A monetização de dados de saúde está se tornando uma realidade cada vez mais presente em nossa sociedade, sem que esse fenômeno seja sequer percebido pelas pessoas ou, ainda, sem que o Estado organize uma regulação e uma estrutura de fiscalização adequadas para que tal comércio de dados se dê em conformidade com a Lei Geral de Proteção de Dados aprovada no Brasil em 2018 (Lei 13.709).
A LGPD, em seu art. 5º, I, define dado pessoal como toda “informação relacionada a pessoa natural identificada ou identificável”. Conforme o inciso II do mesmo artigo, é considerado dado pessoal sensível aquele referente à saúde, quando vinculado a uma pessoa natural.
Com notícias da Anvisa e da ANS, o JOTA PRO Saúde entrega previsibilidade e transparência para empresas do setor
Em um mundo cada vez mais digitalizado e onde dados sensíveis de saúde são captados de variadas formas, deve-se ter especial atenção aos chamados “controladores” de dados. A LGPD define o controlador como a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
Ao mesmo tempo, a lei define “tratamento de dados” como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Ou seja, hoje temos no Brasil uma enorme quantidade de “controladores” de dados, fazendo diuturnamente o “tratamento” desses dados, muitas vezes lidando com dados sensíveis ligados à saúde individual, como uma doença, uma condição física ou aspectos da vida sexual e da saúde mental de uma pessoa.
Um exemplo de “tratamento” de dados é o feito pelas grandes redes farmacêuticas do país, que realizam o tratamento de dados pessoais para cadastrar e identificar os seus clientes nas operações de comercialização de produtos farmacêuticos para fins de bonificação associada à fidelização do cliente.
Tendo em vista que essas redes farmacêuticas são responsáveis por decisões referentes ao tratamento de dados pessoais, pode-se afirmar com tranquilidade que essas redes são controladoras de dados. O mesmo vale para planos de saúde, para as big techs ou para os detentores de softwares que coletam dados sensíveis das pessoas.
De acordo com a LGPD, para que uma atividade de tratamento de dados pessoais seja considerada legal ela deve estar prevista nas hipóteses legais e o agente de tratamento deve observar os princípios gerais de tratamento de dados pessoais, como finalidade, adequação, necessidade, transparência e livre acesso. Também é preciso assegurar aos titulares de dados os direitos previstos na norma para toda a cadeia de tratamento, isto é, desde a coleta dos dados pessoais até o seu eventual comércio ou descarte.
O art. 6º, I, da LGPD prevê o princípio da finalidade, segundo o qual o tratamento dos dados pessoais deve ser realizado para “propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Portanto, o tratamento de dados pessoais deve estar sempre associado a um propósito que seja: (i) legítimo, lícito e compatível com o ordenamento jurídico; (ii) específico, de forma que seja possível delimitar o escopo do tratamento e garantir a proteção dos dados pessoais; (iii) explícito, ou seja, expresso de uma maneira clara e visível; e (iv) informado, disponibilizado em linguagem simples e de fácil compreensão e acesso ao titular dos dados.
O princípio da finalidade também limita o tratamento posterior dos dados pessoais, feito após a coleta e armazenamento dos dados. Eventual uso secundário somente pode ser realizado para uma finalidade que seja compatível com a finalidade original para a qual os dados pessoais foram coletados. O princípio da adequação, previsto no art. 6º, II, impõe a observância da compatibilidade entre o tratamento dos dados pessoais e as finalidades que são informadas ao titular dos dados, observado o contexto em que é realizado. Em outras palavras, o tratamento do dado deve ser adequado ao propósito inicial da coleta de dados informado ao titular.
A questão que se coloca hoje é que as normas da LGPD não estão sendo bem observadas. Se pegarmos o exemplo das farmácias, a coleta de dados pessoais por elas feita serve para construir um histórico pessoal de produtos vendidos aos clientes nos últimos anos e para a perfilização destes (individualização e construção de um “perfil de consumidor”).
Esse perfil será então utilizado para fins de oferecer ao titular dos dados produtos específicos que sejam mais de acordo com as suas necessidades. No entanto, o que vem ocorrendo é que essas informações estão sendo comercializadas (monetizadas) com outras empresas, em especial empresas de tecnologia e de publicidade, para fins de direcionamento de vendas e publicidade, monetizando os dados pessoais e relativos à saúde do titular.
A monetização de dados pessoais de saúde vem sendo conduzida, em geral, por pessoas jurídicas criadas especialmente para tais fins, que podem ou não integrar o mesmo grupo empresarial. Os dados são assim transferidos para outras pessoas jurídicas (que passam a ser novas controladoras destes dados), diversas daquelas que originariamente coletaram e armazenaram os dados pessoais sensíveis de saúde de uma pessoa.
