ARTIGO ORIGINAL
SANTOS, Maykon Adler Oliveira [1], ARAÚJO, Jeferson Sousa de [2], REGO, Ihgor Jean [3]
SANTOS, Maykon Adler Oliveira. ARAÚJO, Jeferson Sousa de. REGO, Ihgor Jean. A história Brasileira de proteção aos dados: o advento da lei geral de proteção de dados pessoais e a sua influência no acesso aos dados médicos no Brasil. Revista Científica Multidisciplinar Núcleo do Conhecimento. Ano. 06, Ed. 12, Vol. 01, pp. 172-198. Dezembro de 2021. ISSN: 2448-0959, Link de acesso: https://www.nucleodoconhecimento.com.br/lei/advento-da-lei
RESUMO
A Lei Geral de Proteção aos Dados – LGPD (Lei 13.709/2018), influenciada pela GDPR – Regulamento Geral da União Europeia sobre a Proteção de Dados, surge no Brasil com o intuito de garantir a privacidade e um maior controle sobre os dados pessoais. Tal regramento traz para as empresas a necessidade de se adequar quanto a forma que realiza o tratamento de dados pessoais de seus usuários. Desta forma, este artigo tem como objetivo elucidar a conceituação da LGPD, o desenvolvimento desta norma e verificar se as entidades ligadas ao ramo da saúde estão adaptando-se aos ditames impostos pela Lei Geral de Proteção aos Dados – LGPD, no âmbito de acesso aos dados médicos referentes ao paciente, buscando trazer ao leitor o conhecimento dos seus direitos quanto à participação na observância do tratamento dos seus dados no âmbito geral e dos estabelecimentos ligados à área da saúde pública e privada. Expõe-se, também, a oportunidade de utilização do Habeas Data para os casos em que for denegada a possibilidade de conhecer os trâmites realizados com os dados pessoais. Neste contexto, visamos responder: as entidades de saúde pública e privada estão se adaptando ao sistema legislativo da LGPD? Para essa análise, será utilizada uma abordagem qualitativa através de pesquisa em legislações que tratem sobre a proteção de dados, em bases jurídica doutrinárias, além de matérias e publicações produzidas sobre o tema. A partir dos resultados, conclui-se que o surgimento da LGPD apresenta resquícios das normas anteriores a sua promulgação, sejam elas nacionais ou internacionais. Além disso, à medida que avança a necessidade de adequação à LGPD, hospitais privados e públicos, apesar das dificuldades enfrentadas, seguem em um caminho lento rumo à harmonização com a lei.
Palavras-chave: Lei Geral de Proteção aos Dados, Saúde, Dados pessoais.
1. INTRODUÇÃO
A Lei Geral de Proteção de Dados – LGPD expõe grandes inovações para as relações em que há um fornecimento de dados pessoais para outrem, objetivando resguardar a privacidade do titular dos dados, ao trazer em seu texto a segurança e prevenção como foco.
Desta forma, a LGPD trouxe ao regramento brasileiro a questão do consentimento para comercialização dos dados, ao dificultar que o banco de dados seja compartilhado entre empresas sem uma prévia autorização do titular, visto que na era da informatização há uma maior facilidade em transportar um banco de dados de um determinado servidor para outro.
Destaca-se que a LGPD é fruto das leis internacionais, baseando-se no contexto legislativo dos anos 70 e com bastante influência advinda da GDPR – General Data Protection Regulation.
Ainda, o presente artigo objetiva elucidar a conceituação da LGPD, o desenvolvimento desta norma e verificar se as entidades ligadas ao ramo da saúde estão adaptando-se aos ditames impostos pela Lei Geral de Proteção aos Dados – LGPD, no âmbito de acesso aos dados médicos referentes ao paciente.
A problemática do tratamento de dados pessoais pela área da saúde se estabelece na medida que maior parte dos dados coletados dos titulares são sensíveis, por se tratar de dados de saúde, além de estar em constante necessidade de armazenamento de prontuários médicos por no mínimo 20 anos, perante a lei 13.787/2018.
Além ainda, do grande volume de dados na adequação de nosocômios e estabelecimentos de saúde, torna mais ainda necessário a implementação de sistemas de gestão de saúde, bem como maior participação da Agência Nacional de Saúde no auxílio às entidades de saúde públicas e privadas.
Portanto, levantou-se a seguinte questão norteadora: as entidades de saúde pública e privada estão se adaptando ao sistema legislativo da LGPD?
Apesar de tudo, a Lei Geral de Proteção de Dados veio para conscientizar sobre a proteção de dados, assegurar o correto tratamento de dados não evadindo da finalidade definida, e garantir segurança jurídica tanto para o titular do dado quanto para o controlador e operador de dados.
Dito isto, visa-se durante a elaboração deste periódico analisar de forma descritiva as questões relacionadas ao desenvolvimento da LGPD e o cumprimento por parte das entidades de saúde em se alicerçar com os preceitos da legislação, utilizando-se de análise documental de dados históricos e contemporâneos, bem como de livros, publicações e de embasamentos legais.
2. EVOLUÇÃO HISTÓRICA DAS LEIS EM RELAÇÃO À PROTEÇÃO DE DADOS – PANORAMA INTERNACIONAL
Muitos assemelham o desenvolvimento das questões de proteção de dados e da privacidade na internet como assuntos contemporâneos, entretanto, como será demonstrado neste tópico, estas questões vêm sendo discutidas por várias décadas nas mais diversas legislações espalhadas pelo mundo, como bem consignou Jorge Enrique, pesquisador do Observatório de Direito Internacional do RN (OBDI):
O direito à privacidade de nossas informações não é novidade na legislação mundial. A preocupação com o “right of privacy” é uma das teses basilares do direito estadunidense. Entretanto, as leis iniciais que tratam diretamente acerca da proteção de informações pessoais surgiram nos anos 70. A primeira tentativa de normatizar o uso dos dados é alemã, intitulada a Lei de Proteção de Dados pessoais do Lande de Hesse. Ao longo das décadas, foram surgindo diversas regulações específicas, como a sueca, a francesa, dinamarquesa, entre outras (TINOCO, 2020).
Inicialmente, no transcorrer dos anos de 1970 a 1980, mais especificamente no ano de 1979, tem-se o desenvolvimento da primeira lei que se preocupou em abordar o tema de dados pessoais. Determinados especialistas assentam o entendimento de que o surgimento inicial de uma legislação que trate sobre dados pessoais se deu nos Estados Unidos, porém, se trata de uma informação inverídica, dado que a doutrina e a jurisprudência norte-americana trouxeram apenas o conceito do direito à privacidade, sendo a cidade de Hessen, localizada na Alemanha, a preceptora da criação de uma lei que versava sobre a proteção aos dados, conforme amplamente expõe, o Juiz e Doutor em Direito, Demócrito Reinaldo Filho (2013) em seu artigo intitulado “A Diretiva Europeia sobre proteção de dados pessoais”, publicado na Revista Jus Navigandi.
Assim, na década de 70 os países mais desenvolvidos passavam por grandes transformações no desenvolvimento computacional e na área das indústrias, dando impulso para o Estado Alemão elaborar normas capazes de regulamentar o acesso às informações pessoais no país, uma vez que a população começou a perceber a força dos computadores para manipular e processar as informações relacionadas aos indivíduos.
A legislação alemã teve a sua implementação datada no ano de 1978, incentivando outros países como a Noruega, Áustria, França e Suécia a inserirem normas em seu ordenamento jurídico no intuito de explicar como deveria ocorrer a utilização, tratamento e exportação dos dados privativos da sua população.
