Coordenadores: Miguel Kfouri Neto e Rafaella Nogaroli
Uma análise detida da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018, ou apenas LGPD) revela diversas peculiaridades, muitas delas compreendidas nas entrelinhas dos vários dispositivos da lei, revelando desafios que não pretendo esgotar nessas brevíssimas linhas. Bem ao contrário, o intuito almejado é de, singelamente, descortinar algumas questões inquietantes sobre o tratamento de dados relativos à saúde.
De início, convém registrar que o tratamento dos dados pessoais é realizado a partir de requisitos estabelecidos textualmente nos artigos 7º e 11 da LGPD. São as hipóteses que se convencionou chamar de ‘bases legais’, cuja listagem se refere ao tratamento de dados pessoais, nas situações do artigo 7º, e de dados pessoais sensíveis, nas do artigo 11.
Quanto ao tratamento de dados na área da saúde, tendo em vista tratar-se de atividade relacionada a dados eminentemente sensíveis, a base legal mais precisa para a realização do tratamento é aquela descrita na alínea “f” do inciso II do artigo 11, cuja redação também contém condicionantes específicas: deve se dar em procedimento realizado por profissionais da área da saúde, serviços de saúde ou autoridade sanitária. É importante ressaltar, ainda, que a referida alínea foi objeto de alteração pela Medida Provisória nº 869/2018 (posteriormente convertida na Lei nº 13.853/2019) para incluir os “serviços de saúde” no rol de pessoas autorizadas a se valerem dela, mas, de fato, o detalhe que mais chama a atenção em sua leitura é a amplitude do que se pode considerar “procedimento” para os fins de tratamento de dados pessoais sensíveis relacionados à saúde.
Nota-se, portanto, a necessidade de elucidação mais aprofundada do termo “procedimento” para que se discuta a extensão dessa base legal, sob pena de não haver condições totalmente claras para que seja utilizada como fundamento do tratamento de dados. Por certo, o labor regulatório infralegal da Autoridade Nacional de Proteção de Dados – ANPD será essencial para aclarar o contexto de incidência dessa base legal.
Outra peculiaridade que se observa é a opção do legislador brasileiro pela alocação dos dados relativos à saúde (considerados em sentido amplo) no conceito de ‘dados pessoais sensíveis’ (art. 5º, II). Diversamente, o legislador europeu cuidou de distinguir textualmente os dados genéticos, os dados biométricos e os dados relativos à saúde (art. 4º, nºs 13, 14 e 15, respectivamente, do Regulamento UE 2016/679, o RGPD). Estes últimos são conceituados pelos europeus como “dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde”.
Voltando à LGPD, caso não haja condições para a aplicação da base legal de tutela da saúde, o consentimento do titular de dados surgirá como alternativa plausível para a realização do tratamento de dados. E, nesse particular, convém ressaltar que o consentimento é tido pelo legislador como verdadeiro “gatilho” para a filtragem da coleta indevida de dados.
Em síntese, optou-se por admitir o tratamento, mediante coleta consentida de dados pessoais, inclusive de dados pessoais sensíveis (arts. 5º, X e 11, I), mas exige-se a observância de finalidade específica (que é, aliás, princípio expresso da lei). Tudo parte da necessidade de um “novo olhar” sobre a informação. Na medida em que o consentimento passa a ser o critério fundamental para a coleta, torna-se essencial que o indivíduo saiba discernir os limites e os riscos que enfrentará ao fornecer seus dados a determinado agente.
Nesse aspecto, merece menção a distinção que se faz entre o consentimento para a realização do atendimento médico e o consentimento relativo ao tratamento de dados pessoais. Sobre o tema, Flaviana Rampazzo Soares explica que “é possível afirmar que o [consentimento do paciente no atendimento em saúde] está sujeito à LGPD no que tange aos dados e informações a ela relacionados, e não quanto ao objeto e objetivo do consentimento em si (que é um específico atendimento), e a incidência da LGPD se circunscreverá ao que disser respeito ao tratamento de dados”.[1]
Nessas breves reflexões, há outras questões a serem lembradas, como a desnecessidade da forma escrita – embora esta seja desejável em razão dos riscos inerentes à adoção de outras formas[2] – para o consentimento para o tratamento de dados pessoais (cf. artigo 8º da LGPD, que remete ao art. 7º, I, quanto aos dados pessoais não sensíveis), ou a distinção entre os adjetivos “específica” e “destacada”, que a lei atribui ao consentimento, no artigo 11, inciso I, da LGPD (para dados sensíveis).
