Uma das questões mais complexas no âmbito da disciplina da proteção de dados pessoais diz respeito aos artigos 15 e 16 da Lei Geral de Proteção de Dados (LGPD), que disciplinam o término do tratamento de dados. Cuida-se de regramento que visa a responder o questionamento de até quando os dados pessoais deverão ou poderão ser tratados e, ao mesmo tempo, pretende estabelecer o momento a partir do qual o agente de tratamento deverá ou poderá eliminar os dados pessoais.

As considerações que seguem pretendem abordar essa questão em sua projeção na área da saúde, mais especificamente no que toca ao término do tratamento dos dados pessoais do paciente.

De início, faz-se necessário discorrer brevemente acerca de aspecto conceitual que pode ser considerado de extrema importância no âmbito desta temática. E a digressão inicia a partir de uma pergunta: é possível considerar que os dados sejam "do" paciente?

De imediato, adianta-se a resposta, que é negativa e se passa a explicar as razões.

Primeiramente, mencione-se que a pergunta posta deve ser respondida a partir da disciplina de proteção de dados, que, de acordo com a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD - lei 13.709/2018) é transversal e afeta todas as áreas da sociedade.

Como se sabe, a LGPD segue a tradição europeia de proteção de dados pessoais, por apresentar um texto legal com o caráter mais geral, marcado até mesmo em sua denominação, uma vez que se denomina "lei geral", como no caso da Europa, da revogada Diretiva de Proteção de Dados de 1995, substituída pelo Regulamento Geral de Proteção de Dados Pessoais de 2016.

E, de acordo com nossa lei, que, como referido, segue uma escola europeia, há uma determinação expressa do conceito de dado pessoal.

Essa definição consta no art. 5º da LGPD: dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Note-se: pelo próprio conceito da lei, na linha de outros textos legais internacionais, não se está a afirmar que o dado é "do" titular de dados pessoais, mas sim que se trata de uma informação relacionada à pessoa em questão.

É corriqueiro e até aceitável que se faça menção "aos nossos dados" ou aos "dados do titular", mas se analisando o próprio conceito legal verifica-se que não sem razão ele é bem mais preciso.

Mesmo na área da saúde, em que o conceito de dado pessoal escala para a categoria especial de dado pessoal sensível, no qual há uma proteção específica e mais robusta, a definição se constrói com base na expressão "informação relacionada a pessoa natural identificada ou identificável".

Essa textura da regra, por si só, demonstra que não há como se falar em dado do titular, ou na área da saúde, de "dado do paciente". Não há direito de propriedade sobre o dado pessoal. Não há o direito, por parte do titular, de excluir o acesso ao dado pessoal daquele que com ele interagiu, se essa pessoa, no nosso caso um profissional da saúde, uma instituição de saúde ou um plano de saúde, por alguma razão, tenha de tratar a informação relacionada ao titular.

Talvez quem tenha melhor exposto sobre a natureza do dado pessoal, que muito vai nos auxiliar quando examinamos os dados pessoais na área da saúde, foi Alexander Roßnagel, atual comissário de proteção de dados no Estado de Hessen, na Alemanha, e Professor da Universidade de Kassel.

Roßnagel, a partir das lentes da impactante decisão do censo de 1983, do Tribunal Constitucional Federal alemão, afirmou que não é adequado falar em propriedade por parte do indivíduo dos dados relativos a sua pessoa¹. Ainda, Roßnagel reafirma que a concepção do ordenamento jurídico relativo à proteção de dados não se coaduna com a ideia de propriedade sobre os dados pessoais².

Como já tivemos a oportunidade de referir³, o mais preciso é que se considere os dados relacionados a uma pessoa como resultado de uma observação social ou de um processo de comunicação social multirrelacional.⁴ Ou seja, há o potencial de um número maior de atores vir a tratar o dado pessoal, como o exemplo da saúde nos mostra claramente: médicos, enfermeiros, nutricionistas, fisioterapeutas, psicólogos, o plano de saúde, enfim, todos os integrantes das equipes multiprofissionais poderão vir a necessitar de tratar os dados relacionados ao paciente.

