A Lei Geral de Proteção de Dados (nº 13.709/2018), conhecida como LGPD, considera que os dados relativos à saúde dos indivíduos são sensíveis, assim determinado de forma expressa. Quando falamos em dados, temos que ter em mente aquele “dado” capaz de identificar uma pessoa natural em face de um conjunto de indivíduos. Dessa forma, qualquer dado pode implicar em personalização.

No artigo 5º, inciso II, há a definição do que seriam os dados sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biomédico, quando vinculado a uma pessoa natural.

Observa-se que ainda que não se tenha uma lista de numerus clausus, é fato que o conjunto de dados considerados sensíveis é bastante amplo. Todavia, na relação com conjunto de pessoas naturais, um dado sensível isolado não terá função de identificação. Já esse dado acompanhado de um outro, como por exemplo, o CPF, deverá ser anonimizado. Assim, esse conjunto de dados do paciente presentes em prontuários médicos e demais documentos, como guias de internação, resultados de exames e receitas são considerados dados sensíveis.

No Brasil, a Resolução nº 1.639/2002 do Conselho Federal de Medicina (CFM) regulamentou a formação e estruturação dos prontuários eletrônicos dos pacientes. Posteriormente, as Resoluções do CFM 1.821/2007 e 2.218/2018 estabeleceram os patamares de segurança e utilização de certificações digitais.

Porém, ainda que haja tais regulamentações, o compartilhamento desses dados sensíveis deve ser informado e submetido ao consentimento do paciente de forma expressa. O artigo 7º da LGPD estabelece as hipóteses em que podem ser realizados os tratamentos de dados pessoais. Para a área da saúde é importante destacar os seguintes incisos: I -- o consentimento do titular; VII - para a proteção da vida ou da incolumidade física do titular ou de terceiros; VIII -- para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019); IX -- quando necessário, para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Quanto ao consentimento, é importante que o profissional que realiza a coleta dos dados obtenha de forma expressa do titular o seu consentimento. Aqui, é necessário passar a informação ao titular para que tenha consciência do que está sendo compartilhado e para qual finalidade.

Todavia, há duas exceções nas quais os dados podem tratados, mesmo sem o consentimento do titular, na área da saúde: No campo sanitário, sob o argumento de proteção à vida e da incolumidade do titular ou de terceiros, e para atender a interesses legítimos do controlador ou de terceiros, limitada sua atuação no artigo 10 da própria lei: “I -- apoio e promoção de atividades do controlador; e II -- proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

E, com relação ao consentimento do titular, ainda que a lei traga um regime específico e mais rigoroso para o tratamento de dados pessoais sensíveis, o consentimento de que trata o artigo 11, inciso I, pode ser dispensado nas seguintes hipóteses: II -- sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta lei, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

O fato é que poucos pacientes detêm conhecimento da importância do seu consentimento para divulgação de dados quando se esbarra na área da saúde. Isso se deve principalmente ao sigilo médico que reveste as informações, muitas vezes negadas ao próprio paciente e à sua família. A LGPD, ao classificar os dados de saúde como sensíveis, trouxe uma maior proteção e amplia a autonomia do paciente em consentir, permitir o tratamento, exigindo a utilização de boas práticas que garantam total transparência e confiabilidade na utilização dos dados.

Marina Elaine Pereira é advogada pós-graduada em Direito Constitucional e Direito Tributário e especialista em Compliance. Também é membro da Comissão Estadual de Direito Médico e Saúde da OAB/SP e da Comissão de Direito Médico da Unaccam. Foi ouvidora geral de Sorocaba e secretária municipal de Saúde