Por Patrícia Holland
A Organização Mundial de Saúde (OMS) prevê que as doenças crônicas não transmissíveis (DCNT) serão responsáveis por quase três quartos de todas as mortes no mundo até 2020. Tendo em vista que cerca de 40% dessas mortes podem ser prevenidas, a Medicina Diagnóstica surge como uma grande aliada nesse processo preditivo.
Essa medicina do futuro (ou medicina 4P: preventiva, preditiva, participativa e personalizada) só é possível graças à transformação digital pela qual o setor da Saúde vem passando e que envolve o uso de tecnologias como inteligência artificial e a criação de algoritmos preditivos a partir da captação, análise, cruzamentos e classificação de informações (dados) dos pacientes atendidos nos diversos tipos de estabelecimentos de saúde.
Neste sentido, a Lei nº 13.709 de 14/8/2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPDP), que entrará em vigor a partir de 14/8/2020, deverá proporcionar maior transparência, segurança e confiabilidade para todos os players e usuários dos serviços de Saúde, abrindo ainda mais espaço para a inovação.
A lei tem clara inspiração na General Data Protection Regulation (GDPR) da União Europeia, que passou a ser obrigatória em 25/5/2018 e é aplicável a todos os países que compõem aquele bloco econômico. Uma das características dessa regulamentação é a exigência de que a troca de dados de cidadãos europeus só seja feita com países de legislação compatível. Daí também a necessidade de o Brasil ter uma lei semelhante, sob pena de começar a ter impactos em suas atividades econômicas.
Mas a necessidade de se ter uma regulamentação como essa não se deve apenas a aspectos econômicos. A legislação brasileira que trata do tema proteção de dados pessoais não é nova. Pelo menos desde a década de 1980, a partir da promulgação da Constituição Federal e do surgimento do Código de Defesa do Consumidor já existem regulamentações que tratam de diversos aspectos específicos da proteção desse tipo de informação. A nova lei surge para consolidar garantias e direitos que antes eram tratados de forma fragmentada em dezenas de legislações diferentes, trazendo mais segurança jurídica e impondo sanções que podem chegar até 2% do faturamento da instituição infratora (no limite de R$ 50 milhões). Ainda que neste momento não esteja muito claro quão contundentes serão as sanções impostas pela Agência Nacional de Proteção de Dados (ANPD), órgão vinculado em caráter transitório à Presidência da República e que será responsável por fiscalizar o cumprimento da legislação, há uma expectativa de que, em caso de incidente envolvendo dados pessoais, as sanções sejam minimizadas se a instituição deixar claro que tomou todas as medidas possíveis para evitar qualquer tipo de ocorrência envolvendo dados de clientes.
O setor de Saúde, pela própria natureza da atividade, já é um segmento que se preocupa com aspectos como privacidade de dados, confidencialidade e segurança da informação. Todos nós sabemos da sensibilidade dos dados que trafegam dentro de nossas instituições e o sigilo médico faz parte do nosso vocabulário corporativo. Aliás, justamente por isso os dados relacionados à saúde são considerados dados pessoais sensíveis pela nova lei. O que muda, fundamentalmente, é o dever de uma maior transparência por parte das instituições junto ao titular do dado, permitindo que o indivíduo decida quais informações deverão ser mantidas em poder da instituição e para qual finalidade elas podem ser tratadas e por quanto tempo isso pode ocorrer.
A expectativa do segmento é a de que o acesso aos dados necessários para a prestação dos serviços de saúde sejam facultados sem restrições pelos titulares, dada a natureza do serviço oferecido e também a consciência cada vez maior de que a área da Saúde é uma das mais beneficiadas pelo big data, isto é, a oportunidade que a análise de grandes volumes de dados pode proporcionar em termos de planejamento de ofertas de serviços cada vez mais adequadas e personalizadas para os diferentes tipos de clientes, tanto no âmbito privado quanto em termos de políticas públicas. Isso sem falar no avanço científico, que em grande parte se constrói com base em dados epidemiológicos.
