4 RESPONSABILIDADE CIVIL DAS HEALTH TECHS NO TRATAMENTO DE DADOS SENSÍVEIS
A responsabilidade civil das Health techs no tratamento de dados sensíveis é um tema de grande relevância no cenário atual, especialmente diante da crescente digitalização dos serviços de saúde. As Health techs, ao lidarem com dados médicos e informações pessoais, assumem a responsabilidade de proteger esses dados conforme as diretrizes da LGPD. O tratamento inadequado de informações sensíveis pode gerar não apenas prejuízos para os pacientes, mas também consequências jurídicas para as empresas envolvidas (Lima; Moraes, 2021).
Neste capítulo, serão analisados os fundamentos legais que embasam a responsabilidade dessas empresas, as medidas preventivas recomendadas para mitigar riscos e as implicações jurídicas em casos de falhas na proteção de dados, com ênfase nos direitos dos pacientes e nas obrigações impostas às Health techs no contexto da saúde digital.
A seguir, será tratado sobre a definição e atuação das Health techs no setor de saúde, suas obrigações legais perante a LGPD e a responsabilidade civil em face do vazamento de dados.
4.1 HEALTH TECHS: DEFINIÇÃO E ATUAÇÃO NO SETOR DE SAÚDE
O setor de saúde, por muito tempo, operou com pouca preocupação com a segurança e gestão de dados médicos. Documentos e prontuários médicos eram armazenados de forma física, o que dificultava o acesso e o compartilhamento de informações entre diferentes prestadores de serviços e profissionais da área. Essa realidade aumentava o risco de perda de dados importantes e limitava a capacidade de monitoramento da saúde dos pacientes de maneira contínua e integrada, além de apresentar dificuldades para assegurar a privacidade dos dados dos pacientes (Vernier, 2021).
Com a descentralização dos sistemas de saúde, a gestão de informações tornou-se ainda mais complexa. As informações sobre o histórico médico de um paciente podem estar espalhadas em diversos pontos de atendimento, o que limita a visão integral da saúde do paciente. Essa fragmentação dificulta o acompanhamento dos tratamentos e o controle das condições crônicas, além de impactar negativamente a eficiência do sistema de saúde, que depende de um fluxo consistente e seguro de informações entre diferentes unidades (Vernier, 2021).
A tecnologia trouxe uma verdadeira revolução na forma como as informações médicas são vistas e tratadas. Soluções digitais, como o prontuário eletrônico e a telemedicina, facilitaram o armazenamento e o compartilhamento de dados, oferecendo acesso rápido e seguro aos históricos médicos dos pacientes. Essa transformação permitiu uma gestão mais integrada, melhorando a coordenação do cuidado e promovendo uma abordagem centrada no paciente, além de possibilitar um suporte mais eficaz em decisões clínicas e diagnósticas (Vernier, 2021).
As Health techs surgem nesse cenário como tecnologias inovadoras focadas em otimizar a gestão em saúde, integrando tecnologia e dados. São startups que desenvolvem ferramentas para melhorar o sistema de saúde em todas as suas facetas, desde a prevenção até o diagnóstico e o tratamento. Com o uso de big data, inteligência artificial e outras tecnologias avançadas, as Health techs promovem uma gestão mais eficiente e personalizada, colocando o paciente no centro do cuidado e auxiliando os profissionais de saúde com dados que facilitam o acompanhamento contínuo e a tomada de decisões (Vernier, 2021).
Essas novas empresas atuam em diversas áreas do setor de saúde, oferecendo soluções tecnológicas que facilitam o acesso à informação e promovem a educação em saúde. Através de portais de conteúdo, aplicativos de bem-estar e plataformas de fitness, essas startups ajudam a aumentar a conscientização sobre práticas de saúde, estilos de vida saudáveis e cuidados preventivos. Esse acesso facilitado à informação permite que pacientes e profissionais da saúde obtenham orientações de maneira ágil e precisa, fortalecendo a prevenção de doenças e o autocuidado (Andrietta; Dias, 2021).
