Um tema cuja discussão tem ganhado relevância é a proteção de dados relacionados à saúde, em especial a responsabilidade civil que pode decorrer das falhas na proteção de tais dados. O tema teve sua repercussão ampliada com a aprovação do Projeto de Lei nº 4.060/2012 pela Câmara dos Deputados, transformado na Lei Ordinária nº 13.709/2018 (dispõe sobre o tratamento de dados pessoais).
Conhecida como “Lei de Proteção de Dados”, pretende trazer uma regulação mais precisa do tratamento de dados no Brasil. Até então, a matéria possuía regulamentação em diplomas legais esparsos, a exemplo da Constituição, Código de Defesa do Consumidor e Marco Civil da Internet.
Estruturada em 65 artigos, a Lei em comento apresenta desde os fundamentos da proteção de dados no Brasil, até as boas práticas a serem adotadas e eventuais sanções decorrentes da sua inobservância. A Seção III (Capítulo VI – art. 42 a 45) regula especificamente a questão da responsabilidade civil e do ressarcimento de danos decorrentes do tratamento inadequado de dados.
Para fins da referida Lei, são responsáveis pela proteção dos dados os controladores e operadores, denominados de agentes de tratamento. Em seu art. 42, além de delimitar as espécies de danos em relação aos quais o controlador ou operador de danos é responsável – quais sejam, os danos patrimoniais, morais, individuais e coletivos –, a Lei também estabelece duas hipóteses de responsabilidade solidária (art. 42, §1º): (i) aquela em que o operador descumpre as obrigações ali impostas, sendo para os fins da responsabilização equiparado ao controlador; e (ii) todos os controladores envolvidos no tratamento que deu causa ao dano.
Ainda, em termos de responsabilização civil, há outros pontos que também merecem atenção.
A Lei, tendo em vista a criação de nova hipótese de responsabilidade solidária, se preocupou em definir expressamente a possibilidade de regresso daquele controlador e/ ou operador que ressarciu o dano frente aos demais coobrigados. Também mostrou preocupação com a tutela dos danos coletivos (art. 42, §3º) e definiu expressamente que suas disposições não afastam a incidência do Código de Defesa do Consumidor (art. 42, §4º).
Por fim, é interessante observar que a Lei definiu expressamente três hipóteses de exclusão da responsabilidade civil, ou seja, hipóteses em que os agentes de tratamento podem afastar o dever de indenizar. Nesses casos, incumbe aos agentes de tratamento comprovar sua ocorrência, que se traduzem em hipóteses de prova negativa: (i) prova de que não realizaram o tratamento dos dados; (ii) embora tenham efetuado o tratamento de dados, não infringiram a legislação específica; e, por fim, (iii) o dano decorreu exclusivamente de conduta do titular dos dados ou terceiro.
As hipóteses de irregularidade do tratamento de dados encontram-se descritas no art. 44 da Lei e impõem aos agentes de tratamento a observância das normas específicas de segurança e boas práticas, prescritas no Capítulo VII, Seção I, da Lei. Seguindo uma tendência internacional (data integrity), a Seção II do Capítulo VII possui disposições específicas em relação à adoção de mecanismos de governança pelos operadores e controladores e para a proteção de dados, prática com perspectivas crescentes no setor da saúde. Implica, também, o aprimoramento da tecnologia utilizada na guarda e tratamento dos dados de paciente para a preservação dos dados e a proteção contra acessos ilegais ou indesejados.
De toda sorte, apesar de toda a regulamentação da Lei, emergiu preocupação com eventuais brechas que teriam impactos significativos no setor da saúde. Preocupações como a dispensa de autorização do titular dos dados quando estes forem utilizados em cumprimento de obrigações regulatórias ou, ainda, necessários para a execução de contrato ou de procedimento preliminares relacionados a contrato do qual seja parte o titular.
A questão central volta-se à forma como as operadoras de saúde irão acessar os dados, em especial aqueles referentes a prontuários médicos e históricos hospitalares. O aparente problema, todavia, é facilmente contornado pela imposição legal de que o acesso, uso e compartilhamento de dados observem finalidades específicas.
Em linha com a preocupação de proteção dos dados relacionados à saúde, o art. 11, §4º, da Lei veda a comunicação e compartilhamento de dados pessoais sensíveis relacionados à saúde, principalmente quando houver interesse de obtenção de vantagens econômicas.
As discussões a respeito são realizadas todas em tese, na medida em que o diploma legal ainda não possui vigência. Dessa forma, é preciso aguardar qual será a interpretação dada pelos tribunais da adequada aplicação da Lei de Proteção de Dados.