Porém, nada disso isenta as instituições do setor de se adaptarem à lei que afetará todos os segmentos da economia. Ela é muito clara em relação aos papéis e responsabilidades de cada parte, sejam os controladores, ou seja, as instituições que mantém os dados dos titulares, sejam os operadores, empresas responsáveis pela coleta dos dados, ou os encarregados, os profissionais conhecidos como data protection officers (DPO), pessoas que, em última instância, respondem pela proteção dos dados dentro das organizações.
O pouco tempo até a entrada da lei em vigor está exigindo celeridade das organizações brasileiras no que diz respeito à adaptação de suas estruturas para esse novo componente do cenário de negócios. Neste momento, grande parte das empresas (e o setor de Saúde inclusive) está mergulhada – seja por meios próprios ou com o apoio de consultorias especializadas – no mapeamento de todos os processos para rever todo o ciclo de vida dos dados dentro de suas respectivas organizações e na montagem de um plano de ação para adequar processos (práticas), pessoas e cultura a essa nova realidade que a lei traz.
Alguns consensos já parecem emergir das discussões em torno do assunto. A capacitação intensiva dos profissionais é um cenário que se desenha com muita nitidez no horizonte das empresas. E não somente para que todos entendam o que são dados pessoais e o que a lei estabelece como tratamento desses dados, mas também para a revisão de práticas já consolidadas.
Outra necessidade que se descortina é a relação com a cadeia de fornecedores que orbita o ecossistema da Saúde. Mais do que critérios técnicos (o saber fazer) e o preço, é provável que a aderência às melhores práticas de gestão de dados e a estrutura e expertise para o cumprimento integral da legislação passe a ser critério definidor na seleção de novos parceiros, que, inclusive, estarão sujeitos a auditoria, se necessário. Já não basta gerenciar o próprio negócio, é necessário gerenciar a cadeia como um todo, pois, em última análise, somos responsáveis solidários por qualquer eventualidade/incidente envolvendo dados sob nossa guarda.
A criação de uma área responsável pela gestão dos dados também parece ser um caminho a ser seguido por grande parte das empresas prestadoras de serviços de saúde, especialmente as grandes organizações, cujo volume de dados tratados e a grande variedade de finalidades de tratamento justifiquem isso. Nesse sentido, as organizações europeias, que já tiveram que passar por esse processo quando da adequação à General Data Protection Regulation (GDPR), trabalham com dois modelos: ou criam esse núcleo interno, que suporta toda a organização no sentido da adoção das melhores práticas, ou contrata um data protection officers (DPO) externo, que fica responsável pela segurança de dados da instituição.
Se por um lado espera-se que o consentimento seja fornecido sem restrições pelos titulares para as atividades fins das organizações de saúde, ou seja, para o cuidado assistencial, não se sabe qual será o comportamento desses mesmos titulares quando as finalidades forem atividades complementares como, por exemplo, comunicação e marketing, que cada vez mais são baseadas nos dados e comportamentos dos indivíduos no mundo digital, segmentando ofertas e estabelecendo canais de comunicação cada vez mais personalizados. Nesse sentido, não apenas o data protection officers (DPO) como outras áreas da instituição deverão trabalhar juntas para encontrar a melhor forma de continuar a realizar as atividades sem, no entanto, desrespeitar a lei.
Como vemos, esse tema ainda está cercado de incertezas e cada empresa está buscando suas respostas, seja individualmente, seja no âmbito das associações setoriais. O fato é que a Lei Geral de Proteção de Dados Pessoais (LGPDP) bate às nossas portas e cabe a todos nós, em conjunto, guiarmos nossas instituições para a aderência aos termos da lei. Porém, num momento em que o setor discute cada vez mais o empoderamento do paciente e sua efetiva participação no cuidado com a própria saúde, devemos encarar esse desafio como mais uma oportunidade para trazer o paciente para perto das nossas instituições, numa relação mais ética e transparente, com potencial para gerar mais adesão e comprometimento de quem, afinal, é o centro das nossas atenções.
Patrícia Holland é diretora-executiva da BP Medicina Diagnóstica, unidade de negócios da BP – A Beneficência Portuguesa de São Paulo.