Outro ponto que se deve destacar concerne à consideração e à valoração das ações de cada agente de tratamento (controlador ou operador, segundo conceitos do art. 5º, VI e VII), pois podem implicar responsabilização civil solidária entre controladores ou entre controlador e operador, por expressa previsão dos incisos do artigo 42, §1º.
Nos dizeres de Bianca Kremer:
Pode-se vislumbrar o operador enquanto um parceiro técnico especializado, o qual é designado para a execução de tarefas específicas com o objetivo de alcançar metas preestabelecidas, a serem definidas pelo controlador de dados. O operador de dados não controla os dados nem possui poderes par alterar o uso ou a finalidade a que se destinam.[3]
Para afastar eventual dúvida quanto ao enquadramento, por exemplo, do empregado ou do servidor público no conceito de “operador” da LGPD – o que pode valer para profissionais da saúde que atuam com vínculo de emprego ou que integrem os quadros da Administração Pública –, em 28 de maio de 2021, a ANPD emitiu pronunciamento mais detalhado sobre os limites conceituais dessa figura (o operador de dados), prevendo, no item 58 de seu guia, que “o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.”[4]
Na Europa, para esclarecer dúvida similar, foi editada a Guideline nº 07/2020[5], na qual restou definido, a despeito de algumas brechas[6], que o empregado não pode ser considerado operador nas atividades de tratamento de dados, pois atua como “longa manus” de seu empregador (item 76[7]); da mesma forma, embora se reconheça que nem sempre, mas na maioria das vezes, o empregador será também controlador, foi destacado na referida guideline que um agente com poder de decisão, como um CEO (eleito ou não), um empregado, ou um membro de board de empresa (que pode ser um gestor hospitalar ou de clínica de atendimento à saúde), não pode ser considerado controlador para fins de responsabilização direta (item 18[8]), o que denota o intuito de proteção às relações de emprego e societárias.
Isso tem enorme relevância para o contexto da saúde, pois decisões dificílimas são tomadas a todo momento, por vezes sem que se tenha absoluta segurança quanto aos resultados que se poderá esperar. Relatórios, prontuários, exames clínicos e outros documentos que se constituem de dados relativos à saúde (sendo, portanto, sensíveis) são obtidos de fontes diversas, por vezes a partir de sistemas informáticos interoperáveis e que envolvem outros controladores e operadores (clínicas, laboratórios, outros profissionais ou até mesmo bases públicas, como as do Sistema Único de Saúde). Em meio a esse vasto arcabouço de dados, quem toma uma decisão informada é o profissional da saúde (médico, enfermeiro, cirurgião dentista etc.), que é, por vezes, um empregado ou sócio.
Que não se confunda a decisão clínica com a decisão quanto ao tratamento de dados, como já foi registrado anteriormente, mas a linha que as distingue é usualmente tênue. São decisões que dependem de dados, e é sabido que o mero acesso, por exemplo, configura atividade de tratamento (art. 5º, X, LGPD). Por outro lado – e, nesse ponto, a guideline europeia indica previsões elogiáveis –, toda aferição do conceito de controlador (lá contido no art. 4º, n. 7) envolve uma apreciação factual, e não formal, a partir de leitura funcional do papel do agente.
Significa dizer que, embora o consentimento seja desejável, nem sempre poderá ser facilmente obtido pelo profissional da saúde. No mais das vezes, será até mesmo despiciendo obtê-lo, haja vista a complexidade da decisão clínica, a urgência do acesso ao banco de dados e a complexidade da cognição de enorme acervo de dados relativos à saúde do paciente, que instruirão o modo de proceder do profissional. Quanto a isso, não há dúvidas de que o embasamento legal para a atividade será a tutela da saúde descrita no artigo 11, II, “f”, da LGPD.
Quanto ao mais, a reiteração de boa parte do conteúdo do art. 7º no art. 11 indica a intenção do legislador de atribuir especial cautela na definição das hipóteses para o tratamento dos dados pessoais sensíveis. Optou-se por atribuir maior proteção àquela categoria de informações tida por mais valiosa e sujeita a maior risco de aviltamento e vilipêndio em caso de ocorrência de incidente de segurança.
No caso de dados pessoais sensíveis, o contexto em que os dados foram tratados acaba se revelando mais importante do que os dados em si. Por isso, repita-se, é elogiável a constatação da guideline europeia quanto à análise factual do processo decisional. Na área da saúde, a despeito de eventual controvérsia sobre a natureza do regime de responsabilização previsto no artigo 42 da LGPD[9], importa salientar que há nuances da prática sanitária usualmente complexas e que devem ser conjecturadas[10] a partir dos limites de previsibilidade de riscos e resultados (elementos expressamente descritos no art. 44, II, da lei, ao tratar do conceito de tratamento irregular de dados[11]), pois a LGPD “pouco trouxe no que diz respeito à proteção dos dados de saúde, focando principalmente na continuidade da exploração econômica pelo setor.”[12]
Uma definição clara sobre os limites conceituais dos agentes de tratamento é essencial para que a responsabilidade civil seja melhor trabalhada e analisada na LGPD. Tome-se como exemplo um médico, com vínculo empregatício (de natureza celetista), que atue nos limites de sua competência técnica e com autonomia decisional quanto à escolha do melhor tratamento e, inclusive, com liberdade para tratar dados, acessando-os ou armazenando-os, por exemplo. Sem que se saiba se tal profissional pode ser responsabilizado de forma solidária caso sua atuação cause dano no contexto do tratamento de dados que realiza, eventual solução recairia sobre seu empregador, que assume dever geral de responsabilidade civil por ato de seus empregados, conforme previsto expressamente no artigo 932, III, do Código Civil.[13]
Apesar de a LGPD apresentar previsão específica quanto à viabilidade da ação de regresso (art. 42, §4º), é absolutamente fundamental que se possa distinguir controlador(es) e operador(es) em um contexto amplo e permeado por múltiplos agentes sujeitos a frequentes processos de tomada de decisão clínica baseadas em dados, como é o caso da saúde.
Se o tema é amplo e esgotá-lo em pouquíssimas linhas seria tarefa dificílima, trazer luz às peculiaridades explicitadas nesse ensaio acaba por revelar a premência do debate em torno da tutela da saúde no contexto da LGPD. Muitos estudos mais detalhados ainda precisam ser consolidados para que se tenha um panorama mais assertivo sobre o tema.
[1] SOARES, Flaviana Rampazzo. Consentimento no direito da saúde nos contextos de atendimento médico e de LGPD: diferenças, semelhanças e consequências no âmbito dos defeitos e da responsabilidade. Revista IBERC, Belo Horizonte, v. 4, n. 2, p. 18-46, maio/ago. 2021, p. 34.
[2] TEFFÉ, Chiara Spadaccini de; TEPEDINO, Gustavo. O consentimento na circulação de dados pessoais. Revista Brasileira de Direito Civil, Belo Horizonte, v. 25, p. 83-116, jul./set. 2020, p. 107.
[3] KREMER, Bianca. Os agentes de tratamento de dados pessoais. In: MULHOLLAND, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago Editorial, 2020, p. 305.
[4] BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, 28 maio 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf . Acesso em: 31 jul. 2021. p. 17.
[5] EUROPEAN DATA PROTECTION BOARD. Guidelines 07/2020 on the concepts of controller and processor in the GDPR, 07 set. 2020. Disponível em: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_pt. Acesso em: 31 jul. 2021.
[6] Conferir, a propósito do tema e da eventual responsabilização do controlador por fato do operador, no contexto europeu, ANTUNES, Henrique Sousa. A responsabilidade civil extracontratual do data controller por facto do data processor. Revista de Direito da Responsabilidade, Coimbra, v. 3, p. 124-156, 2021, p. 152-156.
[7] “76. If the controller decides to process data itself, using its own resources within its organization, for example through its own staff, this is not a processor situation. Employees and other persons that are acting under the direct authority of the controller, such as temporarily employed staff, are not to be seen as processors since they will process personal data as a part of the controller’s entity. In accordance with Article 29, they are also bound by the controller’s instructions.”