Na área de gestão e prontuário eletrônico, as Health techs desenvolvem sistemas que centralizam os dados dos pacientes, permitindo um acompanhamento mais completo e seguro. As plataformas de prontuário eletrônico possibilitam que médicos e instituições de saúde acessem o histórico médico dos pacientes de forma organizada, otimizando o processo de atendimento e diminuindo o tempo de espera para diagnósticos e tratamentos. Esse tipo de tecnologia também auxilia na tomada de decisão clínica, pois disponibiliza dados relevantes e integrados, facilitando o trabalho dos profissionais da saúde (Andrietta; Dias, 2021).
Outro campo de atuação das Health techs é o uso da Inteligência Artificial (IA) e do Big Data para melhorar a eficiência e a precisão dos serviços de saúde. Através de análise preditiva e algoritmos avançados, essas tecnologias permitem identificar padrões em dados de saúde, ajudando a prevenir complicações e a personalizar tratamentos. Com essas ferramentas, médicos podem prever possíveis condições de saúde, otimizar os recursos das instituições e melhorar o atendimento aos pacientes de maneira proativa, o que aumenta a qualidade e a agilidade no cuidado médico (Andrietta; Dias, 2021).
Ainda, a telemedicina é uma das áreas mais revolucionárias promovidas pelas Health techs, que viabilizam consultas e diagnósticos a distância, especialmente importantes em regiões remotas ou para pacientes com dificuldades de mobilidade. Plataformas de telemedicina conectam pacientes e médicos por meio de videochamadas, mensagens e compartilhamento de exames, permitindo acompanhamento médico contínuo sem a necessidade de deslocamento. Essa tecnologia ganhou força com a pandemia e permanece em expansão, oferecendo uma alternativa prática e eficaz para o atendimento médico (Andrietta; Dias, 2021).
Diante disso, observa-se como A pandemia da COVID-19 foi um divisor de águas ao revelar a fragilidade na gestão de saúde e a vulnerabilidade dos dados sensíveis dos pacientes. Com o aumento exponencial de casos, sistemas de saúde ao redor do mundo foram pressionados a ponto de expor falhas estruturais na organização de dados médicos, além da dificuldade em garantir a segurança e a privacidade das informações dos pacientes. A ausência de uma infraestrutura robusta para lidar com os dados de forma segura levou a falhas no compartilhamento rápido e preciso de informações, o que dificultou o monitoramento de pacientes e a coordenação dos cuidados necessários durante a crise (Pereira et al., 2021).
Diante disso, Silva e Olave (2023, p. 28) explicam:
A fragilidade do momento exigiu das organizações uma maior flexibilidade e entendimento das inconstâncias sobre as informações divulgadas pelos órgãos de saúde sobre a doença para que, assim, fosse possível reduzir os impactos e acelerar o desenvolvimento de soluções substanciais (FAGHERAZZI et al., 2020). Conforme aponta Sá (2021), uma das maiores inovações é a telemedicina. Esse serviço permite que os profissionais de saúde identifiquem a gravidade da doença em um centro de comando remoto, como também possibilitam a realização de consultas e monitoramento de pacientes, por meio de chamadas de vídeo, ligação telefônica ou uso de softwares específicos.
Assim, importante frisar o quão motivador foi o cenário pandêmico a evoluir as formas de acesso a justiça em modalidades distintas em que, antes desse momento delicado, não haveria de forma tão divulgada e de tamanha extensão de uso.
A gestão de dados de saúde, que já era descentralizada e fragmentada, tornou-se ainda mais complexa diante da pandemia. Com hospitais e unidades de saúde sobrecarregados, muitos profissionais precisaram acessar registros de pacientes em múltiplas plataformas e formatos, dificultando a continuidade do atendimento. Essa desorganização, além de expor dados sensíveis, gerou dificuldades para consolidar uma resposta rápida e eficaz ao crescimento das infecções, aumentando os riscos para a saúde dos pacientes e comprometendo a confidencialidade dos dados (Pereira et al., 2021).
