A pseudonimização como instrumento para proteção de dados pessoais na área da saúde

Por Olavo André de Medeiros Florêncio - 03/04/2021

A partir da promulgação da Lei Geral de Proteção de Dados Pessoais – LGPD (lei nº 13.709/18), a proteção de dados pessoais passou a merecer especial atenção na área da saúde. E ganhou ainda mais relevância com a consolidação da digitalização de informações pessoais sobretudo em virtude da pandemia de COVID-19 (veja-se a popularização da telemedicina).

Diante do dever de adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais, aos responsáveis pelo tratamento desses dados (agentes de tratamento) foi concebida a obrigação de formular regras de boas práticas e de governança para a proteção de dados pessoais dos titulares. 

É dizer: os agentes responsáveis pelo tratamento de dados têm o dever de buscar a mitigação de riscos, por meio da adoção de toda e qualquer medida voltada à proteção dos dados pessoais disponibilizados pelos respectivos titulares. 

A adoção dessas medidas, porém, impõe a observância de dois pressupostos básicos associados ao direito dos titulares à proteção de dados pessoais, quais sejam: a) proteção contra riscos que ameaçam os dados em qualquer etapa do tratamento (por exemplo: na coleta, no processamento, na utilização e ou ainda na circulação desses dados pessoais); b) o direito do usuário de controlar o fluxo dos dados. 

Na área da saúde, especialmente no tocante a serviços médicos e odontológicos, os cuidados com o tratamento de dados dos pacientes merecem especial atenção, já que naturalmente envolvem “dados referentes à saúde”, ou seja, dados pessoais sensíveis (tais como diagnósticos e resultados de exames clínicos, laboratoriais, de imagem etc.).

Nesse contexto, a pseudonimização emerge como opção para fortalecer a proteção de dados pessoais, uma ferramenta com espaço para ampla aplicabilidade. 

Em linhas gerais, a pseudonimização é definida pela própria LGPD como “tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro” (art. 13, §4º). 

Trata-se, pois, de metodologia que substitui informações contidas em um conjunto de dados individuais por um identificador artificial, um pseudônimo (por exemplo: um código, uma chave, um “ID”). A ideia é diminuir a chance de que informações (que venham a ser compartilhadas) por si levem à identificação do respectivo titular.

Embora a lei discorra sobre essa ferramenta ao tratar da proteção de dados voltados a “estudos em saúde pública”, não se vê óbice para sua utilização no tratamento de dados pessoais de pacientes de modo geral, já que seu objetivo é, justamente, fortalecer a proteção dos dados.

Tome-se como exemplo uma clínica médica, em que os dados dos pacientes são tratados para: a) questões administrativas (cadastro, faturamento e cobrança); b) atendimento médico pelo profissional e sua equipe (diagnóstico, prescrição de tratamento). De um lado, não se vê necessidade de tratamento dos dados pessoais sensíveis (como resultados de exames) pela área administrativa, a quem, em tese, interessam apenas dados pessoais genéricos (de cadastro). Doutro lado, para a equipe técnica (médicos e enfermeiros) podem ser desnecessárias determinadas informações sobre cadastro (como endereço, número do CPF).  

Nessa situação hipotética, com a pseudonimização as informações pessoais do paciente seriam mantidas “separadamente pelo controlador em ambiente controlado e seguro”, de modo a dificultar a identificação a partir dos dados que forem tratados. Somente o controlador dos dados teria acesso ao meio de identificação do paciente, capaz de associar aquelas informações ao respectivo titular.

Enfim, a pseudonimização configura ferramenta relevante para agregar maior eficiência na proteção de dados, especialmente na área da saúde. E favorece sobretudo os pacientes que nela encontram mais um escudo contra eventuais riscos no compartilhamento de seus dados pessoais.

​

​