A área da saúde está em constante questionamento sobre o atropelo da Lei Geral de Proteção de Dados Brasileira, por ser uma das áreas que mais se vale de dados pessoais para oferecer melhores serviços, e a assertividade no tratamento depende basicamente desse fator. Sancionada em agosto pelo presidente Michel Temer, é a primeira legislação específica sobre o tema no Brasil.
A maior questão é que a lei traz grandes incertezas a todos os setores, inclusive às gestões de saúde do nosso país. Inspirada amplamente na diretriz europeia (GDPR – general data protection regulation), a lei não passou por tropicalização para ser totalmente adaptada à realidade brasileira. Em um primeiro momento, aparenta ser benéfica e, do ponto de vista do cidadão comum, pode até parecer simples e pouco impactante. Porém, analisando todo o contexto e envolvendo os círculos sociais a que ela se aplica, o caminho a ser percorrido é muito complexo. Direcionada a qualquer pessoa física, jurídica ou órgão público que trate dados, impacta vários setores das instituições de saúde.
A primeira das inúmeras dúvidas está na quantidade de colisões da lei com outros dispositivos legais, como o Código Civil e as regulamentações do CFM (Conselho Federal de Medicina). Por exemplo, temos uma norma do CFM que determina que os prontuários devem ser mantidos por pelo menos 20 anos. A Lei Geral de Proteção de Dados Brasileira permite que qualquer pessoa física solicite a exclusão de todos os seus dados – inclusive de saúde – do ambiente público.
Se os dados de saúde são considerados sensíveis, pode-se imaginar o impacto de os deletarmos quando uma pessoa for atendida em um hospital, desacordada, vítima de um acidente. Ela não terá mais seu histórico, os profissionais não saberão se é alérgica ou mesmo se possui alguma doença de base. Faltarão informações para que o diagnóstico seja relevante.
E as dúvidas seguem. Como se dará a portabilidade de dados? Em que momento, ou com que periodicidade, devemos rever os consentimentos que passam a ser específicos e devem ser livres, informados e inequívocos? Como faremos a gestão dos consentimentos que forem revogados?
É importante destacarmos que a nova legislação brasileira assegura, aos titulares, que no nosso caso são pacientes e usuários, fácil acesso e informações sobre o tratamento dos dados coletados; anonimização, bloqueio ou eliminação de dados; revogação do consentimento prévio; correção de dados incompletos, inexatos ou desatualizados; e portabilidade a outro fornecedor de serviços ou produtos.
O texto sofreu alguns vetos, como, por exemplo, a constituição da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que deverá ser uma iniciativa do poder executivo realizada por medida provisória ou por um novo projeto de lei. Quando criada, essa autoridade regulará, fiscalizará e aplicará as penalidades que já estão definidas como uma advertência seguida de multa que pode atingir o limite de 2% do faturamento bruto da empresa ou R$ 50 milhões.
Porém, será que o nosso país, que ainda sofre com as mazelas da corrupção e da falta de ética e transparência em diversos setores, tem maturidade para trabalhar sob a vigência dessa lei? Será que todo o mercado está preparado para entender sua grandiosidade, treinar seus times e seguir, à risca, tudo o que está sendo solicitado?
Estamos falando sobre mudar toda uma cultura em apenas 18 meses. Em menos de dois anos, toda a sociedade civil, os setores privado e público, instalados dentro ou fora do nosso país, estarão prontos para colocar em prática a Lei Geral de Proteção de Dados da forma como ela se apresenta hoje? Acreditamos ser uma missão impossível.
Na Europa a criação desta diretriz foi debatida durante anos e, quando aprovada, todos os países tiveram mais dois anos para se adequar. E estamos falando de nações com maturidade superior à nossa. Pensando em nossos vizinhos fronteiriços, temos apenas um país que aplica uma lei similar a essa: o Uruguai. Por lá, embora a legislação seja parecida com a brasileira, há como objetivo principal o poder fiscalizatório remuneratório. A lei uruguaia não está preocupada em oferecer ações reparadoras, em corrigir os erros e minimizar os problemas. Se está, não é o que percebe a sociedade local, a qual argumenta que o interesse principal é a arrecadação.
Até mesmo nosso ambiente virtual – que não é seguro – não tem preparo para suportar todas as consolidações propostas pela nova lei. Não investimos em segurança eletrônica e não temos profissionais preparados para criar esse ambiente sem gerar uma bolha de demanda no mercado seguida de uma elevação excessiva de preços e do oferecimento de soluções ainda pouco testadas e aprovadas. Não temos sequer uma linguagem padrão para a troca dessas informações. As empresas desenvolvem suas linguagens de forma individual. Como faremos para que essas informações sejam decifráveis em qualquer sistema que esteja sendo utilizado?
Falta comunicação sobre a lei, falta debate e falta o entendimento de todos os que serão impactados para que o texto seja realmente compreendido. A ausência de análise de todas as questões pode criar gargalos no setor difíceis de serem equacionados, expondo as instituições a multas elevadas. Precisamos de uma legislação que aborde esse tema? Com certeza, mas ela deve ser boa para proteger os dados dos cidadãos dentro e fora do nosso país, não lhes criando prejuízos não percebidos num primeiro momento.
E falta, sobretudo, entendimento de que os brasileiros precisarão se adaptar a essa nova realidade. Para isso, defendo que o prazo de 18 meses é insuficiente para uma mudança de cultura. A percepção é de que precisaríamos de no mínimo 30 meses para compreender a importância de cada um dos artigos da lei, que entrará em vigor em fevereiro de 2020, e suas consequências em caso de descumprimento.
Assim, destacamos a importância dessa legislação lembrando que hoje o Ministério Público vem atuando fortemente nos escândalos de tratamento indevido de dados pessoais. Portanto, precisamos nos preparar para novos investimentos em controles, capacitação de profissionais, treinamento e criação de políticas e discussões sobre os impactos da legislação na área da saúde.
Rogéria Leoni Cruz é coordenadora do grupo de trabalho de Proteção de Dados da Abramed e diretora jurídica do Albert Einstein