quinta-feira, 28 de outubro de 2021

COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de Proteção de Dados >
  4. Healthtechs: Entre sandbox regulatórios, regulação, não se pode esquecer da LGPD

Healthtechs: Entre sandbox regulatórios, regulação, não se pode esquecer da LGPD

sexta-feira, 8 de outubro de 2021

Indubitavelmente, a empresa reflete o dinamismo e o poder de transformação de uma determinada sociedade, conforme destacado por Fábio Konder Comparato,1 na aula inaugural dos Cursos Jurídicos da Faculdade de Direito da Universidade de São Paulo, em 1983. Quase 40 anos depois, e tal afirmação se mantém extremamente atual.

Na sociedade informacional, as noções de estabelecimento empresarial, empresário, empresa e sociedade deixaram de ser contempladas pelo prisma estático para assumir protagonismo, uma vez que inseridos no meio ambiente institucional são, ao mesmo tempo, agentes de alteração e por ele alteradas.

Pode descrever o movimento acima como a simbiose entre práticas do mercado e costumes da sociedade, percebido pelo Direito ante a constatação do deslocamento do poder econômico das sociedades e, esse, por sua vez, gravitando em "função da acumulação tecnológica e, nessa lógica de poder, a compreensão acerca da necessidade de regulação eficiente da atividade empresarial é premente"2. De fato, o poder econômico das organizações empresariais desafia constantemente o Estado,3  e a matéria sobre proteção de dados não foge à regra.

Logo, os desafios aparentes ao universo jurídico se colocam em balancear e regular o domínio da tecnologia e seus usos de acordo com o art. 170 da CF/88, de um lado; e a proteção do consumidor e garantia dos direitos fundamentais, de outro.  

Se a Constituição Federal brasileira é chamada de constituição cidadã, por evidenciar os contornos das relações sociais, restava, assim, definir os contornos do mercado e do uso da tecnologia, para tanto adveio o conjunto normativo formado pelo Marco Civil da Internet (MCI), lei 12.965/14 e pela Lei Geral de Proteção de Dados (LGPD), Lei 13.709/18, voltados a regulação do uso da tecnologia.

Não obstante, restava (ou resta) lançar luz aos caminhos do mercado, pois, embora Comparato e Asquini destaquem os usos e costumes como diretrizes mercadológicas, o equilíbrio das relações e a segurança jurídica do mercado requerem contornos legais claros para o seu desenvolvimento. Assim, no início de junho de 2021, foi promulgada o Marco Regulatório das Startups e do Empreendedorismo Inovador, lei complementar 182/2021, emoldurando as normas de tais modelos de negócio "inovadores", declaradamente no intuito de fomentar a atividade econômica no país.

Nesta conjuntura as healthtechs se destacam, na medida em que vivem em um mercado que já se coloca como altamente regulado. As chamadas healthtechs podem ser descritas como estabelecimentos empresariais colaborativos, que buscam soluções inovadoras e tecnológicas no setor da saúde, por meio de softwares ou plataformas digitais e, assim, a melhoria ao acesso à saúde da sociedade.

A saúde é reconhecida como direito fundamental e constitucionalmente garantido (art. 196 da CF/88), que deixou expresso o "acesso universal e igualitário às ações e serviços para sua promoção, proteção e recuperação" como ideal utópico da Carta Magna, relevando a importância dos players neste mercado de atuação. Para tanto, deverá verificar as disposições da Lei 8.080/1990, que prevê que são serviços de assistência à saúde aqueles destinados à sua proteção, proteção e recuperação. Trata-se, portanto, de conceito amplo que pode abranger diversas atividades, e de certa forma as denominadas healthtechs.

Seja em mercados pautados em direitos fundamentais ou não, fato é que a sociedade atual exige que os empresários vislumbrem a organização da sociedade numa perspectiva holística do modelo de negócio e do mercado em que se inserem. Isto significa dizer que uma das principais preocupações precedentes dos agentes econômicos ao lançar um produto ou serviço deve ser a análise regulatória do mercado ao qual estará inserido.

As regras mercadológicas de enquadramento dos modelos de negócios que opere no setor da saúde, tidos como tradicionais, não suscitam dúvidas. Todavia, aqueles que operam no setor da saúde e tenham modelo de negócio compartilhado devem se atentar às regras clássicas, tais como, quanto a se enquadrar ou não como serviço de assistência à saúde e sobre a constituição do modelo de negócio arrimada em softwares ou plataformas digitais, além das regras contemporâneas, sobre tecnologia e mercado.

Mirando o contexto da tecnologia, caso o modelo de negócio se desenvolva no espaço virtual, deve-se respeitar as regras do Marco Civil da Internet (MCI), lei 12.965/14 e da Lei Geral de Proteção de Dados (LGPD), lei 13.709/18.

Quanto à LGPD, os serviços prestados no setor da saúde envolvem atividades de tratamento de dados, em grande parte dados pessoais sensíveis, conceituados no art. 5, inc. II da LGPD,4 o que demanda profunda atenção destes agentes econômicos ou daqueles que pretendem atuar com produtos e serviços no setor da saúde. Tamanha a importância da matéria que a LGPD reservou a seção II, do capítulo II (que versa sobre o tratamento de dados pessoais), para dispor sobre "do tratamento de dados pessoais sensíveis", que é composta pelos artigos 11 a 13 do referido Diploma Legal, que enfatiza a aplicação de técnicas de anonimização e pseudonimização quando possível.5      

Enquanto não houver regulamentação específica pela ANPD, os agentes econômicos deste setor precisam, no mínimo, seguir o determinado nas regras previstas no artigo 46 e seguintes da LGPD, adotando (a) "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito"; (b) garantindo a segurança da informação, mesmo após o término do tratamento dos dados; (c) comunicando os incidentes de segurança que possam acarretar riscos ou danos aos titulares e; (d) atendendo aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais do referido Diploma.