Dando seguimento ao histórico de proteção aos dados chega-se a norma maior da nossa federação, a Constituição da República Federativa do Brasil, aprovada em 22 de setembro de 1988 pela Assembleia Nacional Constituinte e promulgada no dia 5 de outubro do mesmo ano, onde já foi possível a verificação da atenção do legislador voltada para a privacidade da vida dos brasileiros, ao garantir a inviolabilidade desta em seu artigo 5°, responsável por expor os direitos e deveres.
Ainda, merece destaque a mudança que a Lei n° 9.296/96 trouxe para a magna carta brasileira, ao instituir uma mudança complementar ao artigo 5º, uma vez que acrescentou mais um meio de proteção aos dados privativos garantindo que “é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”, mostrando mais uma vez que o legislador não se absteve em proteger a privacidade dos cidadãos, mas ainda não está perto de ser uma legislação suficiente para o tema de proteção aos dados.
Com o advento do Código de Defesa do Consumidor no começo dos anos 90, percebeu-se o desenvolvimento do Brasil ao tratar da proteção de dados dentro das relações existentes entre consumidores e empresas. Nesta presente legislação é possível observar a proteção do direito de o consumidor em poder obter o acesso de seus dados que estão em mãos da empresa, seja para ter mero conhecimento do que está guardado, como também para verificar se algum dado está incorreto e assim pedir pela sua correção. Toda essa questão é tratada em uma seção própria no CDC, denominada “Dos Bancos de Dados e Cadastros de Consumidores”.
Dentro da esfera do direito consumerista, nota-se que o CDC se cuidou em exteriorizar ainda a responsabilidade das empresas quanto à proteção de dados de seus clientes, tendo estas que preservar, manter em sigilo e utilizar os dados privados somente para a realização do atendimento.
No momento seguinte à vigência do Código de Defesa do Consumidor tem-se a Diretiva 95/46/CE da União Europeia, criada pelo Conselho da União Europeia e o Parlamento Europeu no ano de 1995, em que foram estabelecidos preceitos aplicáveis aos países integrantes da União Europeia. Neste regramento pode ser observado um melhor desenvolvimento das questões ligadas à proteção de dados e o propósito para tal proteção, chegando bem próximo aos regramentos jurídicos existentes no século XXI ao estabelecer “uma definição básica de dados pessoais e outras delimitações importantes para a discussão do tema, além do incentivo ao comércio” (TINOCO, 2020).
Ainda, nos dizeres de João Paulo Furtado de Carvalho (2021), Engenheiro com sede de conhecimento por Privacidade de Dados e Política, “A diretiva estabeleceu um sistema abrangente (e extremamente complicado) de privacidade de informações, cujo impacto logo foi sentido muito além da própria UE.”
Ainda, sustenta-se o acordo entre Estados Unidos da América e a Europa como sendo um dos marcos históricos da evolução no tratamento de dados pessoais. Tal acordo, que entrou em vigor no ano 2000, ficou conhecido como Safe Harbor em sendo formulado para respaldar a proteção da privacidade dos cidadãos da União Europeia quando tivessem seus dados coletados por empresas norte-americanas, objetivando uma uniformidade nas regras de tratamento dos dados pessoais. Acentua-se que, segundo informações do portal do G1 (2016), em outubro de 2015 o bloco europeu revogou o presente acordo e o substituiu pelo chamado “Privacy Shield“.
No ano de 2013 o Brasil presenciou o desenvolvimento legislativo e a implementação do Marco Civil da Internet, responsável por retratar a utilização da internet no país e, assim, fazendo com que o poder judiciário abrisse os olhos para o desenvolvimento tecnológico e buscasse entender melhor esta nova fase.
Quanto ao Marco Civil da Internet é importante destacar a existência dos princípios de proteção à privacidade e de proteção dos dados pessoais expostos em seu artigo 3º. Ainda, em seu artigo 10º, observa-se que a proteção de dados pessoais e a privacidade são garantidos com uma ressalva, a de que por meio de ordem judicial os dados pessoais em posse do provedor responsável devem, obrigatoriamente, serem disponibilizados.
Acentua-se, após o Marco Civil da Internet, a GDPR – General Data Protection Regulation que, traduzindo para o português significa Regulamento Geral Sobre a Proteção de Dados, introduzida no mundo das legislações pelo Parlamento europeu em abril de 2016, quando a União europeia resolveu revisar os seus regulamentos que tratavam de assuntos relacionados à proteção de dados.
Além do mais, “o Marco Civil da Internet tinha como objetivo tornar o ambiente cibernético mais regulamentado, pois até então, os brasileiros tinham apenas a Lei de Defesa do Consumidor como meio de requerer direitos. Ela se demonstrava defasada em meios digitais e deixava a desejar na relação entre consumidor e empresas pela internet.” (CARVALHO, João Paulo Furtado de, 2021)
A GDPR foi um dos maiores marcos na evolução do tratamento de dados pessoais, uma vez que estabeleceu em seu regramento que os estados-membros da União europeia estariam livres para realizar a comercialização ou prestação de serviços, que incluíssem os dados pessoais, desde que o regramento jurídico do outro país fosse pelo menos um pouco semelhante com os deles. Tal imposição serviu de impulso para que diversos países viessem a criar ou reanalisar a forma com que estavam tratando os dados pessoais.
Neste sentido, o escritório Assis e Mendes Advogados (2019), especializado em Direito Digital, Empresarial e Proteção de Dados, evidencia que “O GDPR obrigou empresas de todo mundo – inclusive gigantes como o Facebook e o Google – a mudar a forma como coletam e tratam dados e foi responsável por uma nova onda de novas leis sobre o tema em todo o mundo, inclusive no Brasil.”
Por fim, chega-se à importante matéria discutida neste material científico que é o advento da Lei n° 13.709/18 (LGPD – Lei Geral de Proteção de Dados) ao sistema jurídico brasileiro. De forma básica, a LGPD viabilizou e assegurou a privacidade das pessoas, descrevendo as formas corretas para tratamento dos dados pessoais, seja o acesso, a edição ou a exclusão destes.
“A LGPD se insere na quarta geração de legislações de proteção de dados, junto a legislações como a General Data Protection Regulation (GDPR), geração que insere o titular no processamento de dados, desde a coleta de dados até a decisão acerca do compartilhamento de terceiros” (LUGATI e ALMEIDA, 2020).
Portanto, é possível observar que as normas regulamentadoras do direito ao acesso à dados pessoais, bem como as que tratam da proteção aos dados pessoais, não surgiram repentinamente, mas sim vem se desenvolvendo em razão da evolução tecnológica, buscando adequar-se a realidade e aos meios que são empregados nas diversas áreas da vida que usufruem dos dados pessoais.
3. A LEI DE PROTEÇÃO DE DADOS BRASILEIRA – LEI N° 13.709 DE AGOSTO DE 2018
Com a compreensão da necessidade de proteção dos dados pessoais e com a instituição de limitações de comércio pela União Europeia à países que não tiverem um instituto de proteção de dados, o Brasil se viu impulsionado a implementar uma lei própria, que se adequasse a realidade brasileira, com o intuito de não ficar para trás no fenômeno internacional de proteção de dados.
Assim sendo, a Lei Geral de Proteção de Dados foi promulgada para “proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. essa lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.” (Portal do Tribunal Regional Federal da 5.ª Região. 25 mar. 2021).
Desta forma, percebe-se que a Lei Geral de Proteção de Dados busca a proteção dos trâmites que envolvem a utilização de dados pessoais, uma vez que observou os diversos problemas que podem advir do implemento da informatização. A doutrina com expertise explica a LGPD e nos ajuda a entender melhor esse novo instituto legal:
A LGPD, nesse sentido, confessadamente voltou-se, cuidadosa e esmeradamente, para disciplinar o tratamento de dados das pessoas naturais, ou seja, aqueles envolvendo a sua coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.” (Pestana, Marcio. Os princípios no tratamento de dados na LGPD (Lei Geral da Proteção de Dados Pessoais)
Ademais, segundo a advogada e especialista em direitos digitais do Idec – Instituto Brasileiro de Defesa do Consumidor, Barbará Simão, a Lei Geral de Proteção aos Dados tem um viés garantista que busca dar aos consumidores a possibilidade de acompanhar como os seus dados serão tratados. Este tratamento engloba a questão da coleta, transferência, utilização e também o cruzamento de dados.
Frisa-se que, a LGPD se aplica indistintamente a todos que de alguma forma participam do processo de tratamento de dados pessoais, sejam pessoas privadas ou pessoas ligadas ao ramo público (PINHEIRO, 2020).
De outro norte, nos termos do artigo 4º, incisos de I à IV, da referida lei, não há aplicabilidade para esta nos casos em que uma pessoa física realiza o tratamento de dados pessoais somente no intuito particular e sem fins econômicos ou quando o tratamento dos dados pessoais é para fins exclusivamente jornalísticos e artísticos, ou acadêmicos, bem como de forma exclusiva relacionada a segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais ou, ainda, nos casos “provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei” (BRASIL, 2018).
4. PRINCÍPIOS NORTEADORES DA LEI GERAL DE PROTEÇÃO AOS DADOS
Ao adentrar no assunto de princípios que alicerçam o sistema jurídico brasileiro é importante expor o que o jurista, advogado e professor Celso Antônio entende ser esse instituto normativo, in verbis:
Mandamento nuclear de um sistema, verdadeiro alicerce dele, disposição fundamental que se irradia sobre diferentes normas compondo-lhes o espírito e sentido servido de critério para sua exata compreensão e inteligência, exatamente por definir a lógica e a racionalidade do sistema normativo, no que lhe confere a tônica e lhe dá sentido harmônico (MELLO, 2009. p. 882 – 883).
A doutrina busca explicar os princípios jurídicos considerados como fonte, a ideia de um começo, alicerce da criação de uma norma, ou seja, estão fundamentalmente presentes como base da criação de uma nova norma jurídica.Assim como se lê do magistério de Miguel Reale:
Princípios são, pois verdades ou juízos fundamentais, que servem de alicerce ou de garantia de certeza a um conjunto de juízos, ordenados em um sistema de conceitos relativos à dada porção da realidade. Às vezes também se denominam princípios certas proposições, que apesar de não serem evidentes ou resultantes de evidências, são assumidas como fundantes da validez de um sistema particular de conhecimentos, como seus pressupostos necessários”. (REALE, 1986, p. 60).
Assim, se pode falar que em qualquer que seja a norma há os princípios presentes em seu texto, seja de forma explícita ou implícita, uma vez que devem ser observados e utilizados para dar base, garantir a efetividade da legislação em conformidade com as demais legislações, bem como atestar a constitucionalidade de seus dispositivos. Desta feita, como dito alhures, é clara a existência de princípios na Lei Geral de Proteção aos Dados, como será exposto nos parágrafos a seguir.
Pois bem, a partir deste ponto iniciará a análise dos princípios jurídicos elucidados no corpo material da LGPD, sendo eles: Principio da finalidade, adequação, necessidade, do livre acesso, da qualidade dos dados, transparência, segurança, prevenção, da não discriminação e o da responsabilização e prestação de contas, todos descritos no art. 6º da Lei nº 13.709/18.
O primeiro deles é o Princípio da Finalidade que, segundo o legislador, visa dar garantia aos dados empregando os seus “propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades” (BRASIL, 2018).
Em síntese, pelo Princípio da Finalidade uma empresa tem o dever de atentar-se em utilizar os dados do titular da informação em conformidade com o que fora pactuado anteriormente, sendo incabível o desvio de sua utilidade por caracterizar uma quebra de confiança na relação e a confiança é base da relação nos casos em que o titular entrega seus dados pessoais a outrem.
Dando seguimento ao assunto frisa-se o Princípio da Adequação, responsável por assegurar a compatibilidade dos dados coletados com a sua finalidade, tendo o receptor dos dados que justificar e garantir os dados possuem pertinência para o assunto ao qual será utilizado. Entende-se que “os dados devem ser tratados de acordo com a sua destinação. A coleta de dados deverá ser compatível com a atividade fim do tratamento.” (Tribunal Regional Federal da 3ª Região, 2020).
Já o Princípio da Necessidade, nos termos do Art. 6º, III, da Lei nº 13.709/18, consubstancia-se em restringir a coleta de dados à finalidade da sua utilização, evitando que haja um excesso na coleta de dados pessoais. Desta forma, observa-se que este princípio visa garantir que os dados coletados estejam em estrita conformidade com a finalidade inicial que se pretende alcançar, evitando que dados desnecessários sejam coletados e armazenados, trazendo uma economia quanto aos gastos relativos à manutenção destes dados pessoais arquivados.
Ainda, na seara principiológica da Lei Geral de Proteção aos Dados, evidencia-se o Princípio do Livre Acesso, explicitado no Art. 6º, IV, da referida lei, que se amolda na questão de proporcionar aos titulares do dado o direito, fácil e gratuito, de acessar e obter conhecimento da forma que será realizado o tratamento de seus dados pessoais, bem como do tempo de duração em que estes dados serão utilizados para a finalidade ser atingida.
Por conseguinte, destaca-se o Princípio da Qualidade dos Dados que “é a garantia dada aos(às) titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento” (Ministério da Cidadania, 2021). Ou seja, é um princípio que busca acautelar a veracidade e atualidade da base de dados.
O Princípio da Transparência possui respaldo constitucional e é uma importante norma para a Lei Geral de Proteção aos Dados que, em seu Art. 6º, VI, descreve majestosamente esse princípio como sendo a “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”. Nada mais é do que ser dada a publicidade de todas as fases do processo de tratamento dos dados aos titulares, permitindo que estes tenham consciência do que está sendo feito com as suas informações pessoais a todo o momento.
Ademais, o Princípio da Segurança, descrito no Art. 6º, VII, da supra lei, é descrito como a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”, enquanto o Princípio da Prevenção, nos termos do Art. 6º, VIII, implica a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.”. Ambos estão ligados pela ideia de proteção aos dados, tendo o primeiro a finalidade de preservar os dados em ambiente seguro e o segundo a de prevenir eventuais danos em razão do tratamento de dados, como bem preceitua Marcio Pestana (2020), professor e advogado.
Por último, mas não menos importante, há na LGPD os Princípios da Não Discriminação e o Princípio da Responsabilização e Prestação de Contas, tratados respectivamente nos incisos IX e X, do Art. 6º, da LGPD. Basicamente, o Princípio da Não Discriminação traz o viés de coibir a prática de atos elícitos e abusivos, já o Princípio da Responsabilização e Prestação de Contas traz um caráter de dever do agente em informar quanto a eficiência dos meios adotados para garantir a aplicabilidade da proteção aos dados.
