Códigos de Boas Práticas e a LGPD

Dando início a um processo ainda não visto no Brasil desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais ("LGPD"), na última sexta-feira, dia 12 de março de 2021, a Confederação Nacional de Saúde ("CNSaúde"), em parceria com inúmeras outas entidades e instituições importantes do setor de saúde como a própria Agência Nacional de Saúde Suplementar ("ANS"), disponibilizou o documento denominado: Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde¹.

Trata-se de uma compilação extensa e específica relacionada ao dia a dia do setor da saúde no país, trazendo não apenas definições e conceitos abarcados pela própria legislação como também suas aplicações práticas, além de prévias interpretações de cenários corriqueiros.

Além de meramente orientativo, referido Código se pretende como estruturante das relações envolvendo o tratamento de dados pessoais no setor, pautando as relações entre os inúmeros agentes de saúde no país, conforme se verifica do fragmento transcrito abaixo, retirado na integra do Documento:

Um dos recursos mais eficazes para a adequação aos marcos normativos de proteção de dados é a estipulação de normas deontológicas no setor, que se consubstanciam em Códigos de Conduta ou Guias de Melhores Prática. Estes buscam aplicar as normas gerais de proteção de dados pessoais às hipóteses específicas de tratamento de dados de cada setor, bem como as melhores práticas adotadas, de modo a sistematizar um conjunto de medidas a serem adotadas pelo setor como um todo. Com isso, firma-se um compromisso público de que, além do cumprimento da legislação em si, o setor de compromete às medidas adicionais e específicas para a sua realidade constantes no documento².

Embora seja extremamente louvável a elaboração do respectivo documento, tendo em vista a insegurança jurídica de determinadas estipulações da LGPD quando da sua aplicação na rotina do setor de saúde de maneira geral no país, é necessário, contudo, que se compreenda de maneira mais adequada e pormenorizada qual a função de códigos de conduta com relação a aplicação da legislação. Desta forma, questiona-se qual o seu real papel no tratamento de dados pessoais pelo setor, ou seja, se possuirá caráter vinculativo às entidades de saúde de todo ou país ou se, apenas, deve ser interpretado como "melhores práticas", sem que exista uma imposição taxativa para tanto.

Código de condutas são documentos que podem ser elaborados por inúmeros setores para regulamentar determinadas práticas tidas como adequadas às intuições que os compõem. Especificamente com relação ao tratamento de dados pessoais, a experiência internacional é salutar neste sentido, encorajando os representantes dos mais diversos ramos da atividade econômico a desenvolvê-los.

No Reino Unido, a autoridade daquele país ("ICO") destaca a importância e tais documentos para a garantia do cumprimento das normas do Regulamento Geral de Proteção de Dados europeu ("GDPR"), colocando-se à disposição, inclusive, para auxiliar em sua elaboração. Estabelece também que tais construções devem aprovadas pela referida Autoridade no sentido de se garantir que as exigências ali contidas representam, minimamente, o exigido pela legislação. Além disso, enfatiza que tais documentos devem dispor de orientações específicas acerca de como será realizado o monitoramento referente ao seu cumprimento, bem como as medidas aplicáveis em casos de eventuais violações³.

Na mesma linha, seguem também as orientações das autoridades irlandesa⁴ e francesa⁵ de proteção de dados que, além de ressaltar a importância de tais documentos, pontuam a necessidade de sua aprovação pelo respectivo órgão antes de sua publicização e abertura para assinaturas pelos participantes.

Diferente do GDPR, que definiu, de maneira expressa em seu artigo 40, 4 e 5, tais obrigações de monitoramento acerca do cumprimento dos códigos por seus integrantes, bem como a necessidade de sua aprovação prévia pela respectiva autoridade nacional, caminhou de maneira distinta o legislador brasileiro. Sem fazer juízo de valor se melhor ou pior que o modelo europeu, a LGPD, ao mencionar a possibilidade de criação de tais códigos no país, não estipulou qualquer exigência conquanto ao seu conteúdo, necessidades de aprovação, monitoramento, taxatividade e penalização pelo seu descumprimento. De maneira mais detalhada, o artigo 50 traz apenas a faculdade de que associações e organizações criem regras de boas de práticas e de governança setoriais, não esclarecendo, todavia, qual o limite de sua aplicação. Ainda, em seu §3º, salienta tão somente a possibilidade de que tais práticas sejam reconhecidas e publicadas pela autoridade:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

[...]

§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional⁶.

Retomando especificamente o Código de Boas Práticas em questão, chama a atenção o fato de que, em nenhum momento, constam informações acerca do seu âmbito de incidência perante às instituições de saúde do país, obrigatoriedade de observância, possibilidade de assunção voluntárias às suas normas, fiscalização e penalização. Desta forma, outro não pode ser o entendimento, ainda que neste primeiro momento, de que o Documento tem como intuito trazer apenas orientações e sugestões ao setor acerca de como a LGPD deverá ser aplicada e não obrigações taxativas que devem compulsoriamente ser implementadas.

Reitera-se o intuito de louvável referente à sua construção que, em seu lançamento, contou inclusive com a participação de diretores da própria Autoridade Nacional de Proteção de Dados ("ANPD"), além de outros atores de suma importância no cenário da proteção de dados pessoais no país, como Danilo Doneda e Laura Schertel, coordenadores acadêmicos do projeto, o encarregado de proteção de dados pessoais da ANS, além de outros convidados nacionais e internacionais. Além de sua importância para a área da saúde, o Código estimula outros setores a aturem da mesma forma e, assim, fomentarem cada vez mais a cultura da proteção de dados e privacidade por todo o país.

Destaca-se, porém, a necessidade de que tais códigos possuam a sua abrangência mais bem definida, além da delimitação referente a extensão de sua incidência (se meramente sugestivo, de cumprimento voluntário ou de cumprimento obrigatório), de modo a estabelecerem não só a garantia das melhores práticas em setores específicos, como também a promoção da segurança jurídica entre as partes potencialmente envolvidas. Acrescenta-se, que tais construções são de suma importância, já que ao se estipular requisitos de monitoramento, fiscalização e eventual penalização, evita-se a sua própria banalização.

Além disso, por fim, considera-se importante que a própria ANPD defina em que circunstâncias esse tipo documento deverá ser reconhecido e divulgado por ela e qual o impacto de tal processo em sua construção.