Saúde: Quando o prontuário é um livro aberto

Coleta e venda de dados de saúde é negócio multibilionário e de contornos opacos. Tramita no Congresso um projeto de que lei pode ajudar a garantir privacidade

Por Raquel Torres, do Outra Saúde

O mundo todo repercutiu a notícia quando, em março deste ano, soubemos que informações de dezenas de milhões de perfis do Facebook tinham vazado e ficado à disposição da empresa de análise de dados Cambridge Analytica. O escândalo foi ainda maior porque os dados, em sua maioria coletados sem consentimento por meio de um teste de personalidade, serviram para direcionar propagandas políticas e tiveram papel relevante tanto na campanha eleitoral de Donald Trump, nos Estados Unidos, como na votação do Brexit, a saída do Reino Unido da União Europeia. Aqui no Brasil, 443 mil perfis foram afetados.

Mas bem menos comentado foi o fato de que, até aquele momento, o Facebook sondava  hospitais e outras instituições de saúde dos Estados Unidos propondo o compartilhamento de informações dos usuários.

A ideia era cruzar dados fornecidos pelas instituições — como idade, doenças e prescrições — com o material existente no próprio Facebook, para teoricamente ajudar a identificar pacientes que precisassem de cuidados especiais. Mas, qualquer que fosse a intenção, havia ao menos um problema bem grave: em nenhum momento foi aventada a necessidade de informar os pacientes ou, menos ainda, de pedir sua permissão.

Na verdade, o projeto inteiro era secreto e só veio à tona com uma reportagem de Christina Farr, no site CNBC, a quem um porta-voz da empresa confirmou a história: “Este trabalho não passou da fase de planejamento e não recebemos, compartilhamos nem analisamos dados de ninguém”, garantiu. O Facebook também disse em nota que, após a questão da Cambridge Analytica, havia decidido “pausar” essas discussões. Mas não falou nada sobre encerrá-las.

Nossos dados de saúde estão por toda parte, na internet e fora dela: são registros médicos, cadastros em farmácias, históricos de navegação, interações em blogs, sites e redes sociais. Isso não é necessariamente ruim —individualmente, ninguém nega o quanto novas tecnologias podem facilitar a vida e, no plano coletivo, processar e cruzar dados é necessário e importante. “Precisamos dar aos profissionais de saúde determinadas informações que influenciam o tratamento e pesquisadores precisam desses dados: eles são fundamentais para o tratamento científico e inclusive para a formulação de políticas públicas de saúde”, diz o sociólogo Sergio Amadeu da Silveira, professor da Universidade Federal do ABC e autor do livro Tudo sobre tod@s: Redes digitais, privacidade e venda de dados pessoais.

Mas vira um problema quando não sabemos que nossas informações estão sendo coletadas, não damos consentimento para isso e nem mesmo temos muita ideia sobre como e para quê exatamente elas serão usadas.  “Muitas empresas estão de olho nesse mercado. Uma farmácia por exemplo tem dados de todas as vezes em que fiquei gripada, quais os remédios que compro sempre. Informações a respeito dos meus hábitos servem para traçar meu perfil de saúde, e o uso disso foge ao meu controle”, alerta Bárbara Simão, pesquisadora de direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec). Ela lembra que dados de saúde são considerados sensíveis, porque são propensos a causar discriminação ou estigmatização — por isso mesmo existe o sigilo médico. Sergio arremata: “Tem que haver um regulamento específico. E é preciso usar a tecnologia para registrar quem acessou as informações e quando, para não permitir que o acesso vá além do necessário para determinado tratamento ou pesquisa. Essa é a questão”.