A Fundação Instituto de Administração – FIA (2019), em períodico sobre a LGPD explica quanto a importância da inserção desta legislação no sitema brasileiro, como se vê a seguir:
Nesse contexto, a criação da LGPD é importante para dar mais clareza ao assunto, para que a determinação do que pode e o que não pode no tratamento de dados pessoais não seja subjetiva, questão de intuição ou opinião.
Assim, além dos usuários terem mais confiança em relação aos sistemas que coletam seus dados, as empresas podem ajustar seus processos com maior segurança jurídica, sem o risco de cometer ilegalidades sem saber. (Fundação Instituto de Administração – FIA, 2019)
Ante o exposto, evidencia-se a preocupação da LGPD em ter em seu corpo legal a presença de normas principiológicas para alicerçar o seu conteúdo jurídico, assim como é nas demais legislações, demonstrando a sua importância e seriedade na tarefa de proteger os dados pessoais.
5. A CRIAÇÃO DA AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS E SEUS PRIMEIROS ATOS
Diante da instituição da LGPD, era necessário descentralizar o poder de fiscalização e aplicação da lei, e desta forma, foi criada no mesmo texto de lei, a autarquia federal que serviria como marco à proteção de dados, tendo como seu principal objetivo, conforme estabelecido no art. 55-J, da Lei nº 13.709, “zelar pela proteção dos dados pessoais, nos termos da legislação” (Lei nº 13.709, 2018, BRASIL).
Apesar de sua criação se dar com o advento da LGPD, a Autoridade Nacional de Proteção de Dados – ANPD só foi formalmente instituída em 6 de novembro de 2020, tendo também sido a data de nomeação e posse de seus cinco diretores.
A ANPD, ainda estabeleceu o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD, órgão consultivo da ANPD, sendo um órgão colegiado que age com independência na prossecução das suas atribuições e competências, fazendo papel de fiscalizador e receptor de queixas quanto à eventuais infrações cometidas pelos regulados, prevista sua criação na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD)
Ainda, o Conselho Diretor da ANPD em novembro de 2021, instituiu sua primeira resolução, n.º 01/2021, aprovado de forma unânime, deliberou sobre a aprovação do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, “o Regulamento tem como principal objetivo o fomento a uma cultura de proteção de dados no País”, fricciona a ANPD em seu site (2021), tendo tal resolução o objetivo de analisar a conformidade dos agentes de tratamento de dados, prevenir práticas irregulares e reforçar a cultura de proteção de dados, além disso, a resolução prevê medidas de conscientização e orientação quanto ao tratamento de dados pessoais.
A resolução prevê também sobre os deveres, bem como as disposições processuais entre as unidades da ANPD e os agentes regulados, diante das fiscalizações realizadas. Publicada dia 28/10/21, a Resolução determina que o primeiro ciclo de monitoramento começará a valer a partir de janeiro de 2022, mas nada impede que atos infracionais sejam investigados e posteriormente punidos nos limites da lei, conforme preceitua o Art. 70, da resolução cd/anpd nº 1, de 28 de outubro de 2021.
Além disso, conforme exposto no site do Governo Federal na área dedicada a tratar sobre a Autoridade Nacional de Proteção de Dados (2021), desde a sua implementação, as fiscalizações e demandas feitas à Agência se mostram significativas, sendo dúvidas e consultas relativas ao cumprimento da Lei, manifestações de ouvidoria, pedidos de acesso à informação, petições de titulares de dados e denúncias de descumprimento à LGPD, sendo nítida a necessidade do órgão para direcionar o Brasil a estar acordo com o Regulamento Geral sobre a Proteção de Dados da União Europeia.
Ainda, no contexto elucidado pelo Governo Federal (2021), é imperioso anotar que com todo o empenho e determinação da ANPD em atingir sua missão de zelar pela proteção de dados pessoais, tem-se que a autonomia do órgão será alcançada perante a arrecadação obtida das multas e das sanções, que serão aplicadas já em 2022, com o início do segundo ano da ANPD, dando início a nova era de proteção de dados no Brasil.
6. O ACESSO AOS DADOS PESSOAIS E A DIFICULDADE DE ADEQUAÇÃO DAS INSTITUIÇÕES DE SAÚDE À LGPD
Vários são os desafios enfrentados para adequação das instituições à LGPD, seja em uma pequena empresa ou em uma multinacional, movimentando vários setores a fim de mapear os dados da empresa para ter conhecimento dos procedimentos adotados.
Para iniciar o tratamento de dados com segurança na prática, o passo inicial é mapear os dados da empresa, assim como todos os tratamentos que são realizados com os referidos dados pessoais, tanto de clientes, como dos próprios colaboradores, sendo esse um processo essencial na adequação da empresa à LGPD, pois com ele é que se poderá mensurar riscos e soluções, conforme leciona a doutrina:
O mapeamento de dados, também conhecido como inventário de dados, data mapping ou ainda data flow, como destacado, trata-se de um documento essencial no processo de adequação a legislação que tutela a proteção de dados no Brasil. O referido documento deve refletir o método e o processo pelo qual foi submetido os dados pessoais dentro da corporação, o que inclui os processos e procedimentos pelos quais o dado transita, desde sua origem (RODRIGUES et al. 2020, p. 68)
Nesse procedimento, os dados são mapeados desde a coleta até a sua eliminação ou armazenamento, visando analisar as vulnerabilidades técnicas e jurídicas do tratamento do dado.
Ressalta-se que, “em razão da natureza de informações relativas à saúde de uma pessoa (dados pessoais sensíveis), qualquer atividade de tratamento de dados pessoais deve prezar pela delimitação de finalidades, pela minimização do uso de informações e por uma acessibilidade e uma transparência ao titular, especialmente quando se pretende prevenir a propagação do Covid-19.” (SOARES, Paulo Vinícius de Carvalho; MELO, Leonardo Albuquerque, 2020)
Para que as empresas que atuam no Brasil, possam se adequar às determinações da LGPD, nas palavras de Rodrigues et al. (2020) “é primordial conhecer o modo como a informação é recebida, criada, armazenada, processada e acessada e quais os riscos relacionados a atividade de tratamento de dados pessoais”, pois é através desse relatório que a empresa irá ter uma noção macro de todos os dados constantes em seu banco de dados e que passam por seu tratamento, e a quais riscos que eles estão expostos, utilizando-se dessas informações para promover uma política de privacidade e segurança adequada às suas necessidades
Esta é uma visão geral de adequação à LGPD, entretanto, o cenário para as empresas que tratam de dados de saúde, como corretoras, planos de saúde e hospitais tem um fluxo imenso se comparados às tratativas de empresas de outras áreas.
Acompanhando este movimento, a Conselho Nacional de Saúde criou um Código de Boas Práticas, para servir de contribuição à classe, orientando quanto às condutas a serem praticadas pelos hospitais e laboratórios privados, conforme corrobora a doutrina:
É preciso que fique nítida a necessidade de uma segurança quanto ao tratamento de dados na saúde, pois a coleta de dados dos pacientes é diária, e, quando uma instituição se encontra respaldada perante a lei de proteção de dados, ela transmite uma confiança e segurança para seus pacientes, informando como esses dados serão armazenados, para qual fim, deixando-os em uma situação confortável de escolha quanto às informações passadas (SOARES; MELO, 2020).
