Aula 6
Proteção de Dados Pessoais e a Pesquisa Científica
O tema da proteção de dados pessoais no Brasil tem bases normativas relativamente recentes. Com a sanção da Lei Geral de Proteção de Dados (LGPD), a Lei 13.709 de 2018, o país passa a ser um dos mais de cem países no mundo a contar um uma lei sobre o tema.A LGPD abrange qualquer tratamento de dados pessoais realizado no Brasil.
Uma lei geral sobre proteção de dados é, basicamente, uma legislação que determina quais os direitos que os cidadãos terão sobre seus dados e os critérios e requisitos que empresas e agentes públicos deverão seguir para tratá-los. Ao mesmo tempo, a lei proporciona maior segurança para as atividades que utilizam dados pessoais - inclusive para a pesquisa científica - e que, hoje, operam sem ter certeza sobre quais regras devem ser aplicadas.
Saiba mais:
Vídeo 1 - Explicando Proteção de Dados
Fonte: Privacy International.
A utilização de dados pessoais vem crescendo nas mais diversas áreas, e a necessidade de sua utilização na pesquisa científica faz com que seja imperativo que os princípios de proteção de direitos do titular se coadunem com a possibilidade de sua utilização com segurança nestas atividades.
Importante:
A lei não se aplica a dados que não identificam o titular, incluindo dados anonimizados. O que é anonimização de dados?
É a utilização de meios técnicos razoáveis e disponíveis no tratamento dos dados por meio dos quais os dados perdem a possibilidade de serem relacionados direta ou indiretamente a um indivíduo.
Não se trata de uma lei somente sobre a Internet ou sobre tecnologia - trata-se de um novo pacto que vai definir as bases do tratamento de dados pessoais, cada vez mais importante em nossa sociedade, procurando garantir tanto a preservação dos direitos e liberdades dos cidadãos quanto proporcionar segurança para os que realizam o tratamento de dados de forma legítima e transparente.
Por dados pessoais entendem-se todos aqueles que podem ser relacionados a uma pessoa, independentemente de sua natureza ou qualquer outro atributo seu. Assim, qualquer informação que esteja associada a uma pessoa será um dado pessoal desta, independente de eventuais qualificações posteriores (se o dado é referente à saúde, à sua qualificação pessoal, se é um dado cadastral ou outro). A noção de dado pessoal, portanto, é muito ampla. No entanto, o dado pessoal não é, por si só, sigiloso ou confidencial, porém apenas objeto de algum tipo de controle pelo titular: dados pessoais podem, inclusive, ser de acesso público em determinadas circunstâncias.
O que a LGPD faz é proporcionar ao titular uma série de direitos para que possa conhecer e administrar livremente como seus dados são utilizados e, ao mesmo tempo, criar uma base legal para que a sua utilização se dê com segurança.
No Brasil, esta base legal não tinha seus contornos bem definidos até o surgimento da LGPD. O tema da proteção de dados não é abordado de forma direta pela Constituição Federal, que basicamente trata da proteção à intimidade e à vida privada (Art. 5º, X) e das comunicações (Art. 5º, XII) sem, no entanto, tratar especificamente da proteção de dados - somente com a ação de Habeas Data que, no entanto, tem eficácia somente em determinados casos.
Lei de Acesso a Informação I(LAI) X Lei Geral de Proteção de Dados (LGPD)
O incremento no tratamento de dados pessoais fez com que a Lei de Acesso à Informação (Lei 12.527/2011), que regulamenta o acesso à informações em posse de órgãos públicos, na falta de uma legislação específica, tivesse que prever regras de proteção de dados que, ante a ausência de uma regulamentação específica para o tema, foi evocada para regular o acesso a dados pessoais em posse de órgãos públicos. E, assim fazendo, acabou estabelecendo normas que acabaram por ser aplicadas em determinadas ocasiões nas quais não se tratava propriamente de limites e regras para a transparência, porém ao regime em si aplicado ao uso de dados pessoais pela administração pública, incluindo o seu uso e compartilhamento. Esta utilização “expansiva” da LAI causa certa limitação potencial a usos que possam ser legítimos de informações pessoais, inclusive com reflexos quanto às atividades de pesquisa científica.
Saiba mais:
Vídeo 2 - O que é exploração de dados?
Fonte: Privacy International.
A crescente posição central dos dados pessoais para o desenvolvimento de diversas atividades se deixava notar na presença cada vez mais acentuada de menções a dados pessoais em diversas textos legais, desde aqueles que abordam a proteção ao crédito, a utilização da Internet. Não ocorre de forma diversa com a pesquisa científica: a Resolução 466/2012 do Conselho Nacional de Saúde referente a pesquisas envolvendo seres humanos incorpora diretamente algumas técnicas de proteção aos dados de pessoas envolvidas, utilizando instrumentos desde o sigilo até a estipulação firme do princípio da finalidade, um princípio tradicional de proteção de dados que estabelece que os dados pessoais somente podem ser utilizados para a finalidade que justificou a sua coleta - no caso, a pesquisa científica. O Termo de Consentimento Livre e Esclarecido continua sendo o principal instrumento para a coleta e tratamento de dados pessoais para pesquisa.
