar. 2024.
LUIZ FERNANDO PICORELLI – Encarregado de proteção de dados da área da saúde. CIPM e CDPO/BR (IAPP). Mestre em Direito pela PUC-SP. Coordenador da Comissão LGPD da Unidas (União Nacional das Instituições de Autogestão em Saúde). Advogado.
