Maria Luciana Pereira de Souza
Assim como as guerras e as revoluções, também as epidemias e pandemias são capazes de desencadear saltos na historia da humanidade, uma vez que em busca da preservação da espécie, questões que demandariam anos de debates e avaliações, são simplesmente postas à serviço da população, pois maior que o risco da incipiência de qualquer debate ou extensa avaliação prévia, é o dano concretizado pela inércia.
Foi o que ocorreu com a telemedicina, uma pauta que permaneceu por anos às margens do debate legal, regulatório e mercadológico da indústria da saúde e que alcançou em meses, um avanço que não se viu em quase duas décadas.
O tema foi timidamente alçado ao debate global pela “Declaração de Tel Aviv sobre responsabilidades e normas éticas na utilização da telemedicina”[1], adotada pela 51ª Assembléia Geral da Associação Médica Mundial, em Tel Aviv, Israel”, o que desencadeou em 26 de agosto de 2002 a Resolução do Conselho Federal de Medicina nº 1.643/2002[2] que na forma de seu Artigo 1º, assim definiu telemedicina:
“…o exercício da Medicina através da utilização de metodologias interativas de comunicação audio-visual e de dados, com o objetivo de assistência, educação e pesquisa em saúde”.
Pois bem, depois de 16 anos sem propor qualquer ajuste ou atualização ao texto de 2002, em 2018, o CFM editou a Resolução 2227[3] para, dentre outras questões, definir e disciplinar a telemedicina como forma de prestação de serviços médicos mediados por tecnologias.
A normativa mais moderna foi criticada, inclusive pelos Conselhos Regionais de Medicina, sob o argumento de que nos termos aprovados, atenderia exclusivamente aos interesses dos grandes “players” do setor, vulnerabilizando a figura do médico, pelo que acabou revogada em abril de 2019.
Apesar do recuo e da consulta pública que sucedeu ao ato revogatório, o tema permaneceu adormecido até que no dia 15 de abril de 2020, como parte das ações de contingenciamento da propagação da infecção causada pelo SARS-CoV-2, foi sancionada a Lei 13989/20[4] que dispõe sobre o uso da telemedicina durante o período pandêmico e, a em seu art. 3º, assim define a telemedicina:
“… entre outros, o exercício da medicina mediado por tecnologias para fins de assistência, pesquisa, prevenção de doenças e lesões e promoção de saúde”.
Especialmente num país como o Brasil, onde distâncias físicas e sócio-economicas são tão extensas, falar sobre o exercício da medicina mediado por tecnologia é, sobretudo, falar em acesso à saúde.
E, não apenas sob o enfoque dos serviços especializados, do uso de dados na predição diagóstica, na realização de procedimentos de alta complexidade, ou mesmo na adoção de soluções que permitam a otimização de custos no setor – ou ainda, das múltiplas formas de utilização das quais decorrem os neologismos teleconsulta, telediagnóstico, telecirurgia, teleconferência, teletriagem, teleorientação, teleconsultoria e telemonitoramento.
Ainda que pertinentes as alegações de grande parte da classe médica, no sentido de que o atendimento presencial é regra para a boa prática da medicina, não se pode ignorar que mesmo quando superada a calamidade pandemica.
Num país com as dimensões continentais e desigualdades sociais do Brasil, a telemedicina pode significar a atribuição de um direito fundamental a milhões de brasileiros, qual seja, o direito à saúde.
A Constituição Federal, por sua vez, dispõe em seu artigo 196 que “a saúde é direito de todos e dever do Estado, garantido mediante políticas sociais e econômicas que visem à redução do risco de doença e de outros agravos e ao acesso universal e igualitário às ações e serviços para a promoção, proteção e recuperação”.
Se considerarmos, por exemplo, a mais simples e acessivel das modalidades de telemedicina, a teleconsulta, estar-se-á, no mínimo trazendo para dentro do sistema único ou de saúde suplementar, milhões de brasileiros que necessitam de atenção primária de saúde, ou seja, do atendimento que forma a base do sistema de saúde e determina o trabalho de todos os outros níveis especializados, organiza e racionaliza o uso dos recursos direcionados para a promoção da saúde.