A profusão de regulamentações sobre o tema e outros fatores trouxeram a necessidade de uniformização sobre a matéria, dando início ao processo que resultou na LGPD.
Dentro do seu papel de norma geral para o tratamento de dados pessoais, a LGPD estabelece também normas com efeitos específicos para o tratamento de informações pessoais para pesquisa em saúde pública, proporcionando o espaço necessário para que o desenvolvimento de reflexão crítica e de normativa específica referente à matéria seja empreendida em um futuro imediato.
Assim, em seu Art 13, são estabelecidas regras que, entre outros parâmetros, possibilitam a utilização de dados pessoais para finalidades estritas de pesquisa em saúde pública por órgão de pesquisa, sem possibilidade de comunicação para terceiros e desde que sejam mantidos em ambiente seguro. O recurso a métodos que proporcionem maior segurança, como a pseudonimização, é incentivado, bem como consideração de parâmetros éticos é literalmente mencionada.
Importante:
O que é pseudonimização de dados?
Em termos gerais, os identificadores dos dados são removidos e substituídos por um único código chave. Somente será possível rastrear os dados de volta ao indivíduo com a utilização do código chave, que é utilizado para fins específicos a exemplo da resolução de aspectos de segurança e verificação dos dados.
A LGPD define órgão de pesquisa como:
órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
Com o advento da LGPD, os órgãos de pesquisa deverão se preparar para as mudanças quando a lei entrar em vigor, a partir de fevereiro de 2020. Precisarão entender os princípios gerais que se aplicam à pesquisa, quais as terminologias jurídicas para garantir sua adequada disseminação e aplicação pelas partes interessadas, incluindo definições sobre certas categorias de dados cujo processamento é proibido por princípio, mas excepcionalmente admitido para fins de pesquisa de interesse público.
Saiba mais:
Assista ao vídeo abaixo, realizado pelo Centro de Integração de Dados e Conhecimentos para Saúde (Cidacs), em outubro de 2018. O vídeo aborda a incidência da Lei Geral de Proteção de Dados sobre a pesquisa em saúde e os aspectos da legislação que reverberam no campo da pesquisa científica, sobretudo em temas como consentimento, titularidade, governança de dados e medidas técnicas e organizacionais.
Vídeo 3 - Webinar “Proteção de Dados Pessoais - Aspectos da Nova Legislação na Pesquisa Científica”
Fonte: Cidacs Fiocruz.
Considerações finais
A proposta da Ciência Aberta altera o contexto do monopólio da informação e dos dados para pesquisa, desenvolvimento tecnológico e inovação. Contudo, por ser um movimento emergente, alguns de seus aspectos estão em processo de adequação a questões legais e normativas relativas a direitos e garantias individuais e coletivos. Há, portanto, necessidade de realizar discussões e harmonizações para evitar a insegurança jurídica.
Em virtude de disputas por prioridade da descoberta, proteção industrial e necessidade de acesso e segurança da informação, aspectos legais relacionados aos termos e condições de acesso, compartilhamento e abertura devem ser levados em consideração.
A sociedade da informação é a sociedade do conhecimento, nela o bem mais valioso são a informação,os dados, os perfis. Valendo-se da tecnologia da informação e da comunicação para atingir seus objetivos, sociais, políticos e econômicos.
FERREIRA (2017, p.113)
A gestão transparente se justifica na medida em que tratam de um bem relevante para a validade, eficácia e eficiência dos atos administrativos, para a garantia de direitos, para a prestação de contas pelas autoridades públicas, para o controle social das ações governamentais e para o desenvolvimento científico.
Os dados utilizados ou resultantes da pesquisa em saúde fruto do exercício da autoridade e atividade pública, realizada com emprego de recursos públicos devem ser objetos de uma gestão transparente, pois tratam-se de dados públicos administrativos sobre os quais pode incidir o interesse público pela informação, que podem ser objeto tanto de transparência ativa quanto passiva, se não sofrem restrição de acesso em razão de uma hipótese legal ou constitucional.
O exercício da autoridade e atividade pública comprometida com a obediência aos Princípios Constitucionais da administração pública, tais como a Legalidade, Publicidade e Eficiência demanda, necessariamente, uma gestão da informação capaz de garantir a disponibilidade, integridade e confidencialidade da informação administrativa, não apenas para a eficácia de seus atos, mas para a promoção e fortalecimento de um Estado Democrático e uma sociedade segura e participativa.
Entender que embora seja necessário limitar a divulgação de alguns dados, aqui adjetivados como sigilosos, é preciso considerar sempre o princípio da máxima divulgação das informações públicas e o da excepcionalidade das hipóteses de restrição, sem perder de vista a importância da preservação desses dados. Como evidenciamos, a restrição do acesso deve ser pautada por uma temporalidade, cujo termo implicará em sua ampla abertura e divulgação.
No caso da pesquisa realizada com financiamento público a transparência de todo seu processo e desenvolvimento é imprescindível, devendo ser o mais ampla quanto possível e restrita ao limite da necessidade.
Parceiros:
