Responsabilidade civil e proteção de dados: impactos no setor da saúde

A partir de 2020, com a entrada e vigor da Lei Ordinária nº 13.709/2018, a responsabilidade pela proteção e tratamentos de dados passa a possuir regulamentação específica no Brasil. Discute-se quais os possíveis impactos da nova Lei nos dados do setor da saúde
001

Guilherme Nadalin

Advogado egresso do Vernalha Pereira

Share on linkedin
LinkedIn
Share on facebook
Facebook
Share on twitter
Twitter
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email

Um tema cuja discussão tem ganhado relevância é a proteção de dados relacionados à saúde, em especial a responsabilidade civil que pode decorrer das falhas na proteção de tais dados. O tema teve sua repercussão ampliada com a aprovação do Projeto de Lei nº 4.060/2012 pela Câmara dos Deputados, transformado na Lei Ordinária nº 13.709/2018 (dispõe sobre o tratamento de dados pessoais).

Conhecida como “Lei de Proteção de Dados”, pretende trazer uma regulação mais precisa do tratamento de dados no Brasil. Até então, a matéria possuía regulamentação em diplomas legais esparsos, a exemplo da Constituição, Código de Defesa do Consumidor e Marco Civil da Internet.

Estruturada em 65 artigos, a Lei em comento apresenta desde os fundamentos da proteção de dados no Brasil, até as boas práticas a serem adotadas e eventuais sanções decorrentes da sua inobservância. A Seção III (Capítulo VI – art. 42 a 45) regula especificamente a questão da responsabilidade civil e do ressarcimento de danos decorrentes do tratamento inadequado de dados.

Para fins da referida Lei, são responsáveis pela proteção dos dados os controladores e operadores, denominados de agentes de tratamento. Em seu art. 42, além de delimitar as espécies de danos em relação aos quais o controlador ou operador de danos é responsável – quais sejam, os danos patrimoniais, morais, individuais e coletivos –, a Lei também estabelece duas hipóteses de responsabilidade solidária (art. 42, §1º): (i) aquela em que o operador descumpre as obrigações ali impostas, sendo para os fins da responsabilização equiparado ao controlador; e (ii) todos os controladores envolvidos no tratamento que deu causa ao dano.

Ainda, em termos de responsabilização civil, há outros pontos que também merecem atenção.

A Lei, tendo em vista a criação de nova hipótese de responsabilidade solidária, se preocupou em definir expressamente a possibilidade de regresso daquele controlador e/ ou operador que ressarciu o dano frente aos demais coobrigados. Também mostrou preocupação com a tutela dos danos coletivos (art. 42, §3º) e definiu expressamente que suas disposições não afastam a incidência do Código de Defesa do Consumidor (art. 42, §4º).

Por fim, é interessante observar que a Lei definiu expressamente três hipóteses de exclusão da responsabilidade civil, ou seja, hipóteses em que os agentes de tratamento podem afastar o dever de indenizar. Nesses casos, incumbe aos agentes de tratamento comprovar sua ocorrência, que se traduzem em hipóteses de prova negativa: (i) prova de que não realizaram o tratamento dos dados; (ii) embora tenham efetuado o tratamento de dados, não infringiram a legislação específica; e, por fim, (iii) o dano decorreu exclusivamente de conduta do titular dos dados ou terceiro.

As hipóteses de irregularidade do tratamento de dados encontram-se descritas no art. 44 da Lei e impõem aos agentes de tratamento a observância das normas específicas de segurança e boas práticas, prescritas no Capítulo VII, Seção I, da Lei. Seguindo uma tendência internacional (data integrity), a Seção II do Capítulo VII possui disposições específicas em relação à adoção de mecanismos de governança pelos operadores e controladores e para a proteção de dados, prática com perspectivas crescentes no setor da saúde. Implica, também, o aprimoramento da tecnologia utilizada na guarda e tratamento dos dados de paciente para a preservação dos dados e a proteção contra acessos ilegais ou indesejados.

De toda sorte, apesar de toda a regulamentação da Lei, emergiu preocupação com eventuais brechas que teriam impactos significativos no setor da saúde. Preocupações como a dispensa de autorização do titular dos dados quando estes forem utilizados em cumprimento de obrigações regulatórias ou, ainda, necessários para a execução de contrato ou de procedimento preliminares relacionados a contrato do qual seja parte o titular.

A questão central volta-se à forma como as operadoras de saúde irão acessar os dados, em especial aqueles referentes a prontuários médicos e históricos hospitalares. O aparente problema, todavia, é facilmente contornado pela imposição legal de que o acesso, uso e compartilhamento de dados observem finalidades específicas.

Em linha com a preocupação de proteção dos dados relacionados à saúde, o art. 11, §4º, da Lei veda a comunicação e compartilhamento de dados pessoais sensíveis relacionados à saúde, principalmente quando houver interesse de obtenção de vantagens econômicas.

As discussões a respeito são realizadas todas em tese, na medida em que o diploma legal ainda não possui vigência. Dessa forma, é preciso aguardar qual será a interpretação dada pelos tribunais da adequada aplicação da Lei de Proteção de Dados.

Leia também

Assista aos vídeos