Não é uma problemática simples, enquanto, por exemplo, uma empresa que usa os dados dos seus clientes para enviar promoções via e-mail ou mensagem de texto e, eventualmente, quiser apagar os dados desses clientes ou que seja solicitado por estes a exclusão, prontamente a empresa apagaria os dados, já se exonerando no ônus de ter que proteger o dado de tal cliente.
Nesse mesmo viés, o Conselho Federal de Medicina, na Resolução n.º 1.821/07, estabelece que os documentos médicos em papel devem ser arquivados por tempo não inferior a 20 (vinte) anos, a partir da data do último registro de atendimento do paciente e, neste caso, mesmo que o paciente não seja mais atendido por aquele hospital, ou não seja mais beneficiário do plano de saúde em questão, é obrigação do nosocômio por lei, assegurar esses dados até findar o prazo, o que gera um risco muito maior aos estabelecimentos que lidam com saúde de seus clientes, tendo que guardar esses dados por muito tempo antes de poderem ser descartados, se sobrepondo à aplicação da LGPD na saúde, que dá o direito ao titular de solicitar a exclusão de seus dados.
Na saúde pública, o problema é ainda maior, enquanto as empresas privadas aceleram o ritmo de adequação, as Unidades de Pronto Atendimento e postos de saúde municipais vão em rumo contrário, segundo dados apurados pela MV sistema e consultoria de gestão para a área da Saúde (2021) “a segurança da informação nunca foi vista como um ativo de valor dentro da gestão de Saúde Pública para receber um investimento adequado.”, demonstrando que investir em segurança de dados na saúde pública, mesmo estando a alguns meses do começo da fiscalização, não é uma prioridade, abrindo uma brecha à ataques hackers ou vazamentos diversos de informação, implicando em multa.
Já no sistema de redes privadas de saúde, os dados acabam sendo distribuídos entre os hospitais, operadoras de saúde e laboratórios diagnósticos, que fazem o repasse de dados, tornando o data-mapping mais simples de distribuir. Porém, na saúde pública, desde a concepção do dado, a todos os tratamentos realizados pelo Operador de dados, são unificados no banco de dados do SUS a nível nacional, tornando o processo de adequação à LGPD dificultoso e complexo, além da necessidade de esforço conjunto de gestores e da sociedade, conforme contribui Suéllyn Mattos de Aragão e Taysa Schiocchet:
[…] os caminhos que o SUS terá de trilhar para atender às exigências estabelecidas na LGPD são complexos e demandarão esforços conjuntos de gestores, técnicos e sociedade civil. Essa última terá em mãos um instrumento legítimo e valioso para exigir que seus dados pessoais e sensíveis sejam resguardados dentro de um mínimo ético e legal, sob pena de os infratores responderem a sanções duríssimas[…] (ARAGÃO; SCHIOCCHET, 2020, p. 704).
Outro problema que atinge tanto o âmbito privado e o público, é digitalizar os dados que ainda estão em papel, necessitando de programas de gestão de saúde que otimizem os processos de trabalho, para então ter mais controle sobre os tratamentos de dados utilizados no processo, como recomenda o Portal Hospitais Brasil:
Os programas de gestão de informação criam critérios de captura, ordenação e acesso a dados e informações sensíveis e sigilosas de pacientes, como históricos médicos e fichas cadastrais. Dessa forma, não só a segurança e a privacidade desses dados são asseguradas, mas também aumenta a produtividade das instituições ao otimizar processos e simplificar fluxos de trabalho. Para a empresa, isso se traduz em benefícios operacionais, relacionados à Compliance e até financeiros, com redução de despesas e aumento da produtividade de colaboradores (PORTAL HOSPITAIS BRASIL, 2021).
É cristalino que o intuito da LGPD é trazer avanços e segurança, evitando que os dados sejam utilizados para um intuito diverso ao qual fora acordado no momento da coleta, bem como busca proporcionar às empresas uma economicidade no armazenamento de dados, fazendo com que estas solicitem do titular apenas as informações necessárias para atingir o fim desejado, sem que haja um exagero, conforme nota-se pelos princípios elucidados no art. 6º da LGPD.
Por isso, as instituições de saúde devem se atentar à implementação da LGPD, pois a lei deixa claro que os pacientes são os proprietários exclusivos dos seus dados pessoais, fornecendo dados de saúde, fazendo com que quase todos os dados tratadas sejam de categoria sensível, sendo necessário, nas corretas palavras de Carlos Bracarense (2021) “disseminar a cultura de tratamento adequado de dados em todos os seus níveis, do gestor da alta cúpula à recepcionista.”, a fim de evitar multas que podem chegar até 2% do faturamento por infração.
Por fim, é nítida a diferença entre a velocidade de adequação das entidades de saúde públicas em relação às privadas, bem como é dificultoso a adequação à LGPD da saúde como um todo, sendo que a cultura de coleta exagerada de dados contribuiu para isso. Ao se limitar a minimizar a coleta de dados sensíveis àquilo que é estritamente necessário para boa execução dos serviços de saúde, possibilita o banco de dados, tanto do SUS quanto das entidades privadas, a estar em consonância com à LGPD.
Ainda nesse viés, é cristalina a necessidade de investimentos e auxílio maior dos órgãos públicos de saúde, a fim de auxiliar as entidades de saúde na adequação à LGPD, bem como investimentos em conscientização, reconsiderando formas de manter a integridade dos dados de seus usuários.
7. O REMÉDIO CONSTITUCIONAL PARA ACESSO AOS DADOS PESSOAIS – HABEAS DATA
A utilização do habeas data é importante meio para acessar os dados pessoais, aqui envolvidos os referentes à saúde. A sua aplicação no acesso aos dados médicos encontra-se no fato de que ao realizar um atendimento médico ou hospitalar o paciente deixa seus dados expostos para a pessoa jurídica ou natural responsável por realizar o seu acompanhamento e, este tem direito de obter conhecimento da forma que seus dados são tratados após a coleta, podendo se utilizar do Habeas Data para os casos em que lhe for denegado esse acesso, como será exposto nos parágrafos seguintes.
Assim sendo, consagra-se no artigo 5º, LXXII, da Constituição Federal que:
LXXII – conceder-se-á “habeas-data”:
a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;
b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo (BRASIL, 1988).
Ainda, na norma infraconstitucional – Lei nº 9.507/97, responsável por regular o acesso à informação e disciplinar o presente remédio constitucional, encontramos que será possível a impetração do Habeas Data “para a anotação nos assentamentos do interessado, de contestação ou explicação sobre dado verdadeiro, mas justificável e que esteja sob pendência judicial ou amigável.”, ou seja, para complementação dos dados pessoais.
Frisa a conceituação elucidada por Flávia Bahia, quanto ao que seria considerado dados pessoais que possibilitam a impetração do Habeas Data, in verbis:
Dados pessoais são aqueles relacionados ao nome, saúde, escolaridade. Trabalho, estado civil, etc. Não confundir dados pessoais com dados públicos de interesse particular. Ex.: informação acerca de data de término da obra na rua da residência do sujeito. Dados públicos que não sejam de natureza pessoal devem ser objeto de mandado de segurança. se for o caso (BAHIA, 2017, p. 208)
Desta forma, o Habeas Data pode ser conceituado como o remédio constitucional utilizado para assegurar que o cidadão obtenha acesso aos seus dados e informações que estiverem sob o controle das pessoas jurídicas de direito público ou privado, lhe garantido a possibilidade de conhecer, retificar e complementar os dados pessoais.
