Quando se pensa em proteção de dados pessoais, uma prescrição médica remete de forma natural e imediata para os direitos do paciente, especialmente pelo fato das informações ali constantes constituírem, nesta perspectiva do paciente, dados pessoais sensíveis, segundo a Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados – LGPD.
Segundo noticiado, o procedimento teria por objetivo influenciar as decisões dos médicos em consultórios, clínicas e hospitais, com início no momento da venda do medicamento: quando as receitas médicas são lançadas no sistema da farmácia, duas empresas especializadas acessam os registros, capturam as informações e as comercializam com as indústrias farmacêuticas. Afirma-se serem processadas deste modo pelo menos 250 milhões de receitas médicas por ano. De posse dos dados, as indústrias farmacêuticas traçam um perfil profissional dos médicos e buscam persuadi-los a prescrever os medicamentos por elas fabricados – monitoram os médicos e utilizando os seus dados para treinamento dos representantes comerciais, para que sejam bem-sucedidos na persuasão. O ciclo reinicia quando a prescrição que resulta da abordagem do representante comercial chega à farmácia, que é remunerada pelo fornecimento dos dados de cada prescrição médica que disponibiliza.
Tem-se aqui uma volumosa atividade de tratamento de dados pessoais, não apenas do ponto de vista global, mas considerando-se cada médico monitorado.
Dado pessoal é toda informação relativa a uma pessoa natural identificada ou identificável (art. 5º, I da LGPD). Uma informação que, “prima facie,” não se qualificaria como dado pessoal, passa a sê-lo quando associada a um elemento que possa identificar o seu titular. O medicamento prescrito numa receita médica passa a ser dado pessoal, com tratamento sujeito às normas da LGPD, a partir do momento em que tal informação é coletada juntamente com o nome e o CRM do médico prescritor do fármaco.
Portanto, as operações de coleta, armazenamento, compartilhamento, classificação e criação de perfil do médico constituem tratamentos de dados pessoais que, para serem lícitos, devem estar em conformidade com a LGPD.
Cada operação citada acima precisa estar fundada numa das hipóteses em que a lei autoriza a realização do tratamento de dados pessoais (base legal), ter uma finalidade legítima, específica, informada ao titular (médico). Os dados coletados devem ser adequados, necessários e relevantes para a finalidade legítima informada, as operações devem ser transparentes, não podem se destinar a fins discriminatórios dos seus titulares e estão sujeitas a prestação de contas.
Os médicos, enquanto titulares de dados, devem ser previamente informados sobre os seus direitos, garantidos pela LGPD, e devem ter assegurado o livre acesso aos dados (art. 6º, IV da LGPD). Devem também ser previamente informados sobre a forma como os seus dados são tratados e a duração do tratamento, assim como sobre a identidade do agente de tratamento responsável, sobre o uso compartilhado dos seus dados, os destinatários e a finalidade do compartilhamento e sobre as responsabilidades de cada agente de tratamento envolvido.
A LGPD assegura aos médicos o direito de requerer, junto a farmácias, laboratórios farmacêuticos ou às empresas intermediárias, declaração clara e completa que indique a origem dos seus dados pessoais, os critérios utilizados para o tratamento dos dados e a(s) finalidade(s).
Registra-se que é vedado fazer um uso posterior dos dados pessoais para finalidade que não seja compatível com a finalidade primária, que originou o primeiro acesso aos dados. Deste modo, uma vez que as informações constantes da prescrição se destinam à aquisição do medicamento pelo paciente junto a uma farmácia, o uso destes dados para os fins noticiados na reportagem não se afigura compatível com o propósito original, reclamando, cada operação de tratamento de dados acima citada, a observância de toda a cadeia de conformidade com a LGPD.
No que tange aos compartilhamentos, a farmácia deve ser capaz de informar a base legal que a autoriza a transmitir os dados pessoais da receita médica para as empresas intermediárias, assim como o fim legítimo e específico deste tratamento de dados, além de cumprir os outros deveres que importam na licitude do tratamento dos dados. De seu lado, as empresas intermediárias devem ser capazes de demonstrar a base legal para o acesso a tais dados disponibilizados pelas farmácias, assim como o fim legítimo e específico que o justifica e os demais requisitos de licitude. Por outro lado, devem também ser capazes de demonstrar os mesmos requisitos para a operação de transmissão destas informações para as indústrias farmacêuticas que, por seu turno, devem ser capazes de demonstrar que o seu acesso às informações transmitidas pelas empresas intermediárias se funda numa base legal adequada, destina-se a fins legítimos e específicos, informados aos médicos delas titulares, além dos demais requisitos exigidos para que a operação de tratamento de dados seja lícita.