A falta de integração com Health techs intensificou os riscos, pois muitos hospitais e clínicas careciam de sistemas digitais adequados para o armazenamento e compartilhamento seguro de informações. Health techs poderiam fornecer soluções de prontuário eletrônico, sistemas de gestão hospitalar e tecnologias de telemedicina, que permitiriam uma resposta coordenada e eficiente. Sem essas tecnologias, profissionais de saúde enfrentaram dificuldades para acessar dados críticos e tomar decisões rápidas, expondo ainda mais os sistemas à vulnerabilidade e ao risco de violação de dados pessoais dos pacientes (Pereira et al., 2021).
Com a expansão da pandemia, ficou evidente que as Health techs desempenham um papel crucial na modernização e segurança da gestão de saúde. Ao implementar tecnologias que centralizam e protegem informações sensíveis, essas startups têm o potencial de evitar a fragmentação dos dados e possibilitar o atendimento contínuo e seguro, mesmo em situações de crise. A pandemia, portanto, reforçou a necessidade urgente de investir em Health techs para criar um ambiente de saúde mais resiliente e protegido contra vulnerabilidades, promovendo um cuidado mais acessível e seguro para todos (Pereira et al., 2021).
As Health techs atuam em áreas como telemedicina, prontuário eletrônico, IA e monitoramento remoto, oferecendo soluções que ampliam o acesso e melhoram a gestão de saúde. A telemedicina, por exemplo, permite que pacientes em áreas remotas tenham consultas médicas a distância, reduzindo a necessidade de deslocamento e o congestionamento em hospitais. Durante a pandemia, esse serviço se destacou, possibilitando que o atendimento fosse mantido de maneira segura e eficiente. Essa modalidade representa um avanço na democratização do acesso à saúde, especialmente para populações vulneráveis. Além disso, a telemedicina otimiza recursos, já que facilita o atendimento inicial e a triagem de casos (Silva; Olave, 2023).
Os sistemas de prontuário eletrônico, outra importante atuação das Health techs, digitalizam e centralizam informações médicas, possibilitando o acesso rápido e seguro ao histórico do paciente. Essa tecnologia contribui para uma visão integral do quadro de saúde e evita a duplicação de exames e procedimentos, gerando economia de tempo e recursos. Com isso, os profissionais de saúde podem coordenar melhor os cuidados e tomar decisões mais informadas. Esse tipo de sistema traz melhorias significativas para a experiência dos pacientes, que passam a ter seu histórico acessível em diferentes pontos de atendimento. Dessa forma, o prontuário eletrônico torna-se um recurso essencial na gestão eficiente dos dados em saúde (Silva; Olave, 2023).
A inteligência artificial aplicada à saúde é um campo em crescimento nas Health techs, oferecendo suporte em diagnósticos e na personalização de tratamentos. Por meio de algoritmos que analisam grandes volumes de dados, a IA identifica padrões que ajudam na previsão de doenças e na recomendação de intervenções adequadas. Esse recurso permite diagnósticos mais rápidos e precisos, proporcionando aos médicos ferramentas adicionais para tomadas de decisão. A IA contribui ainda para a automação de processos, como análise de exames, otimizando o tempo dos profissionais. Esse avanço coloca a tecnologia como uma aliada indispensável na melhoria dos tratamentos e resultados em saúde (Silva; Olave, 2023).
Ainda, as Health techs que atuam com monitoramento remoto permitem o acompanhamento contínuo da saúde do paciente em tempo real, especialmente para quem possui doenças crônicas. Essa tecnologia possibilita que profissionais de saúde intervenham prontamente, caso detectem alguma alteração nos indicadores de saúde do paciente. Assim, o monitoramento remoto promove um cuidado mais proativo e preventivo, reduzindo internações e agravamentos. Pacientes com condições que exigem atenção constante, como hipertensão e diabetes, beneficiam-se enormemente desse recurso. Esse acompanhamento também melhora a qualidade de vida dos pacientes, que se sentem mais seguros e assistidos em suas rotinas diárias (Silva; Olave, 2023).
