MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. O GDPR e a proteção dos dados sensíveis

O GDPR e a proteção dos dados sensíveis

Gustavo Piva de Andrade

Todas essas questões devem ser endereçadas nos termos de uso do aplicativo, a fim de garantir que os dados sensíveis das usuárias sejam preservados, dando-lhes a prerrogativa de consentir com cada uso possível.

quinta-feira, 24 de maio de 2018

Atualizado em 23 de maio de 2018 11:04

Ao promulgar o General Data Protection Regulation (GDPR), o legislador europeu deixou claro que alguns dados pessoais são particularmente sensíveis, uma vez que seu processamento pode gerar significativos riscos à privacidade dos indivíduos.

Por essa razão, o GDPR estabelece um específico regime de proteção para os dados sensíveis. De acordo com o artigo 9 da nova regulamentação, dados sensíveis são dados que revelam:

  • Origem racial ou étnica;
  • Opiniões políticas;
  • Crenças religiosas ou filosóficas;
  • Associação a sindicatos;
  • Dados genéticos;
  • Dados biométricos para fins de identificação pessoal;
  • Dados relativos ao estado de saúde ou à vida sexual e/ou orientação sexual de uma pessoa.

O mesmo dispositivo estabelece que o processamento desse tipo de dado é proibido, a não ser quando, dentre outras razões1:

  • Existir o expresso consentimento do titular do dado para um ou mais propósitos;
  • O processamento for inerente e necessário para o exercício das obrigações do controlador da informação;
  • O processamento for necessário para proteger interesses vitais do indivíduo;
  • O processamento for necessário por razões de substancial interesse público;
  • O processamento for necessário por ocasião do exame admissional do funcionário;
  • O processamento for necessário em função de interesse público na área da saúde;
  • O processamento for necessário para fins de pesquisa científica, histórica ou estatística.

No âmbito do GDPR, para que um dado sensível possa ser tratado, o consentimento há de ser livre (dado sem nenhum tipo de pressão ou coação); inequívoco (sem deixar dúvidas de que o titular consentiu com o tratamento); informado (deixando claro o que é tratamento de dados e as implicações do tratamento); expresso (apresentando indicação clara e objetiva de que o titular concorda com o tratamento dos dados e suas implicações); e específico (explicando para o titular o exato propósito do tratamento).

Portanto, empresas farmacêuticas, de diagnósticos e da área de saúde devem ficar particularmente atentas a tais exigências, pois é normal que estas empresas coletem e processem uma colossal quantidade de dados sensíveis.

Assim, faz-se necessário um completo mapeamento de todo o processo de coleta e tratamento dos dados dos usuários, bem como uma reformulação da política de privacidade e dos termos de uso de websites e aplicativos.

No caso dos aplicativos, a questão revela-se particularmente relevante, uma vez que, nos últimos anos, tem-se visto uma explosão do número de aplicações voltadas para a área de saúde. Isso inclui, por exemplo, softwares que fazem o acompanhamento e tratamento dos dados cardíacos do usuário ou que prometem um maior controle sobre o ciclo menstrual da mulher.

Esse último exemplo é bastante instrutivo, já que existem no mercado aplicativos que acumulam um número significativo de dados sensíveis. Normalmente, tais dados compreendem o nome, e-mail, idade e outras informações pessoais das usuárias; comentários sobre sintomas e humor; histórico de doenças e respectivos tratamentos; extensão do período menstrual; frequência que se tem relações sexuais; e diversas outras informações relacionadas à saúde da paciente.

Esse conjunto de informações é extremamente valioso para as empresas do ramo, pois permite que elas entendam o seu público-alvo e suas respectivas demandas. Como resultado, podem desenvolver produtos e serviços melhores, bem como veicular campanhas publicitárias mais eficientes.

A questão é saber se tal coleta e processamento de dados estão sendo realizados em conformidade com o GDPR e com as regras impostas pelo novo regulamento.

Por exemplo, existiu um consentimento livre, informado, inequívoco, expresso e específico? Houve explicação detalhada sobre a forma que os dados serão tratados e de cada uso possível? Pode a controladora do aplicativo compartilhar as informações com seus patrocinadores e parceiros comerciais? Caso a empresa seja vendida, é necessário um novo consentimento?

Todas essas questões devem ser endereçadas nos termos de uso do aplicativo, a fim de garantir que os dados sensíveis das usuárias sejam preservados, dando-lhes a prerrogativa de consentir com cada uso possível.

Como o GDPR se aplica a qualquer empresa que (i) oferece produtos ou serviços na União Europeia ou (ii) de qualquer modo controle o comportamento dos cidadãos no interior da União Europeia, observar tal standard de proteção passa a ser extremamente importante, inclusive para as empresas brasileiras.

Ao fazê-lo, a empresa nacional ganha um selo de qualidade de que respeita a privacidade dos usuários no ambiente virtual, o que, além de expandir a sua base de clientes, pode ajudar a incrementar os seus negócios com empresas europeias.

Do mesmo modo, ao respeitar o GDPR, a empresa nacional em certo sentido já se conforma com a futura lei de proteção de dados brasileira. Afinal, o projeto de lei mais robusto sobre a matéria em análise no Congresso possui várias disposições inspiradas no GDPR, incluindo aquelas que regulam a coleta e tratamento de dados sensíveis.

É fundamental, portanto, que empresas da área de saúde estejam atentas à essa questão. Em um mundo cada vez mais digital, nenhuma delas pode ignorar a matéria.

__________

1 O art. 9.2 lista um total de 10 situações nas quais o uso dos dados sensíveis é possível.

__________

*Gustavo Piva de Andrade é sócio do escritório Dannemann Siemsen Advogados.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca