À primeira vista, pode parecer que normas de proteção à privacidade de dados pessoais têm como único objetivo evitar que o uso e divulgação de dados pessoais traga prejuízo a seus titulares (e.g. discriminação, estigmatização). Não é apenas isso. Além de proteger os titulares da informação, a regulação em privacidade deve permitir também, o tanto quanto possível, o livre fluxo de informações. É uma ciência de equilíbrio.
Com esses objetivos em mira, as leis e regulamentos existentes de proteção à privacidade de dados pessoais categorizam dados pessoais com a finalidade de conferir-lhes grau adequado de proteção (sem restringir demasiadamente o fluxo de dados). Em outras palavras, dados pessoais são categorizados para fins de promoção de uma governança adequada para sua utilização. Nesse sentido, as Privacy Guidelines da OCDE (1) reconhecem que é costumeira:
"[…] a aplicação de diferentes medidas de proteção para diferentes categorias de dados pessoais, dependendo de sua natureza e o contexto em que são coletados, armazenados, processados ou disseminados."
A esta aplicação de medidas e graus de proteção de diferentes para situações diferentes se dá o nome de "Privacidade em Contexto". As categorizações mais comuns referem-se à:
* Sensibilidade(2) dos dados pessoais (e.g. dados relativos à saúde, biometria, genética, opiniões políticas, que revelem origem racial);
* O sujeito a quem se referem os dados (e.g. dados associados a menores de idade, empregados ou pacientes);
* O propósito para o qual os dados são utilizados (e.g. uso comercial, uso pessoal, investigação policial, propósitos científicos);
* O contexto (strictu sensu) no qual os dados são processados (e.g. no contexto de comunicações eletrônicas; criação e guarda de arquivos);
* O grau de anonimização dos dados pessoais (e.g. identificador, de-identificado, anônimo, pseudônimo); e
* Se o dado foi coletado direta ou indiretamente (para fins de obtenção de consentimento ou dever de notificação).
A consequência prática mais importante da "Privacidade em Contexto" é que, uma vez que a regulação depende de contexto, cada atividade econômica (e profissional) que se utilize de dados pessoais na condução de seus negócios estará sujeita a tratamentos regulatórios distintos. Nesse sentido, é natural e esperado, por exemplo, que o tratamento de dados pessoais feito por uma seguradora receba, ceteris paribus, tratamento regulatório diferente daquele dispensado a negócio baseado em e-commerce.
Dentre outros motivos, é também em razão da "Privacidade em Contexto" que os maiores especialistas sobre o tema (3) defendem que a tutela da privacidade dos dados pessoais empregue "estratégia jurídica" que mescle legislação geral baseada em princípios com normas específicas e/ou códigos de deontologia.(4)
Na área de saúde, a necessidade de se dar tratamento regulatório específico é notável. Não por acaso, os EUA decidiram promulgar lei específica de proteção aos dados pessoais relacionados à saúde do indivíduo.(5)
Não poderia ser diferente. São muitos os motivos para que a área de saúde mereça regras de governança especiais.Dentre esses, destacam-se os seguintes: (i) o fato de que dados pessoais de saúde são extremamente sensíveis; (ii) para permitir tratamento adequado ao paciente, dados pessoais de saúde devem estar disponíveis de forma livre e indiscriminada aos profissionais de saúde envolvidos; (iii) o número de profissionais de saúde envolvidos no atendimento a um mesmo indivíduo tende a aumentar (o que, necessariamente, aumenta as chances de quebra de sigilo); (iv) o emprego especialmente intensivo da tecnologia da informação na área de saúde (e.g. prontuários eletrônicos e uso de dispositivos móveis); e (v) o interesse público na utilização de dados pessoais de saúde para finalidades secundárias (e.g. pesquisas médicas).
No Brasil, o direito à privacidade em saúde é tutelado, apenas incidentalmente, por normas de conduta profissional emitidas pelo Conselho Federal de Medicina(6). Quando somadas à regra geral, ainda incompleta, trazida pelo Marco Civil da Internet, nos vemos diante de marco regulatório razoavelmente adequado no que respeita à sua estrutura e absolutamente insuficiente no que tange ao seu conteúdo.
O momento atual é de claro incentivo aos investimentos na interoperabilidade dos sistemas de informática na saúde. Como consequência, testemunharemos aumento exponencial no fluxo e disponibilidade de informações e dados associados à saúde do indivíduo.
O livre fluxo de informações pessoais de saúde tem, a um só tempo, o poder de salvar e de prejudicar vidas. Não investir na definição de regulamentação sobre o tema da privacidade no contexto da saúde, tanto contribui para a formação de ambiente de insegurança jurídica(7), quanto deixa aberta a porta para a perda de confiança no sistema de saúde e em seus agentes.
Gustavo Artese, master of Laws (LL.M.) pela Universidade de Chicago e Líder das Práticas de Direito Digital, Privacidade e Propriedade Intelectual do escritório Vella, Pugliese, Buosi e Guidoni Advogados
Notas –
1 – http://www.oecd.org/internet/ieconomy oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm. Vide parágrafo 3 (a).
2-A sensibilidade do dado pessoal tende a ser diretamente proporcional ao dano que sua revelação pode causar
3- S. Rodotà. A Vida na Sociedade da Vigilância – A Privacidade Hoje, RENOVAR, pg. 87.
4 – Conjunto de princípios e regras de conduta — os deveres — inerentes a uma determinada profissão.
5 – Regras de privacidade estabelecidas pelo Health Insurance Portability and Accountability Act, mais conhecido como HIPAA: http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/
6 – Resoluções do Conselho Federal de Medicina de no 1605/2000, 1638/2002, 1821/2007 e 1931/2009.
7 – Na falta de regras claras, prestadores de serviços de saúde tenderão a optar pela interpretação mais restritiva (e.g. baseadas exclusivamente na obtenção de consentimentos) o que, em alguma medida, pode trazer prejuízo aos próprios atendimentos médicos, inclusive os de emergência.