Um olhar cuidadoso deve estar nos incidentes de segurança nestas plataformas denominadas healthtechs, tanto é que o dever de notificação (art. 48 da LGPD) foi um dos primeiros atos da ANPD6.

Outro ponto de igual relevância diz respeito aos requisitos de segurança e de padrões de boas práticas e governança verifica-se que a LGPD, não à toa, reservou a seção II do Capítulo VII. Muito embora o art. 50 da LGPD contenha o verbo "poderão formular regras de boas práticas e de governança", interpretado em conjunto com o princípio da responsabilidade e prestação de contas (inc. X do art. 6º da LGPD), conclui-se que é uma obrigação dos agentes de tratamento de dados, portanto às healthtechs. Portanto, estas devem envidar esforços para estabeler as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Além disso, esta é uma forte defesa, nos termos do inc. IX do § 1°, do art. 52 da LGPD, porque ao aplicar as sanções administrativas, a ANPD poderá levar em consideração a adoção de política de boas práticas e governança.7 Entendemos que esta defesa extrapola os processos sancionatórios administrativos, podendo ser utilizada, também, nos processos judiciais e arbitrais.

Por fim, sob o prisma do mercado, a recente lei complementar 182/21, Marco Legal das Startups, determina, no artigo 11, que caberá à Administração Pública promover programas de ambiente regulatório experimental (sandbox regulatório) favoráveis ao desenvolvimento das startups, afastando a incidência de normas regulatórias de sua competência, como é o caso das regras emanadas pela ANS, ANVISA e demais agências e órgãos da administração pública. Todavia, quanto à proteção de dados, de natureza constitucional (STF ADI 6390; PEC 17/2019), não pode ser afastada a incidência da LGPD, nem tão pouco a competência da ANPD nos termos do art. 55-K da LGPD que atribui exclusivamente à ANPD a aplicação de sanções administrativas por violação à LGPD. No entanto, o § 3º do art. 55-J da LGPD impõe uma atuação conjunta e coordenada de diversos órgãos reguladores de determinado setor a fim de cumprir suas atribuições com maior eficiência.

Não se nega a importância econômica e sociais das denominadas healthtechs, o que restou consolidado no Marco Regulatório das Startups e do Empreendedorismo Inovador que somente limita a receita bruta da sociedade, o que se diferencia do valor de mercado da própria sociedade. Logo, para ser considerada healthtechs não há limite de valuation da sociedade empresária, mesmo porque as Startups seguem buscando a titulação de unicórnios, ou seja, sociedades privadas que possuem o valuation avaliado em múltiplos de escalonagem que alcancem a marca dos bilhões.

De acordo com relatório publicado pela CB Insights, empresa privada que atua como plataforma de análise de negócios, há um vasto mercado para crescimento das healthtechs, pois é um dos modelos de negócios menos explorados do setor, ao contrário das Fintechs que dominam os topos dos rankings dos unicórnios mundiais. Acredita-se que o mercado nacional dos unicórnios ainda esteja dominado apenas por Fintechs diante do complicado e minucioso sistema regulatório que envolve o setor de saúde, no Brasil e no Mundo. Cabe, então traçarmos diretrizes para que este desenvolvimento seja sustentável assegurando-se o respeito e a eficácia dos direitos e garantias fundamentais, dentro os quais se inclui a proteção de dados pessoais.

*Emanuele Pezati Franco de Moraes é mestre em Direito pela Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo - FDRP/USP (2017-2019). Especialista pelo programa LLM em Direito Civil da Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo - FDRP/USP (2018-2020). Pesquisadora no grupo de pesquisa Observatório da LGPD e Observatório do MCI, ambos vinculados ao CNPq. Associada Fundadora do Instituto Avançado de Proteção de Dados - IAPD. Associada do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogada e sócia fundadora do escritório Advocacia Especializada Pezati Parceiros. Rede social - Instagram: aeppadv

**Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada.

__________

1 COMPARATO, Fabio Konder. A reforma da empresa. In: Direito empresarial: estudos e pareceres. São Paulo: Saraiva, 1995, p. 3-26, p. 3.

2 MACIEL, Renata Mota; MORAES, Emanuele Pezati Franco de. A LGPD Brasileira sob a perspectiva do Direito Comercial: a base de dados como ativo relevante da empresa. In: ANPD e LGPD: desafios e perspectivas. São Paulo: Almedina, 2021, p. 117.

3 BENACHIO, Marcelo; MACIEL, Renata Mota. A LGPD sob a perspectiva da regulação do poder econômico. In: Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alterações da lei 13.853/2019. São Paulo: Almedina, 2020, p. 39-67, p. 41-42.

4 PEROLI, Kelvin. O que são dados pessoais sensíveis? Disponível aqui, acesso em 06 out. 2021.

5 POSSI, Ana Beatriz Benincasa. O que é anonimização e pseudonimização de dados? Disponível aqui, acesso em 06 out. 2021.

6 LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Dever de Notificação dos Incidentes de Segurança com Dados Pessoais - Parte 1. Disponível aqui, acesso em 06 de out. 2021.

 

7 Cf. LIMA, Cíntia Rosa Pereira de; DE LUCCA, Newton. O Brasil está pronto para as sanções administrativas previstas na LGPD? Disponível aqui, acesso em 06 out.2021.

 

Atualizado em: 8/10/2021 08:09