No último dia 25, entrou em vigor o Regulamento Geral de Proteção de Dados da União Europeia, aprovado dois anos atrás. Logo depois, no dia 29, aqui no Brasil a Câmara aprovou um projeto de lei de proteção de dados que guarda muitos pontos em comum com o europeu. Segundo os pesquisadores ouvidos pelo Outra Saúde, o texto é forte e sua aprovação nos termos atuais vai representar um grande avanço no direito à privacidade. Mas ainda há um longo caminho no Senado, onde tudo pode mudar. E, no momento, a legislação brasileira é frágil em relação a isso.

Terra de ninguém

As conversas entre o Facebook e os hospitais dos EUA não foram uma demonstração isolada de seu  interesse na saúde. Desde 2015 existe o Facebook Health, uma equipe que se dedica a aproximar esta empresa da indústria farmacêutica, e em junho do ano passado aconteceu o primeiro Facebook Health Summit, um evento bem restrito (e pouquíssimo noticiado) que teve como convidados profissionais de marketing dessa indústria. A ideia era atrair um mercado que, embora gaste bilhões de dólares todos os anos em diversas forma de publicidade, ainda está afastado de mídias digitais.

A rede social não está sozinha nas buscas por espaço na saúde. O Google já teve uma plataforma chamada Google Health em que os usuários poderiam colocar todos os seus registros médicos na nuvem. A coisa acabou não engrenando, porque pouca gente usava, e a iniciativa foi encerrada em 2011. Mas o grupo Alphabet, conglomerado do qual o Google é subsidiário, segue atuando em diversas frentes na área.

Tem, por exemplo, a Verily (antes chamada Google Life Sciences), que, segundo seu site, se dedica justamente a criar ferramentas para coletar e organizar dados de saúde. Ela já fez parcerias para pesquisas com a farmacêutica Sanofi e com universidades como Harvard e, no ano passado, lançou (junto ao próprio Google, entre outros parceiros) um ambicioso projeto para monitorar a saúde de 10 mil pessoas durante quatro anos. “Nós mapeamos o mundo. Agora vamos mapear a saúde humana”, anuncia o site do projeto Baseline, por onde voluntários podem se inscrever. De sangue e urina ao genoma, de batimentos cardíacos à qualidade do sono: nada deve deixar de ser oferecido, não só por meio de testes convencionais mas também pelo uso constante de dispositivos tecnológicos, como relógios usados exclusivamente no experimento para medir a atividade do corpo — aliás, já existem no mercado relógios/pulseiras com essa possibilidade de monitoramento.

Para Sergio Amadeu, o interesse não é surpreendente, mas ainda assim é digno de nota. “O Google tem o conteúdo dos e-mails, mesmo os deletados, de todo mundo que usa Gmail, tem os trajetos que você percorre no Google Maps, tem agendas… Agora, também oferece para escolas e universidades o Google for Education. Já há escolas infantis em que as crianças têm seu desenvolvimento, conceitos e avaliações dispostos em uma plataforma do Google específica para isso. Sabemos que o principal artigo do Google são os nossos dados pessoais, mas coletar dados de saúde e do desenvolvimento infantil é um absurdo”, avalia.

O advogado Rafael Zanatta que, assim como Bárbara, é pesquisador do Idec,  aponta que o “e-health” é um mercado “gigantesco” e as possibilidades de monetizar dados de saúde são muito grandes. Ele lembra um artigo publicado recentemente no Pharmaceutical Journal que traz, no título, a pergunta: Big data poderia ser o futuro da Farmácia? “O artigo sustenta a tese de que todas as unidades de saúde que coletam dados de consumidores têm potencial para se tornarem empresas de análise de dados. Poderiam se tornar instituições cujo produto seria não apenas a venda de medicamentos e serviços, mas também a inteligência que analisaria os medicamentos comprados, estabelecendo padrões de comportamento, de tratamento, ou seja, invertendo a pesquisa médica. Você passa a ter hospitais e farmácias transformados em unidades de big data”.

