Por essa razão, o GDPR estabelece um específico regime de proteção para os dados sensíveis. De acordo com o artigo 9 da nova regulamentação, dados sensíveis são dados que revelam:
-
Origem racial ou étnica;
-
Opiniões políticas;
-
Crenças religiosas ou filosóficas;
-
Associação a sindicatos;
-
Dados genéticos;
-
Dados biométricos para fins de identificação pessoal;
-
Dados relativos ao estado de saúde ou à vida sexual e/ou orientação sexual de uma pessoa.
O mesmo dispositivo estabelece que o processamento desse tipo de dado é proibido, a não ser quando, dentre outras razões1:
-
Existir o expresso consentimento do titular do dado para um ou mais propósitos;
-
O processamento for inerente e necessário para o exercício das obrigações do controlador da informação;
-
O processamento for necessário para proteger interesses vitais do indivíduo;
-
O processamento for necessário por razões de substancial interesse público;
-
O processamento for necessário por ocasião do exame admissional do funcionário;
-
O processamento for necessário em função de interesse público na área da saúde;
-
O processamento for necessário para fins de pesquisa científica, histórica ou estatística.
No âmbito do GDPR, para que um dado sensível possa ser tratado, o consentimento há de ser livre (dado sem nenhum tipo de pressão ou coação); inequívoco (sem deixar dúvidas de que o titular consentiu com o tratamento); informado (deixando claro o que é tratamento de dados e as implicações do tratamento); expresso (apresentando indicação clara e objetiva de que o titular concorda com o tratamento dos dados e suas implicações); e específico (explicando para o titular o exato propósito do tratamento).
Portanto, empresas farmacêuticas, de diagnósticos e da área de saúde devem ficar particularmente atentas a tais exigências, pois é normal que estas empresas coletem e processem uma colossal quantidade de dados sensíveis.
Assim, faz-se necessário um completo mapeamento de todo o processo de coleta e tratamento dos dados dos usuários, bem como uma reformulação da política de privacidade e dos termos de uso de websites e aplicativos.
No caso dos aplicativos, a questão revela-se particularmente relevante, uma vez que, nos últimos anos, tem-se visto uma explosão do número de aplicações voltadas para a área de saúde. Isso inclui, por exemplo, softwares que fazem o acompanhamento e tratamento dos dados cardíacos do usuário ou que prometem um maior controle sobre o ciclo menstrual da mulher.
Esse último exemplo é bastante instrutivo, já que existem no mercado aplicativos que acumulam um número significativo de dados sensíveis. Normalmente, tais dados compreendem o nome, e-mail, idade e outras informações pessoais das usuárias; comentários sobre sintomas e humor; histórico de doenças e respectivos tratamentos; extensão do período menstrual; frequência que se tem relações sexuais; e diversas outras informações relacionadas à saúde da paciente.
Esse conjunto de informações é extremamente valioso para as empresas do ramo, pois permite que elas entendam o seu público-alvo e suas respectivas demandas. Como resultado, podem desenvolver produtos e serviços melhores, bem como veicular campanhas publicitárias mais eficientes.
A questão é saber se tal coleta e processamento de dados estão sendo realizados em conformidade com o GDPR e com as regras impostas pelo novo regulamento.
Por exemplo, existiu um consentimento livre, informado, inequívoco, expresso e específico? Houve explicação detalhada sobre a forma que os dados serão tratados e de cada uso possível? Pode a controladora do aplicativo compartilhar as informações com seus patrocinadores e parceiros comerciais? Caso a empresa seja vendida, é necessário um novo consentimento?
Todas essas questões devem ser endereçadas nos termos de uso do aplicativo, a fim de garantir que os dados sensíveis das usuárias sejam preservados, dando-lhes a prerrogativa de consentir com cada uso possível.
Como o GDPR se aplica a qualquer empresa que (i) oferece produtos ou serviços na União Europeia ou (ii) de qualquer modo controle o comportamento dos cidadãos no interior da União Europeia, observar tal standard de proteção passa a ser extremamente importante, inclusive para as empresas brasileiras.
Ao fazê-lo, a empresa nacional ganha um selo de qualidade de que respeita a privacidade dos usuários no ambiente virtual, o que, além de expandir a sua base de clientes, pode ajudar a incrementar os seus negócios com empresas europeias.
Do mesmo modo, ao respeitar o GDPR, a empresa nacional em certo sentido já se conforma com a futura lei de proteção de dados brasileira. Afinal, o projeto de lei mais robusto sobre a matéria em análise no Congresso possui várias disposições inspiradas no GDPR, incluindo aquelas que regulam a coleta e tratamento de dados sensíveis.
É fundamental, portanto, que empresas da área de saúde estejam atentas à essa questão. Em um mundo cada vez mais digital, nenhuma delas pode ignorar a matéria.
__________
1 O art. 9.2 lista um total de 10 situações nas quais o uso dos dados sensíveis é possível.
__________
*Gustavo Piva de Andrade é sócio do escritório Dannemann Siemsen Advogados.