530 segundos
O governo e as organizações públicas e privadas de saúde estão focadas em como monitorar, entender e mitigar a propagação da doença chamada de coronavírus. Isso pode envolver o tratamento de diferentes tipos de dados pessoais, em particular os dados de saúde.
Parte dessas etapas envolverão o processamento de dados pessoais de indivíduos (como nome, endereço, local de trabalho, detalhes da viagem), incluindo, em muitos casos, dados relativos à saúde.
Os dados de saúde (dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde passado, presente ou futuro) são considerados sensíveis nos termos da Lei Geral de Proteção de Dados Pessoais (“LGPD”). Apesar da LGPD ainda não estar em vigor, é importante atentarmos às recomendações sobre o coronavírus e a privacidade de dados.
O que precisamos saber?
Dentro do cenário corporativo, as informações que revelem que um colaborador foi infectado com o coronavírus, por exemplo, são consideradas dados pessoais relacionados à saúde. Como tal, pertencem a uma categoria especial de dados pessoais que devem ser tratados com cuidado especial.
Neste sentido, as autoridades suecas e finlandesas[1] de proteção de dados emitiram breves diretrizes sobre o processamento de dados de colaboradores em relação ao coronavírus. Nestas diretrizes, as autoridades de proteção de dados confirmam que:
- As informações de que um colaborador específico foi infectado com o coronavírus são consideradas dados de saúde;
- As informações que um colaborador retornou das chamadas áreas de risco não são consideradas dados de saúde; e
- As informações de que um colaborador está em quarentena não são dados de saúde (se o motivo da quarentena não for divulgado).
O tratamento de dados pessoais de saúde é, portanto, reservado para profissionais de saúde vinculados ao sigilo profissional e não pode ser realizado pelo empregador.
Em 19 de março de 2020, o Conselho Europeu de Proteção de Dados (European Data Protection Board – “EDPB”) adotou uma declaração sobre o processamento de dados pessoais no contexto do coronavírus. A declaração enfatizou que as regras de proteção de dados, incluindo o Regulamento Geral de Proteção de Dados da União Europeia (“RGPD” ou “GDPR”), não devam impedir medidas tomadas durante o combate contra a doença.
Os agentes de tratamento de dados devem garantir, mesmo em tempos excepcionais, a proteção dos dados pessoais dos indivíduos. Especificamente, o EDPB explicou que qualquer medida tomada neste contexto deve cumprir os princípios gerais de direito, acrescentando que “a emergência é uma condição legal que pode legitimar restrições à liberdade, desde que essas restrições sejam proporcionadas e limitadas ao período de emergência”[2].
A LGPD, por sua vez, não impede o fornecimento de cuidados de saúde e o gerenciamento de problemas de saúde pública. No entanto, há exposições importantes que devem ser levadas em consideração ao lidar com dados pessoais nesses contextos.
Outro ponto importante, o escopo tanto da LGPD quanto do RGPD é amplo, referidos regulamentos também são aplicáveis aos dados que foram pseudonimizados ou codificados (por exemplo, dados em que o médico ou instituto responsável substituiu o nome do paciente por um código).
Destacamos ainda que a LGPD não se aplica a dados anônimos. Por exemplo, conjuntos de dados que consistem em sequência genética do vírus e outros dados relacionados ao vírus mais a faixa etária do paciente mais o sexo, geralmente devem estar fora do escopo do LGPD (chamados dados agregados).
Qual é a base legal para o processamento de dados pessoais?
Os dados de saúde podem ser tratados, de acordo com o artigo 11 da LGPD:
1.Com o fornecimento de consentimento do titular;
O consentimento informado, por exemplo, é uma prática médica regulada pelo Conselho Federal de Medicina (CFM)[3]. É vedado ao médico efetuar qualquer procedimento médico sem o esclarecimento e o consentimento prévio do paciente ou de seu representante legal, salvo em iminente perigo de vida.
2. Sem o fornecimento de consentimento do titular, para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei de Arbitragem;
e) proteção da vida ou da incolumidade física do titular ou de terceiros;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento. Ou seja, é permitido o processamento de dados pessoais de saúde sem o consentimento do titular em situações de interesse público no campo da saúde pública e em conformidade com as obrigações legais derivadas de tais situações.
Referenciamos também o RGPD, que admite o processamento de informações pessoais sem consentimento, se for necessário proteger “contra ameaças fronteiriças à saúde”.
Qual é o prazo de conservação de dados?
O ideal é que os dados sejam conservados durante o mínimo de tempo possível. Ademais, o período de conservação dos dados pessoais irá variar de acordo com a finalidade para que são tratados, observado o que estiver fixado por norma legal ou regulamentar que trate sobre o tema.
Geralmente, os dados pessoais coletados são conservados em formato que possibilite a identificação dos titulares apenas durante o período estritamente necessário ao andamento das finalidades subjacentes ao seu tratamento. No entanto, em certos casos, poderão existir obrigações legais às quais o controlador esteja vinculado que obrigue a conservar os dados durante um período maior.
O que é recomendado fazer?
Devemos tomar medidas que possam preservar a privacidade dos indivíduos:
– Qualquer processamento de dados no contexto de prevenção da disseminação do coronavírus deve ser realizado de maneira a garantir a segurança dos dados, principalmente no que diz respeito aos dados de saúde. A identidade dos indivíduos afetados não deve ser divulgada a terceiros, incluindo colegas de trabalho, sem uma justificativa clara;
– Como em qualquer processamento de dados, apenas a quantidade mínima necessária de dados deve ser tratada para atingir o objetivo de implementar medidas para impedir ou conter a propagação do coronavírus;
– A pessoa infectada também deve ser sempre informada (se possível) e suas vontades sobre como os dados são tratados devem ser atendidas na medida do possível;
– As empresas devem ser transparentes em relação às medidas adotadas e informar suficientemente seus trabalhadores e visitantes sobre os propósitos do processamento e a duração do armazenamento de dados pessoais coletados neste contexto;
– Solidariedade digital: ter atenção e cuidado com o compartilhamento de conteúdo sobre a propagação do vírus que contenham dados pessoais ou informações relacionadas à privacidade do indivíduo. Pessoas que conhecem fatos, dados ou circunstâncias que podem constituir um risco ou perigo grave para a saúde da população devem informar as autoridades de saúde, que devem garantir a proteção devida aos dados pessoais.
Pontos de atenção!
A proteção de dados nesta época de coronavírus é um desafio global. É importante que se atente à necessidade de confidencialidade, minimização de dados, segurança de dados e privacidade do indivíduo. Note que temos outros diplomas gerais, atualmente em vigor, que já garantem a proteção aos dados pessoais e, ainda que não esteja vigente, a LGPD está sendo utilizada como norte nas decisões sobre o tema.
Consequentemente, a proteção de dados não deve ser usada para impedir ou limitar a eficácia das medidas adotadas pelas autoridades, especialmente as autoridades de saúde, na luta contra a pandemia. Se for necessário, não colete mais do que você precisa e garanta que todas as informações coletadas sejam tratadas com as salvaguardas apropriadas. As medidas tomadas em resposta ao coronavírus envolvendo o uso de dados pessoais devem ser necessárias, proporcionadas e informadas pela orientação das autoridades relevantes.
Destacamos que o processamento de dados pessoais, mesmo nessas situações de emergência de saúde, deve continuar sendo realizado de acordo com as legislações de proteção de dados pessoais, uma vez que essas regras preveem essa eventualidade, devendo ser observados os princípios da legalidade, transparência, limitação da finalidade (neste caso, salvaguardar os interesses das pessoas nesta situação de pandemia), segurança, adequação, necessidade (minimização de dados), dentre outros.
Neste último, é feita referência expressa ao fato de que os dados tratados devem ser limitados aos necessários para a finalidade pretendida, sem que esse tratamento seja estendido a outros dados pessoais que não sejam estritamente necessários para essa finalidade.
Aproveitamos para informar que o Planalto[4] está em atualização diária dos atos normativos sobre o Coronavírus. Assim, podemos entender melhor as disposições legislativas enfrentadas devido à situação de emergência que estamos enfrentando.
Equipe de Consultoria do Molina Advogados
[1] Disponível em: <https://thl.fi/en/web/infectious-diseases/what-s-new/coronavirus-covid-19-latest-updates e https://tietosuoja.fi/artikkeli/-/asset_publisher/tietosuoja-ja-koronaviruksen-leviamisen-hillitseminen>.
[2] Statement on the processing of personal data in the context of the COVID-19 outbreak. Disponível em: <https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en>.
[3] Disponível em: <http://www.portal.cfm.org.br/index.php?option=com_content&view=article&id=20356>.
[4] Disponível em: <http://www4.planalto.gov.br/legislacao/portal-legis/legislacao-covid-19>.