Ainda, destaca-se o fato de que o Habeas Data é um remédio personalíssimo e, em regra, somente pode ser impetrado pelo titular dos dados. Porém, o Superior Tribunal de Justiça (1989), quando ainda era conhecido como Tribunal Federal de Recursos, decidiu que também podem se utilizar desse remédio constitucional os herdeiros legítimos ou o cônjuge do falecido. De acordo com a jurisprudência:
CONSTITUCIONAL – HABEAS-DATA – CONSTITUIÇÃO FEDERAL – ART. 5, LXXII,(A) E (B) E XXXIII – ARTS. 102, I, (D), E 105, I, (B). 1 HABEAS DATA: SEGURANÇA JURIDICA PARA A OBSERVANCIA E GARANTIA DE DIREITOS FUNDAMENTAIS, NO ASPECTO DA RESERVA LEGAL DA INTIMIDADE OU PRIVACIDADE. 2 ANCORADO EM NORMA CONSTITUCIONAL PRECEPTIVA PROMANA EFICACIA PLENA, COMO REMEDIO ASSENTADO NO DIREITO PUBLICO SUBJETIVO, PRESCINDINDO DE INTERPOSITIO LEGISLATORIS. 3 EM SE TRATANDO DE DADO PESSOAL ( OU PERSONALISSIMO), SOMENTE A PESSOA EM CUJO NOME CONSTAR O REGISTRO TEM LEGITIMAÇÃO ATIVA
AD CAUSAM OU LEGITIMAÇÃO PARA AGIR, EXCEÇÃO FEITA AOS MORTOS, QUANDO, ENTÃO, O HEREDEIRO LEGITIMO OU O CONJUGE SUPERSTITE PODERÃO IMPETRAR O WRIT. 4- FALTANTE O DELINEAMENTO PROCEDIMENTAL ESPECIFICO, ATE QUE A LEGISLAÇÃO ORDINARIA VENHA A ESTABELECER O PROCEDIMENTO BEM ADEQUADO A ESPECIE, E POSSIVEL, VIA DA APLICAÇÃO ANALOGICA, A INVOCAÇÃO DA LEI 1533/51 (ATO N. 1245/88-TFR). 5 O DIREITO DE AÇÃO RELATIVAMENTE AO HABEAS DATA NASCE DA NEGATIVA
NO FORNECIMENTO DAS INFORMAÇÕES, SENDO INDISPENSAVEL A PROVOCAÇÃO DE UM ATO GERADOR DE CONFLITO PARA ATRAIR O PROVIMENTO JUDICIAL. 6 FRENTE A CLAUSULA DO SIGILO (ART. 5, XXXIII, C.F.), POR INDECLINAVEL SUBMISSÃO AO INTERESSE PUBLICO (SEGURANÇA DA SOCIEDADE E DO ESTADO), NÃO E ABSOLUTO O DIREITO DE ACESSO AS INFORMAÇÕES. COMPETE AO JUDICIARIO EXAMINAR A ALEGAÇÃO DO SIGILO, AVALIANDO DA SUA PROCEDENCIA OU NÃO, COMPATIBILIZANDO A SEGURANÇA DO ESTADO COM O DIREITO A REVELAÇÃO DAS INFORMAÇÕES PRETENDIDAS. 7 NO CASO, INEXISTINDO ANTECEDENTE PEDIDO ADMINISTRATIVO, DESNATURADA A RESISTENCIA, AUSENTE O INTERESSE DE AGIR, DECLARA-SE EXTINTO O PROCESSO.
8- HABEAS DATA NÃO CONHECIDO. (HD n. 1/DF, Pleno do TFR, DJ de 2 de maio de 1989).
Ante tudo que fora exposto até o presente momento, é evidente que por se tratar os dados referentes à saúde como sendo dados pessoais do paciente, caberá a impetração de Habeas Data para que o titular desses dados possa obter o conhecimento, fazer a retificação, bem como complementar os dados que possam estar incompletos.
Por fim, destaca-se o fato que é requisito essencial para utilização desse remédio que tenha ocorrido a negativa de acesso aos dados pessoais por parte da autoridade que os detém ou então que tenha ocorrido o decurso de mais de 10 (dez) dias sem que tenha sido dada qualquer decisão quanto à solicitação junto à autoridade para obtenção do acesso aos dados, conforme súmula 2 do Superior Tribunal de Justiça, bem como Art. 8º, §1º, da Lei nº 9.507/97.
Importante elucidar-se algumas decisões jurisprudências dos tribunais espalhados por todo Brasil que exemplificam o cabimento e funcionamento do presente remédio constitucional, in verbis:
Poder Judiciário da União TRIBUNAL DE JUSTIÇA DO DISTRITO FEDERAL E DOS TERRITÓRIOS Gabinete do Des. Gilberto Pereira de Oliveira Número do processo: 0708597-18.2018.8.07.0000 Classe judicial: HABEAS DATA (110) IMPETRANTE: SORAYA DE JESUS GOUVEA IMPETRADO: SECRETÁRIO DA SAÚDE DO DISTRITO FEDERAL EMENTA CONSTITUCIONAL E ADMINISTRATIVO. HABEAS DATA. ACESSO A DOCUMENTOS DO IMPETRANTE. INFORMAÇÕES FUNCIONAIS. CERTIDÃO DE TEMPO DE SERVIÇO E PERFIL PROFISSIOGRÁFICO. RECUSA ADMINISTRATIVA IMPLÍCITA. CARACTERIZADA. DECURSO DE APROXIMADAMENTE UM ANO. SEM RESPOSTA. CONCESSÃO DA ORDEM. MULTA COMINATÓRIA. EM CASO DE DESCUMPRIMENTO. FIXADA. 1. É cabível o Habeas Data em face do Secretario de Saúde do Distrito Federal, quando este, se recusa, mesmo que de forma implícita, pela demora excessiva em fornecer informações da impetrante, consistentes no tempo de serviço e perfil profissiográfico, para fins de exercício de direitos previdenciários. 2. A Lei do Habeas Data é clara ao estatuir que, não só será considerada, para fins de impetração do presente remédio, a prova cabal da recusa administrativa, como também o decurso de prazo razoável, o qual a lei expressamente aduz ser de 10 ou 15 dias a depender do caso, para que seja configurada, mesmo que implicitamente, a recusa no fornecimento da informação. 3. A impetrante não pode ser prejudicada e podada do exercício do seu direito a obter informações, tão necessárias para a fruição de seus direitos previdenciários, pela desorganização interna do órgão no acondicionamento dos documentos funcionais de seus servidores. 4. Ordem concedida. (TJ-DF 07085971820188070000 DF 0708597-18.2018.8.07.0000, Relator: GILBERTO PEREIRA DE OLIVEIRA, Data de Julgamento: 11/12/2018, 1ª Câmara Cível, Data de Publicação: Publicado no DJE : 18/12/2018 . Pág.: Sem Página Cadastrada.)