Zanatta conta um caso que ganhou relevo no Reino Unido. O seu sistema público de saúde, o National Health Systems (NHS), compartilhou dados de 1,6 milhões de pacientes com a DeepMind, uma empresa de inteligência artificial também subsidiária do Alphabet. O objetivo era criar, testar e implementar um aplicativo para detecção de problemas renais — e os pacientes não foram informados. “Abriu-se uma investigação e um enorme debate. Vários representantes da House of Lords [ou Câmara dos Lordes, a câmara alta do parlamento britânico ] se manifestaram contra, dizendo que aquilo era basicamente a entrega completa da infraestrutura de dados do NHS para uma grande empresa privada, com fins lucrativos”, lembra o pesquisador. A investigação do Information Commissioner’s Office concluiu que o compartilhamento de dados foi ilegal.

Também no Reino Unido, houve um recuo na busca de contratos com empresas de propaganda depois que uma investigação levou à aplicação de multa sobre uma farmácia online chamada Pharmacy2U. “Conseguiram evidências de que ela havia vendido dados sensíveis de 20 mil clientes para um conjunto de empresas de marketing. Foi o primeiro caso de uma investigação desse tipo em um farmácia. E isso foi disseminado na União Europeia, para que as outras autoridades ficassem de olho”.

O advogado comenta ainda um caso brasileiro de fora da saúde, mas que diz muito sobre como a relação público-privado pode ir longe em relação à coleta de dados. Em março, o governo do estado de São Paulo lançou o Sistema Estadual de Coleta e Identificação Biométrica Eletrônica. Só que esse banco de dados vai ficar acessível aos órgãos de proteção do comércio, para identificar, no ato da compra, a identidade dos consumidores. “Isso vai ser feito mediante pagamento à Imprensa Oficial do Estado de São Paulo”, diz Rafael. Serão R$ 0,43 por consulta, sendo que o valor cai conforme aumenta o número de consultas, podendo chegar a 0,03. “Isso tem ‘n’ problemas. Ninguém conhece bem o sistema, ninguém sabe se os padrões de segurança estão adequados. E, não menos importante, as pessoas não consentiram que o estado pode ganhar dinheiro em cima dos dados delas”.

Difícil previsão

O problema da informação e do consentimento, para o pesquisador, é crucial. E o pior é que é difícil prever hoje o que pode acontecer no médio e no longo prazos. A propaganda direcionada de produtos é talvez o resultado mais evidente, e todo mundo já se deparou com anúncios relacionados a temas de conversa. “Mas, em 2012, ninguém pensava que testes de personalidade no Facebook poderiam impactar eleições. Não se imaginava que aqueles testes gerariam coleta de dados para isso. Tem um problema grave que é a nossa incapacidade da reflexão no longo prazo. Mas, se não pensarmos em todos os riscos, ficamos presos à dimensão presente, e aí ganha sempre o argumento da inovação”.

No início do ano, a Vice publicou uma reportagem de Brunno Marchetti que questionava o porquê de diversas redes de farmácia incentivarem o cadastro de consumidores, por meio do CPF, para concessão de descontos. Não havia muitas certezas, mas indagações e suspeitas não faltavam: segundo a matéria, é bem razoável pensar que dados de prescrições podem ser usados para criar perfis dos consumidores, por sua vez vendidos para terceiros, que podem fazer discriminações com base nesses perfis. Alguém pode não ser contratado em um emprego devido a determinada condição de saúde que não seria conhecida de outra forma, por exemplo. Ou o plano de saúde pode avaliar o risco (e a mensalidade) de um futuro cliente com base nos remédios que ele anda consumindo.

Em Porto Alegre, o Procon tem razões para crer que está sendo montado um grande banco de dados sobre medicamentos de uso continuado. “Sabemos que o site de um fabricante oferece às pessoas a possibilidade de se cadastrar para receber até 60% de desconto. Para isso, é preciso fornecer informações que vão desde o endereço pessoal até o CRM do médico que receitou o remédio”, diz Sophia Vial, diretora da instituição. “Por que esse tipo de informação poderia ser realmente necessário? Precisamos entender por que e de que modo esses dados são coletados e usados. Um desconto de 50%, 60% dificilmente é conseguido. É no mínimo estranho. Qual o valor destes dados? Será que estão sendo vendidos para planos de saúde? Será que os pacientes sabem disso?”, pergunta.