Assim, o direito da proteção de dados, que, como se referiu, imprimiu a sua marca em todas as áreas da sociedade, não regula a propriedade, mas sim consiste num ordenamento sobre a informação e a comunicação do sujeito e envolvendo sujeitos, determinando quem, em qual relação, e em que situação, está autorizado a lidar com as informações relacionadas a determinada pessoa de uma determinada maneira.

Dessa forma, o hospital ou o médico, o próprio paciente, bem como a empresa do seguro saúde podem necessitar de ter acesso ao prontuário ou a parte de seus dados para realizar alguma atividade que esteja no âmbito de suas atribuições contratuais ou legais, não podendo, todavia, deles se valer sem o respeito aos princípios da Lei Geral de Proteção de Dados, em especial os da finalidade e da necessidade.⁵

Quando examinamos, no Brasil, as regras do Conselho Federal de Medicina acerca do dever de guarda e armazenamento das informações relacionadas ao paciente, notamos uma certa falta de técnica no que diz respeito aos conceitos abordados.

Impropriedades podem ser localizadas na Resolução n. 1.821/2007, do Conselho Federal de Medicina, que, se reconheça, é anterior à edição da LGPD e aprovou as normas técnicas concernentes à digitalização e ao uso dos sistemas informatizados para a guarda e o manuseio dos documentos dos prontuários contendo informações dos pacientes.

Com efeito, um de seus considerandos refere que "o  prontuário  do  paciente,  em  qualquer  meio  de armazenamento,  é propriedade física da instituição onde o mesmo é assistido - independente de ser unidade de saúde ou consultório -, a quem cabe o dever da guarda do documento". Já em outro considerando, consta que os dados contidos no prontuário "pertencem  ao  paciente  e  só  podem  ser  divulgados com sua autorização ou a de seu responsável, ou por dever legal ou justa causa".

Há que se considerar que para estar adequada à disciplina da proteção de dados, essas regras devem se desapegar da ideia de propriedade e pertencimento e trilhar o rumo da "relação" e de que a informação relacionada a uma pessoa, ainda que um paciente, integra uma realidade multirrelacional, na qual diversos atores podem vir a ter de tratar o dado pessoal.

Há que se perquirir, portanto, quem, em qual situação, pode acessar, e, mais amplamente, tratar o dado pessoal.

Essas considerações prévias apresentam relação com a questão do término do tratamento dos dados pessoais na área da saúde. Uma vez que titulares de dados merecem a adequada proteção da informação relacionada a sua pessoa, havendo que se estabelecer, em posição de equilíbrio, os direitos do titular em conjunto com os deveres e interesses dos agentes de tratamento e da própria coletividade.

E, por fim, resta a pergunta: mas até quando? Até quando poderá ou até mesmo deverão, a instituição de saúde, o médico, ou, de modo geral, o profissional da saúde armazenar as informações relacionadas ao paciente. Até quando manter arquivado o prontuário do paciente?

No ponto, temos uma disciplina a ser compreendida a partir de diversas fontes legislativas.

Inicialmente, deve ser considerado, pela ordem hierárquica o que determina a LGPD. Ela prevê, como referido, uma seção específica sobre o término do tratamento dos dados pessoais.

A regra basilar dessa seção, nos artigos 15 e 16, é a seguinte: em tendo sido alcançada a finalidade para a qual os dados foram coletados, por exemplo, com o fim do tratamento médico, os dados deverão ser eliminados.

Mas a conservação dos dados será permitida ou exigida, em algumas hipóteses, dentre as quais destaca-se, para a área da saúde, as seguintes, presentes no art. 16 da LGPD: I - cumprimento de obrigação legal ou regulatória pelo controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.

Como o inciso I indica, pode haver uma obrigação legal ou regulatória a ser cumprida pelo agente de tratamento, no caso aqueles que no âmbito da saúde tratam dados pessoais.