HABEAS DATA. IMPETRANTE QUE SE ENCONTRA CUSTODIADO. PROBLEMAS DE SAÚDE. ATENDIMENTO NA UNIDADE PRISIONAL. PLEITO QUE VISA OBTER PRONTUÁRIO MÉDICO PARA COMPROVAR O ALEGADO ESTADO DE SAÚDE. INDEFERIMENTO DA LIMINAR. PRONTUÁRIO OFERTADO PELA SEAP NOS AUTOS. PERDA DO OBJETO. ART. 1.018, § 1º DO CPC/2015. 1. Hipótese em que o Impetrante visa obter prontuário médico para comprovar o alegado estado de saúde. Prontuário ofertado pela SEAP nos autos. 2. Perda do objeto. Falta de interesse processual superveniente. 3. Extinção do feito. Inteligência do artigo 485, VI, CPC.(TJ-RJ – HD: 00272971620198190000, Relator: Des(a). MÔNICA MARIA COSTA DI PIERO, Data de Julgamento: 22/07/2019, OITAVA CÂMARA CÍVEL)
CONSTITUCIONAL – HABEAS DATA – ACESSO A INFORMAÇÕES EXISTENTES EM ARQUIVOS DA SECRETARIA DE ESTADO DA SAÚDE – AUSÊNCIA DE INTERESSE PROCESSUAL – INADEQUAÇÃO DA VIA ELEITA. – 1) A tutela pleiteada na ação mandamental diz respeito ao direito da impetrante em obter informações junto a Secretaria de Estado da Saúde. – 2) Independentemente da finalidade e pelo disposto na legislação (art. 5º, LXXII, a e b, da CF/88 e art. 7º, I, II e III, da Lei 9.507/1997) há necessidade de demonstração de que a informação pleiteada diz respeito à pessoa da impetrante, o que não aconteceu na hipótese. – 3) Verificando-se que a impetrante não busca o conhecimento de informações constantes de registros públicos, nem a retificação de dados, sequer a anotação de contestação ou explicação em assentamentos, outra solução não há senão a extinção da ação pela ausência de interesse e inadequação da via processual. (TJ-AP – HD: 00024627620178030000 AP, Relator: Desembargadora SUELI PEREIRA PINI, Data de Julgamento: 31/01/2018, Tribunal)
PROCESSUAL CIVIL. AGRAVO INTERNO NO HABEAS DATA. ACESSO À INFORMAÇÃO. RECUSA ADMINISTRATIVA. AUSÊNCIA DE COMPROVAÇÃO. FALTA DO INTERESSE DE AGIR. 1. A Lei n. 9.507/1997, disciplinadora do rito processual do habeas data, impõe, em seu art. 8º, parágrafo único, I, que a petição inicial deve ser instruída com prova “da recusa ao acesso às informações ou do decurso de mais de dez dias sem decisão”. 2. Na hipótese, embora o impetrante afirme o não fornecimento, pelo Comando da Aeronáutica, dos dados capazes de provar a motivação política de sua anterior exclusão dos quadros da Força Aérea, não comprova essa recusa ao ajuizar a ação. 3. Conforme o entendimento dos Tribunais Superiores, a ausência da comprovação da recusa ao fornecimento das informações caracteriza falta de interesse de agir. Precedentes. 4. Agravo interno a que se nega provimento. (STJ – AgInt nos EDcl no HD: 388 RJ 2020/0014791-0, Relator: Ministro OG FERNANDES, Data de Julgamento: 14/10/2020, S1 – PRIMEIRA SEÇÃO, Data de Publicação: DJe 21/10/2020)
Além do mais, a própria Lei Geral de Proteção aos Dados garante ao titular a possibilidade de correção das informações que estiverem erradas, incompletas ou que necessitem de atualização.
Portanto, é perfeitamente cabível a impetração do Habeas Data para obter o conhecimento dos dados pessoais que estão em posse de uma autoridade do setor da saúde, podendo o paciente verificar de que forma está se dando o tratamento dos seus dados pessoais, já que é uma garantia, com respaldo constitucional e infraconstitucional, ter acesso às informações pertinentes a sua pessoa.
8. CONSIDERAÇÕES FINAIS
Ante as elucidações apresentadas neste artigo, conclui-se que a Lei Geral de Proteção aos Dados é uma importante norma infraconstitucional que se moldou ao longo do tempo e possui bastante influência europeia extraída do Regulamento Geral sobre a Proteção de Dados 2016/679.
Destaca-se que a LGPD tem um viés garantista, ao buscar possibilitar a proteção aos dados de caráter personalíssimo, bem como propiciar para os titulares o acompanhamento da forma que está ocorrendo o tratamento de suas informações pessoais nos bancos de dados das pessoas jurídicas.
A área da saúde é uma das áreas que mais sentirá dificuldade na adequação à lei, devido a grande quantidade de dados, e a grande maioria dos dados serem sensíveis, necessitando uma proteção especial para evitar qualquer tratamento desnecessário, pois os titulares, além de tudo, têm o direito de serem notificados sobre qualquer tratamento de seus dados, assim como o de se opor ao seu uso, consultá-los ou fazer retificações.
Retomando a questão norteadora: as entidades de saúde pública e privada estão se adaptando ao sistema legislativo da LGPD? Conclui-se que as entidades de saúde privativas têm caminhado lentamente à implementação de plataformas de gestão que visem adequar a sua forma de tratamento de dados ao que exige a LGPD, enquanto que no SUS, apesar da implementação do E-SUS, há visível necessidade de melhora na proteção de dados sensíveis dos pacientes e de boas práticas em segurança da informação, necessitando-se de medidas céleres a fim de adequação à Lei, uma vez que principalmente com documentos em folhas de papel e coleta de dados sensíveis desnecessários em alguns atendimentos.
Vê se ainda que as entidades públicas não têm atualmente como foco principal a adequação do tratamento de dados pessoais dos usuários, uma vez que isso exige o incremento de certos valores e para isso há toda uma burocracia, além do fato que hospitais públicos muitas vezes são insalubres por não haver verba para uma reforma, então quem dirá para adequar os seus sistemas e informatizar a tramitação de dados.
Por outro lado, as entidades do ramo privado possuem uma maior autonomia para aplicar os seus rendimentos nas questões ligadas a informatização, o que propicia para a garantia de segurança de dados, evitando a ocorrência de problemas relacionados a privacidade dos titulares.
Além disso, a lei é útil ao aliar a tecnologia com os avanços na área da saúde, garantindo uma conversação entre todos os ramos.
De toda forma, a LGPD surgiu com o intuito de proteger os dados pessoais dos cidadãos e manter a privacidade desses usuários, mas também para dar uma maior segurança jurídica aos titulares de dados e as empresas responsáveis pelo armazenamento.
REFERÊNCIAS
ADVOGADOS, Assis e Mendes. Histórico das leis de proteção de dados e da privacidade na internet. Disponível em: <https://assisemendes.com.br/historico-protecao-de-dados/>. Acesso em: 28 out. 2021.
ALECRIM, Emerson. O que você deve saber sobre a lei de proteção de dados pessoais no Brasil. Disponível em: <https://tecnoblog.net/250718/lei-geral-protecao-dados-brasil/>. Acesso em: 25 out. 2021.
ARAGÃO, Suéllyn Mattos de; SCHIOCCHET, Taysa. Lei Geral de Proteção de Dados: desafio do Sistema Único de Saúde. RECIIS – Revista Eletrônica de Comunicação, Informação e Inovação em Saúde, Rio de Janeiro, v. 14, n. 3, p. 692-708, jul./set. 2020. Disponível em: <https://www.arca.fiocruz.br/handle/icict/43716>. Acesso em: 25 nov. 2021.
Autoridade Nacional de Proteção de Dados (ANPD) completa 1 ano. Governo do Brasil. 2020. Disponível em: <https://www.gov.br/anpd/pt-br/ANPD%20completa%201%20ano>. Acesso em: 22 nov. 2021.