Para Sergio Amadeu, os ótimos descontos oferecidos em troca do CPF indicam o quanto os dados pessoais são preciosos. “Seguros e planos de saúde compram dados, e isso tudo visa a aumentar o poder de negociação dessas corporações diante dos cidadãos. Empresas têm mais força do que pessoas, isso é básico. Numa negociação, quando um dos lados tem muitas informações e você tem quase nada, obviamente você sai prejudicado”.

Melhor que ouro

O mercado de dados da saúde é obscuro, mas não secreto. Nos Estados Unidos, há vários anos é descrita a atuação na saúde de ‘data brokers’, empresas que coletam informações de fontes públicas e privadas e as vendem. A IMS Health (que há dois anos se fundiu com a Quintiles, gerando a IQVIA) é a maior e, segundo esta matéria da Exame, a empresa tinha em 2014 informações sobre 85% de todas as receitas médicas prescritas ao redor do mundo (há escritórios no Brasil).

Além dos planos e seguros de saúde, citados por Sergio Amadeu, quem também aprecia as compras é a indústria farmacêutica. Neste texto, Adam Tanner, autor do livro Our Bodies, Our Data (Nossos corpos, nossos dados, sem edição em português) conta que a Pfizer, por exemplo, gasta 12 milhões de dólares por ano comprando dados. Ele também explica que, mesmo que eles sejam vendidos sem  nome e documento de identificação, é possível vincular informações de modo a identificá-las e, assim, direcionar anúncios específicos pela internet.

Em entrevista ao jornal britânico The Guardian, o autor explica melhor o processo: “No consultório médico, você fecha a porta e pensa: estou dizendo ao meu médico meus segredos mais íntimos e apenas meu médico sabe disso. Mas eles são vendidos”: dados como sexo, idade, doenças e endereço são cruzados com perfis de consumidores existentes em outros bancos, como os de farmácias — que têm identificação.

E os problemas vão além da coleta dos dados privados que damos nos diversos serviços de saúde e nas farmácias. “Há muita gente investindo no acesso e na coleta de informações que estão públicas na internet. Tentam cruzar informações, e investem em análise de dados para tentar vender para outros atores”, diz Rafael. Postagens públicas em redes sociais, curtidas, comentários, interações com sites jornalísticos e blogs, postagens em blogs pessoais, enfim, a lista não termina. “Rastreiam centenas de milhares de páginas por dia, depois montam um grande grupo de matemáticos, estatísticos e engenheiros para extrair desses dados algum tipo de informação de risco. Em seguida, fazem a segmentação dos perfis comportamentais, mesmo que sem informações pessoais. E listas de clientes para encontrar perfis semelhantes”.

Segundo Rafael, a categorização de empresas de intermediação de dados é “mal resolvida mundialmente”: “Não temos como saber quem é quem, quem faz o quê — todas se registram apenas como empresas de tecnologia. A cada instante a capacidade de análise de dados aumenta brutalmente, assim como a capacidade de segmentação inclusive de perfis financeiros e de risco. Analisam por exemplo se você sai muito para a balada, se fuma, o que bebe, o que come, para gerar informações de risco a seu respeito. Esses mercados trocam muito intensamente essas tecnologias, e têm uma capacidade de interferência e manipulação brutal do comportamento humano”, diz, alertando: “Precisamos saber o que está acontecendo”.

A proteção atual

Esse tipo de mercado tem sido alvo de preocupação do Idec há algum tempo, e  Rafael explica que o grau de proteção dos brasileiros em relação à sua privacidade ainda é muito baixo. “A proteção hoje se dá por uma espécie de ‘colcha de retalhos’”, diz.

