EUA alteram políticas de proteção de dados para saúde e healthtechs
Por Fabrício Polido
A Federal Trade Commission nos EUA publicou novas regras que poderão ser espelhadas pela Autoridade Nacional de Proteção de Dados e Secretaria Nacional do Consumidor/Senacon na área de healthtechs – apps de saúde. Segundo o novo regulamento, apps relacionados a saúde e dispositivos a eles conectados, incluindo tablets e smartphones, devem estar em conformidade com regras específicas de notificação de incidentes de segurança e vazamento de dados.
No Brasil, a LGPD é uma lei geral, e atribui competência para que a ANPD baixe regulamento, orientações e recomendações específicas para setores da indústria com atividades intensivas de tratamento de dados. Aplicativos hoje coletam dados sensíveis, como os relacionados a saúde do titular de dados, e os cuidados e obrigações relacionadas a esses dados são mais reforçados na Lei brasileira.
No caso dos EUA, houve preocupação sobre os apps e prestadores de serviços em saúde (operadoras de planos de saúde, hospitais, seguradoras), assim como desenvolvedores de equipamentos dispositivos de monitoramento fitness, sensores inteligentes e software relacionados. A autoridade reguladora ali entendeu que o marco legal vigente não seria suficiente para assegurar proteção específica nessas atividades. A nova regra garante que as entidades não cobertas pela “Lei de Responsabilidade e Portabilidade de Seguro Saúde” (HIPAA) sejam responsabilizadas quando as informações de saúde confidenciais dos consumidores forem violadas.
Por exemplo, um aplicativo de saúde seria coberto pela nova regra da FTC se coletar informações de saúde de um consumidor e tiver a capacidade técnica para extrair informações por meio de uma API que permite a sincronização com o rastreador de condicionamento físico de um consumidor em tempo real, em movimento ou em repouso.
Haverá penalidades financeiras severas para as empresas que não cumprirem as regras.
A mudança de política significa que provedores de serviços que mantêm informações sobre fertilidade, saúde cardíaca, níveis de glicose e outros dados de saúde devem notificar os consumidores no caso de uma violação. Os fabricantes de aplicativos precisariam notificar a FTC, os consumidores e (em alguns casos) a mídia.
No Brasil, a LGPD contempla uma regra geral, como a obrigação do controlador de comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa gerar risco ou dano relevante aos titulares. A aplicação de sanções, nesse caso, depende do apuração pela ANPD, sendo a conduta do controlador de dados relevante para eventual exoneração de responsabilidade. Ainda assim, a regra brasileira é de difícil aplicação (Art. 48, § 3º da LGPD: No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los”).
*Fabrício Polido é advogado e sócio das áreas de Inovação & Tecnologia e Solução de Disputas de L.O. Baptista.