Assim, considerando que o direito a saúde é indissociável do direito à vida, que tem por inspiração o valor de igualdade entre as pessoas, a mediação tecnologica do exercício da medicina pode significar a diferença entre “vida e morte” e demanda, mais que questionamentos acerca do volume e o tipo de dados pessoais coletados, processados, compartilhados e utilizados em prol da saúde – ações de governança e transparência para que a indústria da saúde na era digital, se mantenha alicerçada em pilares éticos, legais e técnicos de forma a (i) proteger as pessoas, garantir a autodeterminação informacional e (ii) viabilizar o controle e as ações de enfrentamento das futuras emergências de saúde, tais como, epidemias e pandemias.
Privacidade e proteção de dados pessoais além da relação “médico x paciente”
Os médicos, assim como outros profissionais da área da saúde, no exercício de sua atividade e nos limites da relação com o paciente, estarão durante todo o tempo em contato com dados pessoais de alto risco e criticidade, os dados sensíveis relativos à saúde e, ainda que a LGPD[5] não esteja em plena vigência, em atendimento ao Princípio da Legalidade[6] é fundamental que o médico (e demais atores do setor) conheçam o ecossistema legal da proteção de dados pessoais, arcabouço legal de trânsito livre com a Constituição Federal, Código de Defesa do Consumidor, Marco Civil da Internet, dentre outras norma setoriais.
O referido Princípio fundamenta a supremacia da Lei ante a imposição da força e conduz à segurança jurídica, pois, para que o Agente possa exercer os seus direitos e obrigações, se faz necessário o conhecimento da Lei[7].
Especificamente, quanto ao marco legal da proteção de dados no Brasil, a LGPD[8], o inciso II do art. 5º II elenca como “dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”, ou seja, são aqueles cujo tratamento pode gerar algum tipo de discriminação ao titular.
E foi exatamente pelo alto potencial de dano discriminatório – como por exemplo, o decorrente da utilização de dados de saúde (fornecidos por médicos e farmárcias), pelas operadoras de planos de saúde, para a seleção dos riscos atuariais na contratação e exclusão de beneficiários, bem como, pela utilização abusiva na gestão dos recursos humanos, seja pela negativa da contratação gestantes e até mesmo de candidatos cujo histórico médico aponte a majoração do risco na contratação é que, há ainda mais rigor legal na proteção dos dados pessoais relacionados à saúde, e portanto, classificados como sensíveis.
Exatamente de forma a conferir uma camada ainda maior de proteção, quanto aos dados sensíveis, no que se refere ao consentimento, o Inciso I do art. 11 da LGPD estabelece a necessidade de que ele seja realizado de forma específica e destacada, para finalidades específicas, ressalvadas as hipóteses do Inciso II e alíneas, o que no ambito de atuação da ANS, podemos elencar, por exemplo:
- cadastros de beneficiários do Sistema de Informações de Beneficiários (SIB);
- dados assistenciais da Troca de Informações de Saúde Suplementar;
- dados assistenciais dos atendimentos realizados pelo SUS a beneficiários de planos privados de assistência à saúde tratados, bem como as informações e documentos apresentados pelas operadoras na defesa das cobranças dos processos de ressarcimento ao SUS;
- às informações e documentos utilizados na instrução e defesa em processos administrativos sancionadores por infrações à normas da saúde suplementar;
- o compartilhamento da ANS com o DATASUS do Conjunto Mínimo de Dados (CMD) referentes aos contatos assistenciais na saúde suplementar.
- o compartilhamento do DATASUS com a ANS das bases de dados do Sistema de Informações Hospitalares (SIH) e do Sistema de Informações Ambulatoriais (SAI) para processamento do ressarcimento ao SUS, e do Cartão Nacional de Saúde (CNS), para enriquecimento e melhoria da qualidade dos cadastros de beneficiários;
- às informações e documentos utilizados na instrução e defesa em processos de apuração de fraude em declaração de saúde para fins de rescisão unilateral de contrato de plano privado de assistência à saúde.