Há dois anos, o Brasil alcançou alguns avanços com o Marco Civil da Internet. Essa lei diz que a coleta, o uso, o armazenamento e o tratamento dos dados pessoais dos usuários só podem ser usados para finalidades que “justifiquem sua coleta, não sejam vedadas pela legislação e que estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet”. Há outras leis que vão nesse sentido — a própria Constituição diz que a privacidade é inviolável. Mesmo assim, ainda não há nenhuma que diga, com todas as letras, que não é permitido vender informações. Nem mesmo o Marco Civil, que não é especificamente voltado para a proteção de dados e se restringe à internet, não abarcando o mundo offline.

“Em março, lançamos os resultados de uma pesquisa sobre o mercado de intermediação entre médicos e pacientes por meio de aplicativos no Brasil [que se popularizaram como ‘uber’ dos médicos]. Como o Marco Civil tem regras bem fortes em relação a isso, conseguimos, por assim dizer, “falar grosso’ com essas empresas, que reconheceram os problemas. Mas no mundo fora da internet, diante da legislação atual, isso não seria possível. As farmácias, por exemplo, não estão na internet, então ficam em um limbo”, exemplifica ele.

Atento e forte

Para Sergio Amadeu, o único modo de limitar a coleta “indiscriminada e perigosa” de dados por corporações ou governos é com legislações que protejam os dados pessoais e institucionais. “Se você não tem regras aprovadas ou aceitas pela sociedade transformadas em lei que limitam o mercado, esse mercado vai avançar utilizando os dispositivos tecnológicos que permitem obter cada vez mais informações das pessoas — tanto informações públicas como privadas, e algumas muito sensíveis”, diz ele.

Assim, quanto mais a legislação resguarda a privacidade das pessoas, menor é o espaço que o mercado tem para a compra e a venda de dados. “Por outro lado, quanto menores forem as garantias dadas aos cidadãos pela legislação, maior será o mercado, maiores serão as possibilidades de coleta, processamento e cruzamento. Independentemente de esses dados serem obtidos na internet ou offline, como em postos de gasolina, bancos ou farmácias”, salienta.

A Lei Geral de Proteção de Dados, que tramita no Congresso, busca dar conta dessas brechas: no fim de maio, a Câmara aprovou o PL 4060/12 e, neste momento, com um novo número (PLC53), o texto aguarda avaliação do Senado. Se for aprovado, empresas e outras instituições vão precisar do consentimento expresso dos usuários para coletar, usar e compartilhar seus dados, e a multa pelo uso indevido vai ser de 4% do faturamento da empresa, com teto de R$ 50 milhões. No caso da realização de estudos em saúde pública, o texto diz que instituições de pesquisa podem acessar bases de dados pessoais, mas que eles devem ser tratados em ambiente controlado e seguro. Será proibido compartilhar dados da saúde para obter vantagem econômica, a não ser que o titular dos dados permita.

O projeto se aperfeiçoou desde que foi apresentado, em 2012 e o substitutivo do deputado Orlando Silva (PCdoB-SP), relator da proposta, prevê a criação de uma autoridade nacional com atribuição de fiscalizar e punir responsáveis pelo mau uso de informações pessoais.  O mesmo órgão deve ficar responsável por determinar como deve ser a coleta e o tratamento desses dados. “Dificilmente se conseguiria o cumprimento das regras sem uma instituição responsável”, avalia Sergio Amadeu, afirmando que o texto busca proteger efetivamente a privacidade sem “criar um engessamento total” do tratamento de dados. “Também avança, por exemplo, ao definir o que é dado pessoal, entendido como sendo não apenas o da identidade civil, mas qualquer dado que possa vir a identificar alguém”, explica Sergio Amadeu. Isso é importante porque, como vimos, dados teoricamente anônimos podem ser cruzados com outros e permitir a identificação.

