Opinião & Análise

LGPD

Proteção de dados pessoais e vacinação contra Covid-19

Bom exemplo para ANPD: autoridade francesa tenta garantir que programa de vacinação respeite proteção de dados

Foto: Marcelo Camargo/Agência Brasil

Mais um ano se inicia e, novamente, as expectativas de um futuro melhor e mais próspero são renovadas, principalmente quando o seu antecessor é nada menos que 2020, ano em que o vírus Sars-CoV-2 ou Covid-19 impôs à população condições vistas apenas no começo do século XX, além de milhões de mortos e um impacto econômico até então incalculável. Logo, o maior desejo para 2021 não pode ser diferente: vacina.

Desenvolvidas em tempo recorde pelos principais pesquisadores em virologia no mundo, até o presente momento, foram devidamente testadas apenas algumas delas, tais como a elaborada pela Universidade de Oxford em parceira com a biofarmacêutica AstraZeneca, a do laboratório norte-americano Pfizer e a de origem chinesa Sinovac[1]. Embora essas vacinas estejam aprovadas por órgãos reguladores de outros países, no Brasil a análise regulatória só está programada para ser divulgada no próximo domingo (17).

Essa última, inclusive, teve a testagem de sua fase realizada pelo Instituto Butantan, vinculado à Universidade de São Paulo, cuja taxa de eficácia geral foi informada como sendo 50,38%, e teve reportada também a eficácia de 78% para casos leves, sendo, com a vacina Oxford-AstraZeneca, uma das principais apostas para ser ministrada à população brasileira[2].

Enquanto inicia-se a corrida pela aquisição tanto dos referidos imunizantes bem como dos insumos necessários para a sua aplicação em massa na população global, tendo inúmeros países, inclusive, já iniciado o processo de vacinação de seus nacionais, chamam a atenção detalhes que inicialmente podem representar tão somente um cuidado secundário quando o assunto é a imunização mundial, mas que a médio e longo prazo podem produzir efeitos colaterais tão danosos aos indivíduos quanto os próprios resultados inesperados dos medicamentos, quais sejam, o uso indiscriminado de dados pessoais de saúde de maneira indiscriminada, sem a devida atenção/proteção necessária.

É certo que o direito à saúde, previsto na Declaração Universal dos Direitos Humanos (DUDH), é fator crucial para a construção de uma sociedade mais justa, democrática e solidária e, como tal, deve ser garantido às populações de todos os países do globo.

Inobstante, é importante ressaltar que o direito à privacidade também se encontra previsto no mesmo diploma, motivo pelo qual não pode ser subjugado indefinidamente. Exatamente por isso, inclusive, está diretamente relacionado à manutenção da dignidade da pessoa humana, mais especificamente no que se refere ao direito de personalidade.

Neste contexto, ressaltando a importância de que as políticas de vacinação sejam desenvolvidas e aplicadas em consonância aos princípios e hipóteses concernentes aos tratamentos de dados pessoais estabelecidos pelas legislações nacionais, a autoridade francesa de proteção de dados pessoais (CNIL), em resposta ao projeto elaborado pelo Ministério da Solidariedade e Saúde daquele país que propôs a criação de um tratamento de dados pessoais de saúde denominado Sistema de Informação (SI) “Covid-19”, teceu inúmeras recomendações referentes ao Regulamento Geral de Proteção de Dados europeu (GDPR) para que a medida não infrinja os direitos de seus titulares[3].

Entre elas, inicialmente, a Autoridade ressalta a necessidade de se deixar transparente quais são os objetivos referentes ao tratamento de dados pessoais de saúde por meio do SI Covid-19, aplicados para a organização da campanha de vacinação, seu monitoramento, o fornecimento de insumos, além da realização de pesquisas e análises de farmacoviligância.

Com relação aos dados envolvidos no tratamento, apenas informações contidas nos documentos de identidade, detalhes de contato e número de seguro social serão coletados dos participantes, além daquelas informações de saúde estritamente necessárias para a constatação acerca da sua elegibilidade para participação no programa, como condições crônicas etc.

O período de retenção dos dados pessoais envolvidos no tratamento será de 10 anos, exceto nos casos em que sejam identificados novos riscos em determinados indivíduos, quando o prazo será dilatado até 30 anos.

Com relação às pessoas autorizadas a acessá-los, além dos profissionais de saúde envolvidos na campanha, o médico que acompanha o titular também poderá ter acesso às informações mediante o seu consentimento. Também estão autorizadas outras agências públicas, como o Fundo Nacional de Seguro Saúde ou a Agência Nacional de Segurança de Medicamentos e Produtos de Saúde, ambos apenas no exercício restrito de suas atribuições e tão somente aos dados que lhe sejam necessários.

Dados pseudonimizados estarão disponíveis a uma maior gama de autoridades públicas, com o objetivo de monitorar a cobertura da vacinação e organizar a campanha, bem como também serão transmitidos ao Health Data Hub e ao Fundo Nacional de Seguro Saúde, para o gerenciamento da crise sanitária e aprofundamento com relação ao vírus.

Por fim, interessante perceber que a CNIL foi enfática ao exigir que todos os terceiros envolvidos, subcontratados pelo Ministério, garantam que os sistemas de informação com os quais o SI Covid-19 irá interagir sejam tornados públicos em seu sítio eletrônico, reforçando o dever de transparência do Governo quanto ao tratamento.

Tal preocupação por parte da CNIL demonstra não apenas a importância da proteção de dados pessoais de saúde para os indivíduos de maneira individual, mas também como a sua gestão adequada serve para o próprio sucesso do projeto de vacinação de uma maneira macro, já que, por meio de tais registros, é possível que o Ministério tenha total controle acerca do andamento da campanha, de maneira eficiente e digitalizada.

Em que pese esteja-se abordando uma questão de emergência mundial e com grandes consequências à saúde da população, com tais recomendações a Autoridade francesa demonstra que não só é possível a garantia dos direitos dos titulares de dados pessoais em um cenário tão amplo e urgente como também que a sua gestão adequada, inclusive por meio da adoção de ferramentas digitais eficientes, pode colaborar com o sucesso da campanha.

Com relação ao Brasil, apesar de a campanha de vacinação ainda não ter sido iniciada e sequer estar completamente definida pelo Ministério da Saúde, importante que tais considerações já estejam na pauta do programa para que, seguindo as práticas de privacy by desgin, ao ser publicado, já abarque questões atinentes à salvaguarda da proteção de dados pessoais dos milhões de brasileiros participantes.

Ao mesmo tempo, é de extrema importância que a recém-criada Autoridade Nacional de Proteção de Dados (ANPD) tenha participação ativa em sua construção, assegurando, assim como fez a CNIL, os direitos referentes ao tratamento de dados pessoais dos titulares.

Essa, talvez, possa ser a primeira grande oportunidade da ANPD de demonstrar a sua importância à população brasileira, bem como tecer importantes considerações quanto ao tratamento massivo de dados pessoais e dados sensíveis pelo poder Público, confirmando a caráter geral e irrestrito da Lei nº 13.709/2018.

Reitera-se, aqui, que os direitos em questão, saúde e proteção de dados pessoais, possuem o mesmo status de direitos fundamentais, tese que já que pacificada pelo Supremo Tribunal Federal (STF) no julgamento das ADI’s 6.387, 6.388, 6.389, 6.390 e 6.393, todas referentes à Medida Provisória (MP) nº 954 que impunha a obrigação, às operadoras de telefonia, de compartilharem indiscriminadamente com o IBGE dados pessoais de milhões de brasileiros sob a justificava genérica de “auxílio no combate à pandemia da Covid-19”.

Como se não bastasse, também se encontra em pauta a PEC nº 17/2019, que visa incluir expressamente a proteção de dados pessoais entre os direitos fundamentais estabelecidos pelo art. 5º da Constituição, bem como estabelece como competência exclusiva da União legislar sobre o tema. Bioni e Zanatta (2020)[4], inclusive, já manifestaram o entendimento de que, para que as campanhas de vacinação sejam eficientes, é fundamental que os governos utilizem dados pessoais de maneira adequada e em sintonia com a respectiva legislação de proteção.

Desta maneira, por se tratarem de normas principiológicas, apesar de admitirem gradações proporcionais em sua aplicação, devem obrigatoriamente ser implementadas na maior medida do possível, sem mitigações injustificadas.

E é exatamente isso que demonstrou a CNIL ao atuar de maneira incisiva junto ao Ministério francês, ou seja, embora seja urgente o início dos programas nacionais de vacinação contra a Covid-19 por questões evidentes, não há motivos para que a proteção de dados pessoais dos cidadãos seja ignorada, sendo totalmente compatíveis os temas, devendo o poder público também atuar fortemente neste sentido.

Cabe reiterar que tanto o Decreto nº 10.212/2020 quanto a Lei 13.379/2020, ambos referentes à atuação durante a pandemia da Covid-19, estabelecem não somente a importância da proteção de dados pessoais para o combate, mas a obrigação de que tal direito seja garantido aos cidadãos, evidenciando a possibilidade de conciliá-los com as medidas sanitárias necessárias.

Finalmente, em que pese o setor público, por meio do Ministério da Saúde, seja o principal agente responsável pela resposta à pandemia no Brasil e, consequentemente, sobre o projeto da vacinação, nos últimos dias tem se ventilado a hipótese de que clínicas participares comprem insumos para disponibilizá-los à população[5].

Logo, é evidente que, caso tal cenário se concretize, tais entidades também deverão se comprometer com as obrigações estipuladas pela LGPD, bem como futuras orientações tanto do próprio Ministério quanto da ANPD, sob pena de severas fiscalizações e sanções.


O episódio 48 do podcast Sem Precedentes faz uma análise sobre a atuação do Supremo Tribunal Federal (STF) em 2020 e mostra o que esperar em 2021. Ouça:


[1] Disponível em: <https://g1.globo.com/sp/campinas-regiao/terra-da-gente/noticia/2020/09/03/coronavirus-conheca-as-vacinas-testadas-no-brasil.ghtml>. Acesso em 05 de janeiro de 2021.

[2] Disponível em: <https://g1.globo.com/sp/sao-paulo/noticia/2021/01/07/aplausos-e-gritos-de-alegria-video-mostra-reacao-de-equipe-do-butantan-ao-saber-da-eficacia-da-coronavac-em-sp.ghtml. Acesso em 07 de janeiro de 2021.

[3] Disponível em: <https://www.cnil.fr/fr/la-collecte-de-donnees-dans-le-cadre-de-la-vaccination-contre-la-covid-19-quelles-garanties-pour-les>. Acesso em 05 de janeiro de 2021.

[4] BIONI, Bruno e ZANATTA, Rafael. Proteção de dados pessoais faz parte da vacina contra Covid-19. JOTA, 2020. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/protecao-de-dados-faz-parte-da-vacina-contra-covid-19-04052020>. Acesso em 05  de janeiro de 2021.

[5] Disponível em: <https://g1.globo.com/bemestar/vacina/noticia/2021/01/03/clinicas-particulares-negociam-compra-de-5-milhoes-de-vacinas-indianas-contra-covid-diz-associacao.ghtml>. Acesso em 05 de janeiro de 2021.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito
Sair da versão mobile