Um olhar multidisciplinar, contemplando a perspectiva analógica e digital – capaz de reconhecer/admitir que todas as ferramentas tecnológicas, em maior ou menor grau, possuem vulnerabilidades, impõe aos atores do setor de saúde – como já mencionado – além da gestão de riscos em segurança da informação, a conformidade legal e a regulatória de forma a estruturar um ambiente de proteção da privacidade e dos dados pessoais, com foco em uma gestão transparente e responsável, que não se confunde, sob nenhuma hipótese com a simples garantia de sigilo profissional, prerrogativa de dimensão diminuta, restrita, basicamente, a relação “médico x paciente”.
Especialmente quanto aos desenvolvedores de soluções para a saúde na era digital, healthtechs ou grandes players do setor, há ainda que se atender aos conceitos “Privacy by Design e by Default”.
Consectário do art. 46 do Marco Legal Nacional, de forma objetiva, por “Privacy by Design” podemos entender que a privacidade e a proteção de dados devem ser consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo.
Tal privacidade pode ser alcançada por meio da aplicação dos 7 Princípios Fundamentais[9] desenvolvidos pela ex-comissária de privacidade da província de Ontário, no Canadá, a Ph.D. Ann Cavoukian, elencados de forma taxativa – sem imersão analítica, na sequência:
1. Proativo, e não reativo; preventivo, e não corretivo;
2. Privacidade como padrão;
3. Privacidade incorporada ao design;
4 . Privacidade incorporada ao design;
5. Segurança de ponta a ponta e proteção durante todo o ciclo de vida dos dados;
6. Visibilidade e transparência;
7. Respeito pela privacidade do usuário;
Quanto ao “Privacy by Default” (Privacidade por Padrão), o conceito está diretamente relacionado ao expresso no inciso III do art. 6º da Lei 13.709/18: “necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
Pois bem, trazidos tais apontamentos, estes inegavelmente mais técnicos, importante observar que sob a ótica do profissional médico, não apenas pelo que prevê a Lei 13.709/18, o art. 4º da Lei nº 13.989/20, mas também conforme previsto nos arts. 22, 24, 31, 32 e outros do Código de Ética Médica, antes da realização de um procedimento mediado por tecnologia, deverão ser prestados todos os esclarecimentos relacionados ao alcance e limites do atendimento, medidas de mitigação do risco inerente ao tratamento dos dados pessoais – notadamente, os sensíveis – bem como, acerca de três dos principais critérios de segurança da informação: confidencialidade, integridade e disponibilidade dos dados de anamnese, biométricos e dos registros que constarão no prontuário de atendimento.
Ou seja, ressalvadas as hipóteses onde o titular não ostente no momento do atendimento, condições de livre manifestação de vontade – em caso de risco iminente de morte – ou ainda, que seja menor de idade e o consentimento seja uma incumbência do responsável legal, incumbirá ao profissional de saúde prestar todas as informações necessárias à efetiva compreensão da modalidade de teleatendimento, de forma a viabilizar a destacada tomada de decisão quanto autodeterminação informacional pelo titular/paciente, o que pode ser instrumentalizada, por exemplo, através de assinatura eletrônica, ação afirmativa em formulário específico, ou ainda, através de manifestação oral mantida como registro integrante do áudio ou vídeo de teleatendimento.
Portanto, do aqui exposto depreende-se sem qualquer dificuldade que enquanto o sigilo profissional intrínseco à relação “médico x paciente” – alicerçado em garantias constitucionais e deontológicas – é de fácil gestão.
A adoção de ferramentas tecnológicas no exercício da medicina, impõe ao profissional habilidades que transcendem, e muito, ao simples controle de fichas num arquivo ou a atribuição de uma senha forte para acesso aos computadores do consultório ou dos sistemas de clínicas e hospitais.
Um olhar multidisciplinar, contemplando a perspectiva analógica e digital – capaz de reconhecer/admitir que todas as ferramentas tecnológicas – em maior ou menor grau – possuem vulnerabilidades, impõe aos players do setor de saúde – como já mencionado – além da gestão de riscos em segurança da informação, a conformidade legal e a regulatória de forma a estruturar um ambiente de proteção da privacidade e dos dados pessoais, com foco em uma gestão transparente e responsável, que não se confunde, sob nenhuma hipótese com a simples garantia de sigilo profissional, prerrogativa de dimensão diminuta, restrita, basicamente, a relação “médico x paciente”.