BAHIA, Flávia. Descomplicando Direito Constitucional. Dourado, Sabrina(coord.). 3ª Edição- Recife, PE: Armador, 2017.
BRACARENSE, Carlos Magno. LGPD na saúde: seus impactos e desafios. 03 agos. 2021. Disponível em: <https://www.migalhas.com.br/depeso/349454/lgpd-na-saude-seus-impactos-e-desafios>. Acesso em: 23 nov. 2021
BRASIL. Constituição da República Federativa do Brasil: promulgada em 5 de outubro de 1988. Brasília: Senado, 1988.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União (DOU), Brasília, DF, 15 ago. 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em: 09 set. 2021
BRASIL. Resolução cd/anpd nº 1, de 28 de outubro de 2021. Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados. Diário Oficial da União (DOU), Brasília, DF, 29 out.. 2021. Disponível em: <https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-outubro-de-2021-355817513>. Acesso em: 25 nov. 2021
BRASIL. Superior Tribunal de Justiça. Jurisprudência. Disponível em: <https://scon.stj.jus.br/SCON/>. Acesso em: 12 nov. 2021.
BRASIL. Superior Tribunal de Justiça. Jurisprudência do TFR. Jurisprudência. Disponível em: <https://scon.stj.jus.br/SCON/juritfr/doc.jsp?livre=HERDEIRO+LEG%CDTIMO+OU+O+C%D4NJUGE+SUP%C9RSTITE&b=TFRC&p=true&thesaurus=&l=20&i=5&operador=e>. Acesso em: 26 nov. 2021
BRASIL. Tribunal de Justiça do Distrito Federal e dos Territórios. Jurisprudência. Disponível em: <https://www.tjdft.jus.br/consultas/jurisprudencia-e-precedentes>. Acesso em: 12 nov. 2021.
BRASIL. Tribunal de Justiça do Estado do Amapá. Jurisprudência. Disponível em: <https://tucujuris.tjap.jus.br/tucujuris/pages/consultar-jurisprudencia/consultar-jurisprudencia.html>. Acesso em: 12 nov. 2021.
BRASIL. Tribunal Regional Federal da 5ª Região. LGPD – LEI GERAL DE PROTEÇÃO DE DADOS. SOBRE A LGPD. Disponível em: <https://www.trf5.jus.br/index.php/lgpd/sobre-a-lgpd>. Acesso em: 23 nov. 2021.
CARVALHO, João Paulo Furtado. História da Privacidade de Dados e suas Legislações. ZUP, 2021. Disponível em: <https://www.zup.com.br/blog/historia-da-privacidade-de-dados>. Acesso em: 25 out. 2021.
Conselho Diretor aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados. Governo do Brasil. 29 out. 2021. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/conselho-diretor-aprova-o-regulamento-do-processo-de-fiscalizacao-e-do-processo-administrativo-sancionador-no-ambito-da-autoridade-nacional-de-protecao-de-dados>. Acesso em: 25 nov. 2021
Evolução Histórica da Proteção de Dados e o Direito à Privacidade. Observatório de Direito Internacional do Rio Grande do Norte. 24 set. 2020. Disponível em: <https://obdi.ccsa.ufrn.br/2020/09/24/evolucao-historica-da-protecao-de-dados-e-o-direito-a-privacidade/>. Acesso em: 25 nov. 2021.
KASEMIRSKI; ROCHA; RODRIGUES et al. Empresas e a Implementação da Lei Geral de Proteção de Dados. Editora Juspodivm, 1ª Ed., Ano 2021. ISBN: 978-65-5680-161-2.
LEI Geral de Proteção de Dados Pessoais (LGPD). Tribunal Regional Federal da 3ª Região, 2020. Disponível em: <https://www.trf3.jus.br/lei-geral-de-protecao-de-dados-pessoais-lgpd/principios>. Acesso em: 27 out. 2021.
LGPD: o que é, principais determinações e resumo. FIA – Fundação Instituto de Administração, 30 dez. 2019. Disponível em: <https://fia.com.br/blog/lgpd/>. Acesso em: 25 out. 2021.
LUGATI, Lys Nunes; ALMEIDA, Juliana Evangelista de. Da evolução das legislações sobre proteção de dados: a necessidade de reavaliação do papel do consentimento como garantidor da autodeterminação informativa. Revista De Direito. Viçosa. Issn 2527-0389. V.12 N.02 2020. Disponível em: <https://periodicos.ufv.br/revistadir/article/view/10597/5880>. Acesso em: 25 nov. 2021.
MELLO, Celso Antônio Bandeira. Curso de Direito Administrativo. 26 ed. São Paulo: Malheiros. 2009. p. 882 – 883)
Monitoramento da ANPD sobre proteção de dados começa em janeiro de 2022. Revista Consultor Jurídico, 2021. Disponível em: <https://www.conjur.com.br/2021-out-29/monitoramento-anpd-comeca-janeiro-2022>. Acesso em: 21 nov. 2021
MV gestão para área da Saúde. 6 desafios da gestão da Saúde Pública na adequação à LGPD. Disponível em: <https://mv.com.br/blog/6-desafios-da-gestao-da-saude-publica-na-adequacao-a-lgpd>. Acesso em: 25 out. 2021.
Pandemia acelera corrida por digitalização na saúde. Portal Hospitais Brasil. 06 out. 2020. Disponível em: <https://portalhospitaisbrasil.com.br/pandemia-acelera-corrida-por-digitalizacao-na-saude/>. Acesso em: 25 nov. 2021.
PESTANA, Marcio. Os princípios no tratamento de dados na LGPD (Lei Geral da Proteção de Dados Pessoais). São Paulo: Revista Consultor Jurídico, 2020. Disponível em: <https://www.conjur.com.br/dl/artigo-marcio-pestana-lgpd.pdf>. Acesso em: 14 out. 2021.
PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à Lei n 13.709/2018. 2. ed. São Paulo: Saraiva Educação, 2020.
REALE, Miguel. Filosofia do Direito. 11. ed. São Paulo: Saraiva, 1986. p 60.
REINALDO FILHO, Demócrito. A Diretiva Europeia sobre proteção de dados pessoais. Uma análise de seus aspectos gerais. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 18, n. 3507, 6 fev. 2013. Disponível em: <https://jus.com.br/artigos/23669>. Acesso em: 21 nov. 2021.
SOARES, Paulo Vinícius de Carvalho; MELO, Leonardo Albuquerque. Migalhas. COMO CONCILIAR SAÚDE E PROTEÇÃO DE DADOS EM TEMPOS DO CORONAVÍRUS. 20 mar. 2020. Disponível em <https://www.migalhas.com.br/depeso/322099/como-conciliar-saude-e-protecao-de-dados-em-tempos-do-coronavirus>. Acesso em: 18 nov. 2021.
UE e Estados Unidos fecham acordo para proteger a privacidade na internet. G1. 12 set. 2016. Disponível em: <http://g1.globo.com/tecnologia/noticia/2016/07/ue-e-estados-unidos-fecham-acordo-para-proteger-privacidade-na-internet.html>. Acesso em 25 nov. 2021.
[1] Graduando em Direito pelo Centro Universitário São Lucas (RO). ORCID: https://orcid.org/0000-0002-9007-9431.
[2] Graduando em Direito pelo Centro Universitário São Lucas (RO). ORCID: https://orcid.org/0000-0002-6664-5982.
[3] Orientador. ORCID: https://orcid.org/0000-0001-5518-9988.
Enviado: Novembro, 2021.
Aprovado: Dezembro, 2021.