A atividade de tratamento de dados revelada se qualifica como de alto risco pelo elevado volume de dados pessoais e pelo número de titulares de dados envolvidos (tratamento em larga escala), realização de monitoramento dos titulares de dados, tomada de decisões automatizadas para criação de perfis profissionais dos médicos. E o propósito último da atividade seria influenciar o médico na tomada de decisão acerca do fármaco a ser prescrito ao seu paciente.
Considerando a informação da reportagem, de que os médicos são segmentados, dentre outros critérios, por especialidade e média de preço dos medicamentos que mais prescrevem, e que o representante comercial utiliza tais informações na abordagem, conclui-se pela plausibilidade da existência de um risco representado pela prescrição do medicamento ao paciente resultar não daquela que seria a melhor opção farmacológica para o seu tratamento, consoante um livre entendimento do seu médico, mas sim do convencimento do médico por parte do laboratório, cujo representante entendeu que seria maior a probabilidade de influenciar o médico se apresentasse, como a melhor alternativa para determinado tratamento, um medicamento que se encontrasse na faixa de preço da média das suas prescrições (definida no seu perfil), sem que o profissional, contudo, tivesse ciência da inclusão e da determinabilidade deste critério na definição do “melhor tratamento farmacológico” para determinada patologia de um seu paciente.
Tal grau de influência exemplificaria o que se pode considerar “limitação significativa do exercício de direitos”, uma vez que, criado o perfil profissional do médico, fica este sujeito a um grau tal de influência e manipulação, que pode anular ou comprometer a sua autonomia na tomada de decisão sobre a prescrição farmacológica aos seus pacientes. Esta circunstância participa da caracterização das infrações à LGPD de natureza grave. Outras circunstâncias que participam desta qualificação gravosa da infração são, por exemplo, a pretensão do infrator de auferir vantagem econômica, a inexistência de base legal a sustentar o tratamento dos dados, a realização do tratamento de dados com efeitos discriminatórios ilícitos ou abusivos.
Dentre os direitos e liberdades tutelados pelo direito à proteção de dados encontra-se justamente o direito ao livre convencimento, a liberdade e a autonomia para a tomada de decisões. A boa fé como um dos princípios de base do regime jurídico do direito à proteção de dados impõe a transparência e o dever de informação como meios de equilibrar a relação entre agente de tratamento e titular dos dados. Influenciar uma pessoa para a tomada de decisões de modo furtivo (a partir de dados pessoais seus já analisados e perfilados sem o seu conhecimento), mas acreditando ela que o faz com liberdade de informação e livre formação da sua convicção, contraria frontalmente a base do Direito e, na relação entre o agente de tratamento de dados e o titular destes dados, representa deslealdade e quebra da confiança depositada no agente pela lei que autorizou o tratamento dos dados.
Evidencia-se assim a posição-chave que o princípio da transparência (art. 6º, VI da LGPD) assume no regime jurídico da proteção de dados, estando estritamente vinculado aos princípios da boa fé e da “accountability” (art. 6º, caput e inciso X da LGPD), e devendo ser observado durante todo o ciclo de vida do tratamento dos dados. Ele impõe que o titular dos dados tenha ciência de que suas informações estão sendo coletadas, utilizadas, compartilhadas e/ou sujeitas a qualquer outra operação de tratamento, bem como da medida deste tratamento e não seja surpreendido negativamente “a posteriori”. É ele que viabiliza para o titular dos dados o exercício do seu direito fundamental à autodeterminação informacional, implícito na Constituição Federal de 1988, como já declarou ou Supremo Tribunal Federal, proporcionando ao titular dos dados o controle sobre o uso das suas informações, bem como a responsabilização dos agentes de tratamento em caso de abuso ou uso ilícito dos seus dados.