Ao decidir pelo exercício da medicina mediado por tecnologia, invariavelmente, o profissional da saúde, encontrará em soluções disruptivas e inovadoras, postas no mercado por healthtechs ou grandes players da indústria.
Instrumentos capazes de corrigir, ou ao menos, minorar gaps e, assim, revolucionar as boas práticas em saúde e causar impacto positivo em todo o setor, tanto no que se refere ao sistema único de saúde, quanto ao sistema de saúde suplementar, afinal, a expectativa de vida em todo o mundo vem se alongando, por isso, repensar as ações e os investimentos no setor da saúde são medidas imperativas a fim de evitar o colapso do sistema.
Efetivamente quanto ao cenário nacional, a ANS, na qualidade de agência reguladora, desde 2019, ano subsequente à aprovação da LGPD, vem se dedicando também à orientação do setor, como, por exemplo pela edição e publicização da Nota Técnica nº 3/2019/GEPIN/DIRAD-DIDES/DIDES[10].
Nota Técnica na qual, além de uma breve análise histórica sobre a proteção de dados pessoais no Brasil e no mundo, e da apresentação dos principais pontos do marco legal, a ANS ainda, preocupou-se em sinalizar que deve haver equilíbrio entre os direitos dos titulares e a atividade do agente regulado – que na taxonomia legal[11] será um agente de tratamento – e a depender do modelo de operação, pode ser o controlador ou o operador do tratamento de dados pessoais –classificação relevante, na medida em que a fixação de obrigações, responsabilidades e atribuições na proteção de dados pessoais, depende essencialmente do correto enquadramento.
Feitos tais apontamentos, ao final, apresentados de forma mais ampla e neste ponto retornando ao uso da telemedicina, importante observar que, ao adotar as boas práticas necessárias para a segurança do exercício da Medicina mediado pela tecnologia, ainda que de forma não intencional, o Agente de Tratamento estará iniciando a jornada de Adequação e Governança dos Tratamento de Dados Pessoais.
Desta forma, o que pode ser visto sob a perspectiva da assunção do custo – que na forma do art. 5º da Lei 13.989/20, não pode ser repassado ao paciente/titular dos dados pessoais – também pode ser interpretado como oportunidade, na medida em que as boas práticas, permitirão, também, a harmonização necessária ao saneamento do risco legal decorrente da aplicação da LGPD.
Do tratamento de dados pessoais no âmbito da telemedicina
Das multíplices abordagens da telemedicina derivam os alguns neologismos, como por exemplo, teleconsulta, telecirurgia, teleconferência, telediagnóstico, teletriagem, teleorientação, teleconsultoria, telemonitoramento, dentre outros, mas todos, absolutamente inseridos no universo do tratamento de dados pessoais sensíveis, as healthtechs e prestadoras de serviços médicos que se dispuserem a operar sob tal modelo, deverão se implementar medidas/ferramentas de segurança aptas a garantir a segurança da informação, a gestão do consentimento, o mapeamento dos dados e do fluxo de transferência nacional-internacional / voluntária-involuntária dos dados, de vulnerabilidade, elaboração do RIPD[12] (DPIA), dentre outras atividades, para assim, consequentemente, viabilizar o atendimento aos direitos dos titulares.
Talvez, por isso, como já mencionado, apesar de a relação “médico x paciente” estar alicerçada em diversas garantias constitucionais e deontológicas, grande parte da classe médica fosse/seja refratária ao exercício da medicina mediado por tecnologias, eis que não há dúvidas de que tal mediação, impõe uma série desafios também tecnológicos que por opção ou hiato geracional – médicos e outros atores do seguimento, não estavam dispostos a assumir.
Aqui, a título de orientação do leitor, cumpre encaminhar orientação replicada pela Agência Nacional de Saúde Suplementar[13], a partir do Gartner:
Como todo profissional responsável que atua na interseção entre “Tecnologia e Privacidade” menciona, é impossível garantir que jamais ocorrerá um incidente de segurança capaz de publicizar os dados custodiados pelo agente de tratamento, no entanto, diversas são as medidas capazes de mitigar o risco, bem como, de minorar o dano.
Especificamente, quanto aos dados sensíveis relacionados à saúde, de forma ainda mais robusta quanto aos princípios norteadores do tratamento de dados pessoais[14], bem como, quanto a adoção de práticas de segurança que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, serão sempre positivas aos interesses do titular e à reputação do agente de tratamento.
Com efeito, nenhum direito é absoluto, pois mesmo os direitos fundamentais podem ser relativizados ante o caso concreto – hipótese em que a limitação/relativização deve obediência aos demais princípios constitucionais e atendimento às regras da mínima restrição e da máxima observância – a despeito da preocupação e objeção dos críticos, não se pode ignorar que a LGPD não veda o tratamento de dados pessoais sensíveis sem consentimento, inclusive, diante da sua precariedade, o consentimento, tornou-se, por medida de segurança jurídica dos agentes de tratamento, uma base legal de adoção residual.
Ainda que, por ora, as considerações aqui esboçadas signifiquem singelos apontamentos diante de todas as implicações que estão por vir, seja no contexto da proteção de dados pessoais ou do direito à saúde – viabilizado, ou no mínimo, fomentado em razão da adoção da telemedicina – ambos, indissociáveis da dignidade humana, já podemos parceber que o exercício da medicina mediado por ferramentas tecnológicas não representa apenas uma medida de contingenciamento da propagação da infecção pelo Sars-Cov-2, mas também, uma nova realidade pós pandemia.
Constatação que ostenta ainda mais relevância, ao considerarmos os dados da OMS (Organização Mundial de Saúde)[15] de onde se extraí que 10% (dez por cento) do PIB global é movimentado pelo setor da saúde.
Seja como no Brasil, onde o Sistema Único de Saúde (SUS) é um dos maiores e mais complexos sistemas de saúde pública do mundo ou no modelo Beveridge da Inglaterra e Espanha, no qual o estado se encarrega de prover serviços de saúde em troca do pagamento de impostos, seja ainda o Bismarck da Alemanha e Áustria, no qual o estado obriga os cidadãos a contratar um seguro privado obrigatório e altamente regulado, ou ainda, num dos mais polêmicos, o Norte Americano.
Seja qual for o modelo, a abordagem pública ou privada, a capacidade econômica do Estado e/ou do próprio beneficiário (em prover sob suas próprias expensas o custeio dos gastor com saúde), a adoção de soluções tecnologicas inovadoras tornou-se decisiva não apenas para o alcance dos atendimentos necessários (aspecto intrínsico à dignidade humana), como também, nos resultados financeiros do setor (aspecto econômico de especial relevância, diante da (in)viabilidade operacional dos players públicos e privados nele inseridos).
O episódio 48 do podcast Sem Precedentes faz uma análise sobre a atuação do Supremo Tribunal Federal (STF) em 2020 e mostra o que esperar em 2021. Ouça:
[1] Disponível em: <http://www.dhnet.org.br/direitos/codetica/medica/27telaviv.html>.
[2] Disponível em: <https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2002/1643>.
[3] Disponível em <https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2018/2227>.
[4] Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Lei/L13989.htm>.
[5] Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>.
[6] “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei” Art. 5º, II, CFRB/88.
[7] Cumpre pontuar, ainda, que o ordenamento jurídico brasileiro de forma expressa preceitua que o desconhecimento da lei é inescusável, Art. 21 do Código Penal.
[8] Lei 13709/2018
[9] Disponível em: <https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf>.
[10] Não se pode deixar de mencionar, ainda que como mera referência ao leitor, a RN ANS Nº 443/19, documento em que a Agência emanou diretivas as práticas mínimas de governança corporativa, com ênfase em controles internos e gestão de riscos.
[11] Lei 13.709/2018 Art.5º Para os fins desta Lei, considera-se:
…
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
…
IX – agentes de tratamento: o controlador e o operador;
[12] Art. 5º … XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
[13] Disponível em: <https://www.sbac.org.br/wp-content/uploads/2019/12/Nota-Te%CC%81cnica-sobre-LGPD.pdf>.
[14] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
[15] Disponível em: <https://news.un.org/pt/story/2019/02/1660781>.