[8] “18. Sometimes, companies and public bodies appoint a specific person responsible for the implementation of the processing operations. Even if a specific natural person is appointed to ensure compliance with data protection rules, this person will not be the controller but will act on behalf of the legal entity (company or public body) which will be ultimately responsible in case of infringement of the rules in its capacity as controller.”
[9] Defendendo posição objetivista, tem-se MULHOLLAND, Caitlin. Responsabilidade civil por danos causados pela violação de dados sensíveis e a Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018). In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson (Coord.). Responsabilidade civil e novas tecnologias. Indaiatuba: Foco, 2020, p. 122; MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais, São Paulo, v. 1009, nov. 2019, p. 27 et seq; DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (Lei nº 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coords.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019, p. 74; ROSENVALD, Nelson. O compliance e a redução equitativa da indenização na LGPD. Migalhas de Proteção de Dados, 19 mar. 2021. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/342032/o-compliance-e-a-reducao-equitativa-da-indenizacao-na-lgpd. Acesso em: 31 jul. 2021. Em sentido diverso, analisando o referido dispositivo e defendendo a natureza subjetiva do regime de responsabilidade civil em questão, tem-se, por todos, GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Venceslau. Término do tratamento de dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: Revista dos Tribunais, 2019, p. 231-232; DANTAS BISNETO, Cícero. Dano moral pela violação à legislação de proteção de dados: um estudo de direito comparado entre a LGPD e o RGPD. In: FALEIROS JÚNIOR, José Luiz de Moura; LONGHI, João Victor Rozatti; GUGLIARA, Rodrigo (Coord.). Proteção de dados pessoais na sociedade da informação: entre dados e danos. Indaiatuba: Foco, 2021, p. 228.
[10] TOMASEVICIUS FILHO, Eduardo. Responsabilidade civil na LGPD na área da saúde. In: DALLARI, Analluza Bolivar; MONACO, Gustavo Ferraz de Campos (Coord.). LGPD na saúde. São Paulo: Thomson Reuters Brasil, 2021, p. 221.
[11] No contexto das relações de consume, mas com grande eloquência, mister a menção ao entendimento de Juliano Madalena quanto à natureza in re ipsa do dever de indenizar por violação à esperada segurança que descreve o art. 44 da lei: “Em assim sendo, a responsabilidade pelo descumprimento do dever de segurança possui previsão expressa no art. 44 da mesma norma, que refere a responsabilidade do controlador ou operador pela violação da segurança dos dados (…). Portanto, a LGPD ao escolher o sistema de responsabilidade civil subjetiva funda o dever de indezar na culpa e mitiga os efeitos adversos da sua escolha com a possibilidade de inversão do ônus da prova, também prevista no CDC. Entretanto, ao nosso ver, o dano causado pela exposição dos direitos da personalidade é in re ipsa: o fato de descumprir com culpa o dever de segurança e gerar dano faz com que se origine o dever de indenizar.” MADALENA, Juliano. A responsabilidade civil decorrente do vazamento de dados pessoais. In: MENKE, Fabiano; DRESCH, Rafael de Freitas Valle (Coord.). Lei Geral de Proteção de Dados: aspectos relevantes. Indaiatuba: Foco, 2021, p. 258. Esse tema, aliás, já foi objeto de enfrentamento em decisões judiciais brasileiras. Para um resumo panorâmico de seus principais pontos, conferir CARDOSO, João Victor Gontijo. O dano moral ‘in re ipsa’ e o tratamento indevido de dados sob o prisma dos julgados: REsp 1.758.799/MG e ADI 6387 MC-REF. Revista IBERC, Belo Horizonte, v. 4, n. 1, p. 133-153, jan./abr. 2021.
[12] CHAVES, João Guilherme Pereira. Responsabilidade civil por danos à personalidade no tratamento de dados pelo setor da saúde. In: TOMASEVICIUS FILHO, Eduardo (Coord.). A Lei Geral de Proteção de Dados brasileira: análise setorial. São Paulo: Almedina, 2021, v. 1, p. 324.
[13] “Art. 932. São também responsáveis pela reparação civil: (…) III – o empregador ou comitente, por seus empregados, serviçais e prepostos, no exercício do trabalho que lhes competir, ou em razão dele”.