A Lei no 12.965 de 23 de abril de 2014, o chamado Marco Civil da Internet (“MCI”) trouxe um novo regime institucional em matéria de preservação do direito à privacidade no Brasil. Éramos o único país membro do G20 que não contava com regulação específica. Não apenas isso: o MCI é apenas o primeiro passo em direção à regulamentação do tema, já que o Poder Executivo (Ministério da Justiça) trabalha na confecção de lei específica voltada à proteção sobre dados pessoais. A maior novidade, no entanto, é que a tutela do direito à privacidade passa a ter caráter administrativo, na medida em que passa a ser de competência da administração pública, inclusive a partir da imposição de penalidades.
Está baseada, na nova lei e em princípios gerais de proteção ao consumidor, a atuação da Secretaria Nacional do Consumidor (SENACON), em especial, de seu Departamento de Proteção e Defesa do Consumidor (DPDC), no recente caso em que aplicou à Oi/Velox, multa de R$ 3,5 milhões de Reais em razão de suposta quebra de privacidade de dados de navegação de seus clientes.
E o que isso tem a ver com a área de saúde? Tudo. A proteção à privacidade dos indivíduos é importante em qualquer área da atividade humana. Na área de saúde, no entanto, a importância é fundamental, já que a disseminação indevida de informações sensíveis do paciente é porta de entrada para situações de constrangimento público e para graves episódios de discriminação.
A questão fica ainda mais delicada se pensarmos que, se por um lado, a disseminação indevida de informações pode prejudicar vidas, por outro, a disponibilidade e integridade, para a equipe médica, das informações de saúde de um paciente pode ser essencial para salvar sua vida. De outra perspectiva, é na saúde, sem sombra de dúvidas, que se verifica a maior tensão entre a necessidade de fluxo desimpedido de informações, de um lado, e a obrigação de sigilo e confidencialidade, de outro.
É nesse contexto que a chegada do MCI como marco regulatório inicial para a proteção de dados de natureza pessoal, se faz importante. Primeiro, porque o MCI já estabelece direitos para o paciente em suas interações on-line com toda a cadeia de prestadores de serviços na saúde (e.g. operadoras de planos de saúde, hospitais e clínicas, laboratórios), direitos esses, cuja inobservância sujeita a penalidades severas, como, por exemplo, multa máxima de 10% do faturamento bruto do grupo econômico do infrator. Segundo, porque a existência de normas de privacidade, tanto afeta os projetos de interoperabilidade de sistemas eletrônicos de saúde, quanto demanda o incremento de investimentos em gestão da segurança da informação. Terceiro, porque traz nova luz a uma série de normas já vigentes sobre o tema da privacidade na saúde e inspira o surgimento de novas regulamentações gerais e específicas.
Diferentemente do que aconteceu nos EUA, que conta com norma matriz sobre o tema, o já famoso Heatlh Insurance Portability and Accountability Act (HIPAA), a tendência brasileira aponta para uma série de normas e reguladores (e.g. CFM, ANS, Ministério da Saúde, Anvisa e a Autoridade Garante – uma espécie de agência reguladora específica para o tema da privacidade). Nesse contexto, atividades de compliance serão, não apenas indispensáveis, mas também complexas.
Sempre que vou ao médico ou ouço sobre políticas públicas na área médica, sou instado a acreditar que estratégias de prevenção superam, por vários motivos, a abordagem curativa. Compliance em privacidade e segurança da informação são, por enquanto, métodos de prevenção. Você vai esperar que se tornem remédio?
Gustavo Artese, é Master of Laws (LL.M.) pela Universidade de Chicago e Líder das Práticas de Direito Digital, Privacidade e Propriedade Intelectual do escritório Vella, Pugliese, Buosi e Guidoni Advogados.
**As opiniões dos artigos/colunistas aqui publicadas refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nesta publicação