Como Equilibrar a Saúde Pública e a Proteção à Privacidade Durante o Estado de Emergência da COVID-19 (Novo Coronavírus)?

Os casos de suspeita e confirmação da infecção pelo Novo Coronavírus se multiplicam em progressão geométrica no Brasil e no mundo. Nesse cenário de tanta preocupação, as empresas ainda precisam estar atentas a aspectos jurídicos (de ordem prática),inclusive com relação à privacidade.

Com o intuito de alertar sobre alguns impactos da pandemia, em relação à privacidade de dados, destacamos determinados aspectos que podem impactar as atividades empresariais:

 

  • Em 6 de fevereiro de 2020 foi publicada a Lei nº 13.979/2020 para dispor sobre as medidas para enfrentamento da emergência de saúde pública de importância internacional decorrente do NovoCoronavírus. A situação de emergência perdurará de acordo com determinação doMinistro de Estado da Saúde e declaração da Organização Mundial de Saúde.
  • Dessa forma, foram estabelecidas algumas medidas, tais como a determinação de:

 

(i) realização compulsória de exames médicos, testes laboratoriais, coleta de amostras clínicas, vacinação e outras medidas profiláticas, ou ainda, outros tratamentos médicos específicos;

 

(ii) comunicação imediata às autoridades sanitárias sobre possíveis contatos com agentes infecciosos do NovoCoronavírus e a circulação em áreas consideradas como regiões de contaminação pelo vírus;

 

(iii) compartilhamento obrigatório entre órgãos e entidades da administração pública de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo Coronavírus, com a finalidade exclusiva de evitar a sua propagação (sendo que essa medida estende-se às empresas privadas, quando os dados forem solicitados por autoridade sanitária); e

 

(iv) manutenção, pelo Ministério daSaúde, de dados públicos e atualizados sobre os casos confirmados, suspeitos e em investigação, relativos à situação de emergência pública sanitária, resguardando o direito ao sigilo das informações pessoais.

 

  • As medidas previstas na Lei nº13.979/2020 entraram em vigor na data de sua publicação, no dia 06 de fevereiro de 2020, e vigorará enquanto perdurar o estado de emergência internacional peloCoronavírus.
  • Ademais, a Portaria nº 204, de 17de fevereiro de 2016 já determinava, no âmbito dos serviços de saúde no Brasil, a notificação compulsória sobre a suspeita ou infecção pela SíndromeRespiratória Aguda Grave associada a Coronavírus (a. SARS-CoV b. MERS- CoV) – item43 do Anexo dessa Portaria).
  • De acordo com a Portaria nº 204,a notificação compulsória da suspeita ou confirmação da SARS associada aoCoronavírus é obrigatória para os médicos, outros profissionais de saúde ou responsáveis pelos serviços públicos e privados de saúde que prestam assistência aos pacientes, incluindo os responsáveis por estabelecimentos educacionais, de cuidado coletivo, além de serviços de hemoterapia, unidades laboratoriais e instituições de pesquisa.
  • A notificação compulsória imediata deve ser realizada pelo profissional de saúde ou responsável pelo serviço assistencial que prestar o primeiro atendimento ao paciente, em até 24(vinte e quatro) horas desse atendimento, pelo meio mais rápido disponível.
  • Nesse cenário, podem surgir questionamentos a respeito da eventual violação à privacidade dos indivíduos, inclusive às normas previstas na Lei Geral de Proteção de Dados (Lei nº13.709/2018), que entrará em vigor em agosto de 2020 (“LGPD”) para regulamentar o tratamento de dados pessoais.
  • Note que o tratamento de dados pessoais inclui qualquer operação relacionada a uma pessoa física que possa ser identificada, incluindo atividades como, por exemplo, a coleta, classificação, transmissão, eliminação e até mesmo o simples acesso, ou seja, a mera visualização dos dados numa tela de computador ou num papel impresso.
  • De acordo com a LGPD, dados de saúde são classificados como dados pessoais sensíveis, que estão sujeitos a hipóteses de tratamento específicas, como por exemplo, para cumprir alguma obrigação legal ou regulatória, como as normas referidas.
  • No entanto, é importante observar alguns parâmetros e os princípios estabelecidos na LGPD, tendo em vista que (a) a Lei nº 13.979/2020 e a Portaria nº 204 não estabelecem limitações claras ao compartilhamento das informações de saúde e (b) os dados pessoais sensíveis gozam de um regime especial de proteção dada à potencialidade de causar danos aos seus titulares, em caso de exposição desnecessária.
  • Dessa forma, algumas dúvidas podem surgir na prática. Por exemplo, qual o limite das informações que devem ser repassadas ao Poder Público com relação aos seus colaboradores numa situação concreta (i.e. suspeita ou confirmação de diagnóstico de um funcionário)? Dessa forma, ao cumprir as normas acima, as empresas devem realizar um balanceamento, levando em conta os princípios previstos na LGPD, de modo que as comunicações e o compartilhamento de dados de saúde devem ser, por exemplo:

 

(i) limitadas às finalidades exigidas pelas normas em questão, ou seja, propósitos legítimos, específicos, explícitos e claramente informados aos titulares dos dados sensíveis, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, como, por exemplo a utilização de dados de saúde para fins discriminatórios;

 

(ii) adequadas, i.e. compatíveis com o tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento no âmbito das normas mencionadas;

 

(iii) limitadas ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

 

(iv) realizadas utilizando medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

 

(v) não discriminatórias; etc.

 

  • Portanto, ao cumprir as determinações legais e regulatórias, é importante que as empresas observem alguns balizamentos em linha com os princípios previstos na LGPD, a partir de sua entrada em vigor.
  • Um acompanhamento próximo das discussões e determinações feitas pelas autoridades de saúde no Brasil e uma interpretação cuidadosa da LGPD, de uma forma multidisciplinar, é fundamental, para proteger os colaboradores, a imagem da empresa, estar em conformidade com a legislação em vigor e, sem dúvida, cooperar com as autoridades de saúde na resolução desse estado emergencial pelo qual passa a população mundial.

Nosso time de Privacidade de Dados e Cibersegurança está à disposição para auxiliá-los a endereçar dúvidas concretas com relação a esse assunto.