A Lei Geral de Proteção de Dados visou disciplinar de forma mais sistemática e moderna os direitos dos titulares de dados e as obrigações dos envolvidos no seu tratamento. Assim, passou a exigir, salvo em circunstâncias prescritas em lei, que antes do tratamento houvesse certificação quanto à concordância do titular, sobretudo explicitando os propósitos visados com este processo e, na medida possível, antecipando seu itinerário.
Esta medida expressa respeito à autodeterminação informativa e ao direito fundamental à privacidade — fundamentos do referido diploma legal. Afinal, apenas a partir de adequada informação poderá o titular verificar se concorda com a submissão de seus dados a certa exposição.
Na Saúde este tema merece especial atenção por uma série de razões.
Primeiro, por tratar dados "sensibilíssimos", desde aqueles referentes à saúde, à vida sexual, à genética ou à biometria de uma pessoa, até informações referentes às suas convicções religiosas — relevantes para a tomada de decisão em diversos casos, como no clássico exemplo dos testemunhas de Jeová e as transfusão de sangue.
Segundo, na esteira desta última consideração, os serviços de saúde são norteados pelos princípios bioéticos, destacando-se entre estes, in casu, o princípio da autonomia, isto é, o paciente tem o direito de determinar os rumos de sua vida e da forma como pretenderá zelar por sua higidez [1].
Nesse sentido, vale refletir sobre uma das hipóteses de dispensa do consentimento do para tratamento de dados pessoais: "a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária", fixada no inciso VIII, artigo 7º e na alínea "f", inciso II, artigo 11, ambos da LGPD.
Uma interpretação apressada dos dispositivos em questão poderia guiar à compreensão de imunidade dos estabelecimentos de saúde quanto aos deveres adjacentes ao consentimento, entretanto é fundamental que a hermenêutica seja complementada por outras fontes.
Estabelece o §6º, artigo 7º desta Lei que a dispensa da exigência do consentimento não desobriga quanto aos demais deveres de proteção de dados e "especialmente da observância dos princípios gerais e da garantia dos direitos do titular".
Nesse diapasão, devem-se destacar três princípios fixados na LGPD: a finalidade, a adequação e a necessidade. O primeiro exige que os atos de tratamento visem fim determinado, previamente informado e, em regra, consentido pelo titular. O segundo e o terceiro, enquanto subprincípios da proporcionalidade demandam, respectivamente, a conformidade entre os meios dispostos e os fins visados pelo tratamento, e limitação do tratamento às concretas exigências impostas ao fim almejado.
Portanto, é relevante compreender que mesmo no contexto da tutela da saúde a dispensa do consentimento não importará em autorização ampla e irrestrita ao tratamento de dados. Pelo contrário, manifesta supressão de apenas uma dentre as muitas obrigações próprias ao operador, ainda fazendo-se necessário que as organizações dedicadas à Saúde garantam o fiel cumprimento dos direitos dos titulares.
Evidentemente não se ignoram as dificuldades inerentes ao desenvolvimento destas proposições (ainda que a tecnologia voltada à informação e à coleta de consentimento na saúde avance consideravelmente [2]) e por isso faz-se necessário juízo de proporcionalidade ante à analise concreta de cada caso. A própria LGPD é sensível às nuances dos quadros enfrentados na tutela de saúde, por isso elenca entre as hipóteses de dispensa de consentimento para tratamento de dados sensíveis a "proteção da vida ou da incolumidade física do titular ou de terceiro" (alínea "e"), ou seja, quadro presumivelmente mais grave.
Logo, parece razoável a estipulação de algumas diretrizes aos deveres de informação na hipótese de dispensa de consentimento por tutela da saúde.
Desse modo, dever-se-ia, à medida possível, informar ao paciente: a) quanto à finalidade visada para o tratamento de dados (para além de justificativas vagas como a cura ou o bem estar do paciente, far-se-ia relevante), b) quanto à previsão do itinerário deste (quais profissionais devem ter acesso às informações fornecidas e em quais circunstâncias? [3]); c) quanto ao reconhecimento da hipótese de dispensa de consentimento para tratamento de dados, oportunizando ao paciente objeção quanto ao tratamento de determinados dados (conforme faculta o §2º do artigo 18); d) quanto aos mecanismos disponíveis para a manutenção do sigilo em relação a todos os profissionais alheios ao processo terapêutico (especialmente considerando o caso de prontuários eletrônicos).
Vale recordar que a primeira multa aplicada em Portugal por violação de dispositivos da GDPR (norma europeia de proteção de dados) teve como alvo hospital. Isto se deu por denúncia que observou haver 985 indivíduos cadastrados como médicos com acesso a todos os prontuários hospital, existindo entretanto apenas 296 médicos efetivamente a trabalho do estabelecimento [4].
Isto é, a ausência de mínima perspectiva processual à terapêutica, não somente tornava os dados acessíveis a todo e qualquer médico (remota ou não fosse sua participação no atendimento), mas a qualquer funcionário do hospital, inclusive aqueles dedicados à atividades puramente administrativas.
Fato é que não devem ser interpretadas as hipóteses excepcionais de consentimento como âmbitos libertos das obrigações impostas aos operadores, especialmente no caso dos estabelecimentos de Saúde, dada a sensibilidade dos dados tratados e a aplicação dos princípios bioéticos e de deontologia profissional às suas atividades [5]. Em sentido diverso, a LGPD deve ser interpretada em conformidade as realidades próprias de cada atividade que se insere, buscando-se cultura organizacional que comungue a eficiência com a tutela dos direitos fundamentais.
[1] Não à toa cresce em importância a utilização dos termos de consentimento livre e esclarecido (TCLEs) enquanto instrumentos a garantir o efetivo entendimento pelo paciente das diversas características de um certo tratamento ou procedimento, bem como o registro de sua concordância com o prosseguimento deste — com opção de revogação a qualquer tempo. O documento que mais detalhadamente trata a esse respeito no país é a Recomendação 01/2016 do Conselho Federal de Medicina, acessáveis pelo link https://portal.cfm.org.br/images/Recomendacoes/1_2016.pdf
[2] O consentimento eletrônico tem recebido destaque na mídia especializada: https://www.pharmaceutical-technology.com/sponsored/the-rise-of-econsent-adoption/ (disponível às 11h58 de 18/08/2022).
[3] Evidentemente, não se trata de nomear as pessoas (os profissionais em si), mas sim indicar quais postos dentro de uma dada organização tenderão a ter acesso às informações para a adequada terapêutica, isto é, médicos de uma dada especialidade, de um dado setor hospitalar; enfermeiros a serviço de uma dada atividade etc.
[4] Muitas notícias se encontram a esse respeito, dentre as quais mencionasse como fonte o site https://www.pcsolution.pt/rgpd-multa-de-400-mil-euros/ (disponível às 13h54 de 18/08/2022).
[5] Particularmente no contexto da Lei 14.289/22, que disciplina a proteção de dados para pessoas portadoras do vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e de pessoa com hanseníase e com tuberculose, esta perspectiva deve ser reforçada, considerado o tratamento especial dado pela legislação ante à sensibilidade das informações em jogo.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login