Outro ponto positivo é ressaltado por Bárbara Simão: o princípio da minimização da coleta de dados: “Só os dados estritamente necessários à atividade de determinada empresa ou instituição serão considerados adequadamente coletados”, explica ela.

Embora a votação na Câmara tenha sido tranquila, as discussões no Congresso e no governo em torno do tema nem sempre são. Bárbara explica que elas vêm acontecendo desde 2011, e que diversos projetos surgiram no Congresso além do que foi finalmente aprovado. “O PL 5276 foi um deles. Ele foi escrito com bastante participação social e apresentado em 2016 pelo executivo, ainda no governo de Dilma Rousseff, em regime de urgência. Depois do impeachment, a urgência foi retirada e ele foi apensado a outros mais antigos. Por fim, todos foram analisados juntos, sob o PL 4060”, explica ela.

Em paralelo, corria no Senado o PL 330, tratando do mesmo tema. “O governo federal começou a negociar a aprovação do texto do Senado, julgando ser melhor para seus interesses”, diz Bárbara. Isso porque, como explica Rafael, este projeto não incluía os dados coletados pelo setor público. “Criava-se um campo de exceção para eles”, pontua o pesquisador.

Segundo Bárbara, após o caso Cambridge Analytica o debate voltou a ganhar relevo e  discussão avançou rápido nas duas casas. “Na última semana de maio, foi aprovado um requerimento de urgência para ambos. Os dois projetos entraram em votação no mesmo dia, e nós, no Idec, achávamos que o do Senado passaria antes. Mas a sessão no Senado terminou mais cedo, sem essa votação, e a Câmara teve uma sessão extraordinária à noite, aprovando o PL 4060”.

Como agora o projeto está no Senado para avaliação e aprovação, ele ainda pode ser alterado no sentido de tornar-se mais próximo do PL 330. “O risco de piorar existe e é razoavelmente grande”, diz Rafael. “Se empresas e sociedade civil conseguirem pressionar pelo PL da Câmara, ele ganha força. Se o governo e parte do setor privado conseguir pressionar pelo PL 330,  o 4080 fica mais frouxo”, diz Rafael. Mas a ‘vantagem’ é sempre da casa de origem, o que explica a correria para ver quem aprovava primeiro: se o PL for alterado no Senado, precisa ser analisado novamente pela Câmara, que pode ou não aceitar as alterações.

Há alguns anos o fundador do Facebook, Mark Zuckerberg, declarou que a privacidade não é mais uma regra social. Porém, até aqui, isso não tem sido uma escolha, mas uma imposição. “Só as próprias pessoas deveriam poder abrir e negociar seus dados, usá-los a seu favor. O Estado e as corporações têm que ser transparentes, e o indivíduo tem que ter proteção. O oposto disso é uma inversão das premissas democráticas”, conclui Sergio Amadeu.

O regulamento europeu

A Europa aprovou há dois anos o Regulamento Geral de Produção de Dados, que começou a valer agora, em maio. Você deve ter percebido que, ultimamente, um número enorme de sites apresenta janelas pop-up indicando o uso de cookies e solicitando sua concordância — eles já estão se adequando às regras europeias. “A Europa já tinha uma diretiva desde 1996 [a Diretiva de Proteção de Dados Pessoais] , esse é um tema antigo por lá. Estamos atrasados nessa discussão. O Regulamento Geral, agora, é um marco importante”, diz Bárbara Simão.

“As empresas têm dois anos para se adequar a este regulamento. A grande premissa é que você não pode ter seu dado coletado sem a sua concordância, via de regra. E você tem o direito de saber por que aquele dado está sendo coletado, quem está armazenando, como ele está sendo tratado e com que objetivo está sendo tratado”, diz Sergio Amadeu, ressaltando que a legislação é extensível a todas as empresas que fazem negócios na Europa.

Deixe um comentário

O comentário deve ter seu nome e sobrenome. O e-mail é necessário, mas não será publicado.

1 + seis =