Na seara regulatória, merece destaque, quanto à guarda dos dados relacionados ao paciente, o art. 7º da referida resolução 1.821/2007 do Conselho Federal de Medicina, que determina a guarda permanente dos prontuários que sejam arquivados eletronicamente em meio óptico, microfilmado ou digitalizado. Além disso, o art. 8º estabelece o prazo mínimo de 20 anos a partir do último registro, para a preservação dos prontuários em papel, que não migraram para o meio eletrônico.

E, por fim, para que se saiba até quando armazenar os dados relacionados ao paciente, deve-se observar o contido na lei 13.787, de 27.12.2018, que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuários.

Esse texto legal estabelece que os prontuários em papel e aqueles digitalizados, ou seja, que foram transformados do papel para o documento eletrônico, poderão ser eliminados, a partir do último registro, decorrido o prazo de vinte anos.

Determina, ainda, no art. 6º, § 2º, que, alternativamente, o prontuário poderá ser devolvido ao paciente, o que pressupõe, pela leitura da regra, que o profissional ou instituição de saúde, não manterá uma via consigo. Na legislação de proteção de dados, essa "devolução ao paciente" poderia ser equiparada ao denominado direito de portabilidade, previsto no art. 18, V, da LGPD.

Prevê a Lei n. 13.787, ainda, que prazos diferenciados poderão ser estabelecidos em regulamento (ainda não editado) para eventual uso dos dados relacionados ao paciente em estudos e pesquisas nas ciências da saúde, bem assim para fins legais e probatórios. Nesses casos, há que se observar ainda, os critérios estabelecidos no art. 13 da LGPD.

Em síntese, é possível afirmar que existe uma regra geral no Brasil, que se comunica e complementa o disposto na LGPD, dando conta de que mesmo que encerrado o tratamento pelos profissionais da saúde os dados não devem ser eliminados, o que poderá ocorrer após o prazo mínimo de vinte anos do último registro.

O "último registro" contido na Lei n. 13.787 e até mesmo na resolução 1.821/2007 do Conselho Federal de Medicina, faz com que, na prática, a cada novo registro de informação relacionada ao paciente, os vinte anos passem a contar do zero.

O exemplo da aplicação da LGPD, em conjunto com a legislação federal e as resoluções do Conselho Federal de Medicina, demonstra como pode ser lido o sistema da disciplina de proteção de dados em harmonia com o que se denomina legislação setorial, de modo a que se obtenha direcionamentos mais concretos de como os sujeitos devem proceder em determinada área de atuação.

Não há dúvidas de que a aplicação dessas regras consiste em grande desafio, de elevada complexidade, a ser enfrentado pelo intérprete, com vistas a extrair da disciplina legislativa a sua mais adequada leitura.

O assunto se torna ainda mais relevante quando se verifica a implementação do denominado Registro de Atendimento Clínico (RAC), que tornará obrigatório, em todo o sistema de saúde do País, um registro eletrônico centralizado das informações relacionadas ao paciente, de forma a garantir a continuidade do cuidado da saúde durante toda a vida do cidadão⁶.

Nesse contexto, importantes desafios terão de ser enfrentados, especialmente no que diz respeito à gestão de um banco de dados sensíveis relacionados aos pacientes, de dimensão nacional, e que demandará a observância do razoável equilíbrio entre a proteção da personalidade do paciente e a busca pela maior eficiência na prestação dos serviços médicos.   

__________

1 ROßNAGEL, Alexander. Einleitung. In: Roßnagel, A. (Org.). Handbuch Datenschutzrecht: Die neuen Grundlagen für Wirtschaft und Verwaltung, Munique, Beck Verlag, 2003,p. 4. No Brasil, ver LEONARDI, Marcel. Tutela e Privacidade na Internet, São Paulo: Saraiva, 2012, p. 77, que também rejeita a ideia de propriedade sobre os dados.