LGPD e Inteligência Artificial em Saúde: mini guia

Desde o final de 2020, a Lei Geral de Proteção de Dados (LGPD) entrou finalmente em vigor, levando toda empresa ou governo a ser obrigado a pedir o consentimento da pessoa para obter seus dados. Mas, claro, existem exceções à regra, como no caso para que órgãos possam executar campanhas de política pública, como campanhas de vacinação.

Na LGDP, dado pessoal sensível é considerado o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Em entrevista ao portal do SERPRO (Serviço Federal de Processamento de Dados) a advogada Patricia Peck Pinheiro destaca que “quando a pauta é proteção de dados pessoais e dados pessoais sensíveis na saúde, devemos lembrar que há todo um ecossistema interligado, que vai da clínica médica ao hospital, perpassa o laboratório, a farmácia, o próprio paciente e os agentes de saúde, bem como toda a esfera pública – como o Sistema Único de Saúde (SUS). Ou seja, alcança desde o registro de um simples cadastro em um consultório até a entrada em um PS de um hospital (público ou privado)”.

Aplicações diversas

Segundo especialistas do Instituto LGPD, no setor da saúde o tratamento dos dados médicos e dos dados pessoais são usados para uma ampla gama de aplicações, que incluem a análise automatizada de resultados de exames, a criação de tratamentos e rotinas personalizadas para pacientes e a gestão digital dos dados de pacientes. Todas estas aplicações se beneficiam do fato de que a interação com médicos, enfermeiros, psicólogos e outros profissionais da saúde,

bem como das profissões administrativas que lhes servem de apoio, geram muitas informações a respeito dos pacientes.

Com a adoção de tecnologias de Inteligência Artificial, passou a ser possível encontrar padrões estatísticos em meio aos dados de grandes números de pacientes. Mas se por um lado esta riqueza de dados pode contribuir para o tratamento de pacientes e para o funcionamento do sistema de saúde de uma forma geral, por outro lado muitos destes dados são enquadrados pela Lei Geral de Proteção de Dados como dados sensíveis (art. 5º, II), exigindo especial cuidado por se referirem a questões centrais na vida das pessoas naturais.

O cuidado adequado com estes dados sensíveis passa por uma série de questões, como a garantia de que estes dados serão utilizados para a finalidade adequada, a adoção de salvaguardas que possam minimizar o impacto de eventuais vazamentos e a garantia de que as informações extraídas a partir destes dados sejam confiáveis.

Segundo a advogada Patricia, o setor de saúde, juntamente com muitos outros, está se tornando cada vez mais dependente de dados e análises para fornecer serviços mais rápidos e melhores. É um dos setores que passam por grande inovação e transformação digital, já com uso de Inteligência Artificial, Big Data, Machine Learning, plataformas em nuvem e diversas outras tecnologias de análise da dados específicos, como plataformas especializadas de detecção de lesões em imagens. Por isso, o cumprimento da regulamentação de proteção de dados é uma responsabilidade que ultrapassa os limites geográficos, especialmente para um setor que lida com a segurança física e emocional dos indivíduos. Nesse cenário, a tríade pessoas, processos e tecnologia é mais forte do que nunca.

Acessos externos e internos

Patrícia também destaca que os controles de segurança relacionados a dados de saúde não devem ser aplicados apenas em relação a acessos não autorizados de terceiros (pessoas externas à instituição), mas também aos controles internos.

Em uma instituição de saúde, nem todas as informações devem estar disponíveis para todos os profissionais. O acesso aos resultados de exames e aos prontuários eletrônicos deve seguir políticas de acesso, garantindo a conformidade ao Artigo 6 da LGPD, que prevê que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios como finalidade, adequação, necessidade, transparência, entre outros.

E falhas levam a multas. Estudos apontam em 2020 e 2021 a falta de atenção às normas da GDPR aumentou o volume de aplicação de multas por violações de controles de segurança no ambiente de saúde, especialmente pelo não cumprimento do seu Artigo 32, equivalente ao Artigo 46 da LGPD – “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

“A privacidade hoje é uma realidade mundial. E o futuro da privacidade esbarra nas questões de Inteligência Artificial. Acreditando que teremos um marco regulatório de Inteligência Artificial centrado no bem-estar humano, podemos iniciar imediatamente o levantamento dos riscos que um sistema inteligente pode causar para indivíduos e sociedade. Este ponto de partida poderá ajudar a traçar estratégias para um futuro que está muito mais próximo do que imaginamos”, ressalta Patricia.