Vinicius Venancio Costa
Não surpreendentemente, foi publicada no último dia 7 de fevereiro de 2020, a Lei 13.979/2020, também conhecida como “Lei Coronavírus”. Em que pesem as discussões acerca do costume brasileiro em se editar uma nova legislação no frisson de cada evento de destaque na mídia, a Lei 13.979/2020, dispõe sobre as medidas para enfrentamento da emergência de saúde pública de importância internacional decorrente do coronavírus. A norma positiva medidas que fundamentam as ações do governo para enfrentar uma possível situação de emergência pública causada pelo coronavírus.
São previstas a título de exemplo a quarentena, o isolamento, a determinação de realização compulsória de exames, testes, coleta de amostras, a requisição administrativa de bens, e a dispensa temporária de licitação. Dentre as medidas previstas, encontra-se o compartilhamento de dados pessoais com a administração pública. Nos termos do artigo 6º da Lei 13.979/2020, é obrigatório o compartilhamento de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo vírus, com a finalidade exclusiva de evitar a sua propagação. Mas e os direitos do titular, como ficam?
A Lei 13.979/202 estabelece um dever de compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de apresentar coronavírus.
Ainda, esse compartilhamento se estende a todas as pessoas jurídicas de direito privado quando os dados forem solicitados por qualquer autoridade sanitária. A finalidade para tanto é exclusivamente de evitar a propagação do vírus. O Ministério da Saúde é a autoridade responsável por editar os atos administrativos que regulamentarão a norma e por garantir o sigilo das informações pessoais.
Saliente-se, também, que a Portaria nº 204, de 17 de fevereiro de 2016, do Ministério da Saúde estabelece em seu anexo, item 43, como de notificação compulsória, a “Síndrome Respiratória Aguda Grave associada a Coronavírus a. SARS-CoV b. MERS- CoV”. A notificação deve ser imediata e realizada pelo meio de comunicação mais rápido disponível, em até 24 horas a partir do primeiro atendimento do caso de caso. O profissional de saúde deverá comunicar imediatamente o caso suspeito à Secretaria Municipal de Saúde/Vigilância Epidemiológica para orientações e início das ações de controle e investigação.
O que se observa, portanto, é a construção de um sistema com foco majoritário na informação ao poder público e acesso facilitado a dados pessoais essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus.
É sabido que a Lei nº 13.709/2018, a Lei Geral de Proteção de Dados, a ter eficácia a partir de 16 de agosto de 2020, representa um panorama acerca da relação entre agentes de tratamento, quer sejam controladores ou operadores, e titulares de dados pessoais, com vistas à se proteger a privacidade dos indivíduos. Nos termos da LGPD, dados de saúde são dados sensíveis e devem apresentar um nível de proteção adequado à sua categoria.
Formalmente, sob o ponto de vista legal, em um primeiro momento, não haveria, em tese, qualquer violação aos direitos do titular, uma vez que há um dever de notificação compulsória por parte da entidade de saúde que realizou o primeiro atendimento, e também um dever de compartilhamento de informações, sempre que solicitado pelo poder público, acerca de pessoas infectadas ou com suspeita de infecção. O tratamento de dados sensíveis com vistas ao cumprimento de uma obrigação legal é dessa forma justificado, no âmbito da LGPD.
Todavia, algumas inquietações hão de ser consideradas. Não se verifica qualquer limitação de dados a serem compartilhados e/ou solicitados pelo poder público à pessoa jurídica privada, mas apenas os “dados essenciais à identificação de pessoas”.
O poder público estaria, assim, livre para indicar qualquer dado como essencial? Qual seria o parâmetro de um dado essencial?
Ressaltamos que a LGPD, ao estabelecer o dado de saúde como sensível, sujeito a um regime destacado de proteção, o fez justamente pela especialidade e riscos associados a tais informações serem livremente tratadas. Seria possível se cogitar do compartilhamento de todo o histórico de saúde da pessoa, sob a justificativa de uma melhor identificação do paciente com coronavírus para se avaliar riscos, ainda que ele apresente doenças gravíssimas e/ou estigmatizadas? Seria possível assim, a livre circulação de dados até então conhecidos tão somente pelo titular, cuja divulgação não seria de seu interesse?
Ainda, para o caso de prontuários eletrônicos, os dados se sujeitariam à normativa da Lei nº 12.965/2014, o Marco Civil da Internet, no sentido de se garantir a inviolabilidade e sigilo dos dados armazenados, salvo por ordem judicial? Ou seria possível o pedido administrativo para envio de dados eletrônicos? Destaca-se que a Lei nº 13.787/2018, que dispõe sobre os prontuários eletrônicos, também nada diz.
A LGPD traz ao particular o dever de estabelecer um sistema de segurança da informação calcado nas boas práticas e no estado atual de tecnologia, ressaltando o uso, sempre que possível, da anonimização ou pseudonimização dos dados, bem como a consideração dos devidos padrões éticos relacionados a estudos e pesquisas. Paralelamente, não há qualquer imposição ao poder público nesse sentido. Quais seriam os níveis de proteção a serem estabelecidos pelo Ministério da Saúde quando do recebimento de uma gama de informações sensíveis de pessoas – e não apenas brasileiros – infectados ou com suspeita de apresentarem coronavírus? Não há, até o momento, qualquer resposta a todos esses questionamentos.
Os riscos de se estabelecer um poder tão amplo à administração, por meio da edição quase que instantânea de um ato normativo para regulamentar uma situação atual, estão demonstrados. A privacidade, ao mesmo tempo em que ganha destaque no debate, notadamente com os princípios e a lógica estabelecidas na Lei nº 13.709/2018, a LGPD, também deixa de ser protagonista quando o debate não se torna presente.
A interpretação sistemática dos dispositivos sobre saúde associada ao tratamento de dados no microssistema de privacidade, incluídos o Marco Civil e a LGPD, tende a indicar que qualquer tratamento de dado sensível exige uma maior proteção de segurança, encontrando-se a questão, quanto ao poder público, atualmente num campo não regulamentado e orientado por princípios.
Observa-se, assim, que num primeiro momento, apesar da existência de previsão de direitos dos titulares no microssistema de privacidade, como o direito de ter seus dados sensíveis limitados à essencialidade e num nível de segurança especial, de igual modo não se nota tal preocupação quando analisadas outras normas, ainda que haja previsões com impactos na privacidade. O amadurecimento brasileiro acerca do tema é necessário, sobretudo para maior eficiência do microssistema de privacidade.