Com base nesses dados o mercado vem “perfilizando” os clientes a partir de análise dos hábitos de consumo. O novo tratamento de dados feito por essa segunda pessoa jurídica visa organizar as bases de dados, com perfilização, para fins de realizar publicidade direcionada. Essa publicidade é feita não somente no âmbito das redes digitais específicas de comércio da pessoa jurídica que originalmente coletou o dado, mas também para a realização de anúncios em outras plataformas digitais, como Google, Meta, YouTube e TikTok.
Essa modalidade é elaborada a partir do cruzamento da base de dados da rede de farmácia específica com as bases de dados das plataformas mencionadas. Esse tratamento de dados organiza os clientes em grupos de perfis semelhantes, a partir de algoritimos e uso de inteligência artificial. Para cada grupo será veiculado o anúncio julgado “relevante”, sempre que tais clientes acessarem as plataformas mencionadas, seja a da rede de farmácia que originalmente coletou o dado, seja as outras plataformas pertencentes às big techs.
As empresas que realizam essas práticas alegam que o cliente precisa consentir para receber tais anúncios. Alegam ainda que estão sempre em contato com o cliente por meio de mensagens de texto e e-mail e que este pode informar a qualquer momento que não deseja mais receber esse tipo de comunicação.
De fato, ao consentir o cliente autoriza o tratamento de seus dados para a criação de descontos personalizados a partir de seu histórico de compras de produtos de saúde, e para a comunicação de descontos e conteúdo personalizados. Embora aqui se tenha uma leve sugestão de que os dados sensíveis coletados serão usados para perfilização, a realidade é que os clientes não fazem ideia do significado e da amplitude que o seu aceite aos termos impostos pelas redes farmacêuticas podem ter. Até porque só consentem porque são quase obrigados a isso para obter os “descontos”.
Em geral, o consentimento dado ao oferecer o CPF ou outro tipo de “consentimento” qualquer exigido pelas plataformas digitais dessas empresas são interpretados como “consentimentos tácitos” para o recebimento de publicidades e ofertas individualizadas por meio de “mídias em geral” (ou seja, por meio de outras plataformas que não a que originalmente coletou o dado). Essa prática denota falta de transparência e clareza e torna a possibilidade de escolha um teatro de faz de conta. O termo “mídias em geral” pode se referir a qualquer canal, diminuindo a capacidade de decisão do titular de dados.
Também é preocupante a falta de transparência caracterizada pelo “consentimento” que o titular do dado deve dar ao responder às perguntas: “aceita receber ofertas e descontos exclusivos?”; “é possível que seja necessário compartilharmos alguns de seus dados pessoais com terceiros?”. Falta transparência aqui porque a informação de que a empresa utiliza o histórico de compras do cliente para gerar descontos personalizados somente é apresentada no aviso legal, que quase ninguém lê. Também falta transparência porque todo o tratamento de dados potencialmente ocorre sem o conhecimento do titular.
Ainda que a empresa de publicidade ou as plataformas das big techs utilizem em suas campanhas dados anonimizados (o que não é 100% garantido), não se pode ignorar toda a cadeia de tratamento de dados que precede tal anonimização. Deve-se avaliar se a utilização dos dados pessoais é feita com finalidades compatíveis com aquelas que legitimaram a coleta primária dos dados. E, ainda, se o consentimento para tal tratamento foi obtido de forma válida, conforme os critérios estabelecidos na LGPD, que prevê, em seu art. 5º, XII, que o consentimento consiste em “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Vale lembrar também o que a LGPD prevê no art. 8º, § 4º: “O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”. Ou seja, em se tratando de dados pessoais sensíveis, o consentimento deve ser feito de forma específica e destacada, para finalidades específicas (art. 11, I, LGPD). Por fim, ressalte-se o disposto no art. 11, § 4º, segundo o qual “é vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica (…)”.
Quem já fez compras na farmácia ou em outros sites especializados e em seguida passou a receber propagandas dirigidas por meio das diferentes redes sociais ou sites que acessa está sendo vítima de um sistema de gestão de dados pessoais desregulado e voltado a aumentar lucros de empresas. É urgente que a Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos de controle passem a atentar para essas práticas corriqueiras do mercado de monetização de dados de forma mais aprofundada, adotando medidas mitigadoras que protejam os cidadãos destas práticas ilegais e nocivas às pessoas e aos direitos fundamentais.
