Lei de Proteção de Dados pode prejudicar pesquisas na saúde, diz advogado
Sancionada pelo presidente Michel Temer no início de agosto e prevista para vigorar a partir de fevereiro de 2020, a Lei Geral de Proteção de Dados já muda a rotina nas empresas. Afinal, elas precisarão de adaptações culturais e tecnológicas para não só tratar com maior segurança os dados pessoais, como também para saber quais informações de fato se deve ter em mãos, e quais não são necessárias – alguns especialistas afirmam que, com a nova lei, os dados pessoais deverão ser tratados como “lixo tóxico”.
O escritório de advocacia Mattos Filho é um dos que vêm recebendo consultas a respeito das mudanças necessárias visando se adequar às novas regras. Para guiar esse processo, a empresa lançou o Guia para a Lei Geral de Proteção de Dados, explicando seus pontos mais sensíveis e os aspectos jurídicos mais complexos para as companhias levarem em conta.
Em entrevista a Época NEGÓCIOS, um dos sócios do escritório, Fabio Kujawski, diz quais setores empresariais podem ser mais impactados pela regra. Segundo ele, a área da saúde – em especial as áreas dedicadas a análises clínicas e desenvolvimento de medicamentos – deve ter especial atenção.
A lei prevê a “tutela da saúde” como uma das justificativas pelas quais os dados podem ser tratados sem consentimento do titular. Mas não estabelece critérios específicos. “Por exemplo: uma nova vacina que esteja em fase de aprovação na Anvisa. Os testes com pessoas, que teriam seus dados coletados, poderiam ser tratados com base nesse dispositivo. Mas há uma dúvida de até onde vai essa possibilidade e a partir de onde o titular pode dizer que está havendo uma invasão de privacidade”, diz Kujawski.
O advogado afirma que esse ponto, entre outros, merecerá atenção em uma regulamentação específica da lei que deverá chegar com o novo presidente – clique aqui para ler o texto sancionado por Temer. Ele comentou também o caráter geral da legislação na entrevista, que você confere a seguir:
Foram recorrentes preocupações das empresas com a lei que motivaram o lançamento do guia?
A gente já vinha trabalhando a questão da proteção de dados desde 2014, com o Marco Civil da Internet, depois com a GDPR. Agora, a Lei de Proteção de Dados se relaciona ao mesmo tema, mas com uma abrangência muito maior. É uma lei para todas empresas brasileiras, tenham ou não elas clientes que são pessoas físicas, já que os próprios funcionários são titulares de dados. Não tem empresa que não precise se adaptar à legislação. Por isso achamos importante lançar este material, ajudando nossos clientes nesse processo.
Quais as principais adaptações que as empresas precisam fazer?
As empresas terão que criar processos internos que não tinham antes. Assim como a Lei Anticorrupção tornou preciso criar novas práticas de compliance. Um quesito muito importante é o que no GDPR, é chamado de private by design, ou seja, a preocupação com a privacidade desde a concepção de um produto ou serviço. Qualquer novidade, desde um aplicativo a uma nova área de negócios, tem que considerar a proteção de dados. Informando exatamente para que vai usar as informações coletadas, e permitindo o acesso do usuário, a retificação dos dados e a exclusão deles.
As empresas costumavam pensar que quanto mais informações eu tiver do consumidor, melhor, para alimentar programas de marketing, etc. Hoje, a recomendação é oposta a essa. O negócio tem que se assegurar que só tem as informações que de fato precisa. Tem que ter dados com finalidade específica, e não manter dados em excesso, seja na quantidade ou no tempo de retenção na sua base.
Outra coisa importante é a inclusão do o DPO [data protection officer, que na lei brasileira é designado como Encarregado pelo Tratamento de Dados Pessoais] que será identificado para responder pelo cumprimento dessa nova lei.
O que ainda precisa ser melhor esclarecido no texto?
Ainda há algumas dúvidas que a regulamentação, que deve vir por decreto, pode solucionar. Por exemplo, a lei permite que se tratem dados pessoais com base no que se chama “interesse legítimo”. Mas como vou saber o que é legítimo? O que determina que eu possa coletar os dados sem o consentimento do usuário, porque está enquadrado nessa definição?
Outra discussão importante é a possibilidade de tratamento de dados ligados à saúde, que também pode acontecer sem o consentimento do titular. Até onde vai o direito da empresa de fazer isso? E até onde deve prevalecer o consentimento? Isso pode ir desde prontuário médico até testes da indústria farmacêutica, para entender os efeitos colaterais de novos remédios. Por exemplo: uma nova vacina que esteja em fase de aprovação na Anvisa. Os testes com pessoas, que teriam seus dados coletados, poderiam ser tratados com base nesse dispositivo. Mas há uma dúvida de até onde vai essa possibilidade e a partir de onde o titular pode dizer que está havendo uma invasão de privacidade. Temos visto um debate acalorado no setor por causa disso.
Além da saúde, que setores empresariais estão mais sujeitos a mudanças de comportamento com a lei?
Você tem, por exemplo, companhias de seguros. Elas têm situações novas, como a possibilidade de obter informações do segurado via internet das coisas – os alarmes domésticos são um exemplo básico. E, dependendo do uso, pode gerar a interpretação de que houve desvio de finalidade. Então elas terão que tomar cuidado para ver se estão tratando apenas as informações que elas precisam, dentro da finalidade designada.
O agronegócio também é afetado, com o crescimento da agronomia de precisão. Há um vazio no entendimento de se as empresas que fornecem esses serviços poderão utilizar essas bases de dados sem violar a privacidade dos produtores.
Na falta de uma regulamentação mais precisa, como evitar problemas em casos como esses?
Uma possibilidade para evitar ter problemas com esses e outros casos é o de tratar os dados de forma anonimizada, sem identifica as pessoas. A lei diz que, dessa forma, pode-se usar livremente as informações.
A lei é rigorosa em alguns aspectos, mas tem excelentes bases jurídicas para tratar algumas bases de dados sem o consentimento das pessoas, como esse. E também para fins de cumprimento de contrato ou decisões legais. O consentimento é uma base legal ruim para o tratamento de dados, porque pode ser revogado a qualquer momento. Então o exercício fundamental de adaptação é saber se você pode se valer de uma dessas nove bases legais, que não seja o consentimento do titular de dados. Isso já dará uma base mais sólida.
Fazendo um balanço geral, a Lei de Proteção de Dados tem mais efeitos positivos ou negativos?
Uma lei positiva quando traz segurança jurídica para o tratamento de dados. Então só por isso ela é muito importante.
É uma lei dá vários direitos ao titular dos dados. Protege as pessoas de forma significativa. Por outro lado, autoriza as empresas a tratar dados pessoais com previsões jurídicas que não sejam somente o consentimento. É pró-consumidor, mas não exclusivamente isso. Nesse sentido, está bem equilibrada.
Há apenas um ponto em que a lei merece reparo. Há um dispositivo que veda o compartilhamento de dados sensíveis, na área da saúde, quando houver um interesse econômico das empresas com isso. Isso é ruim, porque temos pesquisas médicas e clínicas com fins lucrativos. Uma empresa que queira desenvolver uma vacina e obter lucro com isso não deveria ser impedida. Isso pode dificultar pesquisas clínicas, o desenvolvimento de novas drogas. É um artigo infeliz.