Diante disso, são empresas que utilizam tecnologias inovadoras para oferecer soluções no setor de saúde, visando aumentar a eficiência dos processos, melhorar a experiência do paciente e otimizar a gestão de dados médicos. Essas empresas se destacam pela agilidade e inovação, características essenciais em um setor que historicamente apresenta resistência a mudanças tecnológicas. As Health techs possibilitam que a tecnologia seja usada de forma estratégica para enfrentar desafios como o armazenamento seguro de dados, a telemedicina e o atendimento remoto, respondendo rapidamente às necessidades emergentes do setor (Santo; Camillis, 2024).
Essas startups emergiram principalmente a partir de 2015, mas ganharam maior visibilidade durante a pandemia da COVID-19, quando a demanda por soluções rápidas e seguras no acompanhamento de pacientes se tornou urgente. As Health techs inovam ao unir o conhecimento médico com a tecnologia, oferecendo uma abordagem integrada e centrada no paciente. Isso inclui o uso de prontuários eletrônicos, inteligência artificial para diagnósticos e dispositivos de monitoramento remoto, que facilitam a gestão de saúde de forma segura e eficaz. Esse conceito está alinhado à necessidade de modernizar o setor e adequá-lo às exigências atuais de segurança e eficiência (Santo; Camillis, 2024).
Na superação das limitações do setor de saúde, as Health techs desempenham um papel fundamental ao oferecer soluções que reduzem a burocracia e aprimoram a segurança dos dados dos pacientes. Elas contribuem para a integração dos sistemas de informação, o que permite um fluxo de dados mais rápido e seguro entre diferentes prestadores de serviços de saúde. Essa integração é crucial para melhorar o atendimento, já que permite que os profissionais de saúde acessem informações precisas em tempo real, reduzindo a ocorrência de erros médicos e facilitando a continuidade do cuidado, especialmente em emergências (Santo; Camillis, 2024).
Além disso, as Health techs ajudam a superar barreiras geográficas e econômicas ao facilitar o acesso à saúde por meio da telemedicina e de aplicativos de monitoramento remoto. Essa tecnologia possibilita que pacientes de áreas remotas ou com dificuldades de deslocamento recebam cuidados médicos sem precisar se deslocar, ampliando o alcance do atendimento. As Health techs também oferecem serviços a custos reduzidos em comparação com os sistemas tradicionais, tornando a saúde mais acessível e inclusiva. Dessa forma, essas empresas contribuem significativamente para um sistema de saúde mais eficiente, moderno e voltado para as necessidades do paciente (Santo; Camillis, 2024).
4.2 OBRIGAÇÕES LEGAIS DAS HEALTH TECHS PERANTE A LGPD
Quando a LGPD entrou em vigor no Brasil, o tratamento de dados sensíveis relacionados à saúde passou a ser regulado com grande rigor, exigindo mais cuidado por parte de empresas, instituições de saúde e profissionais que lidam com esse tipo de informação. Dados de saúde são classificados como dados sensíveis pela LGPD e incluem informações como histórico médico, exames e prontuários, entre outros. Esses dados, quando manipulados sem a devida atenção às normas de segurança, podem causar prejuízos ao indivíduo, como discriminação, vazamento de informações e invasão de privacidade (Vigliar, 2022).
A partir da vigência da LGPD, qualquer tratamento de dados de saúde passou a depender de uma base legal clara, sendo necessário o consentimento explícito do titular dos dados ou o atendimento de situações específicas previstas pela lei, como emergências de saúde pública. A LGPD também impôs requisitos de segurança para o armazenamento e compartilhamento desses dados, como a adoção de medidas técnicas e administrativas que garantam a proteção das informações contra acessos não autorizados e incidentes de segurança, como vazamentos. Instituições de saúde passaram a ter um papel fundamental em assegurar a conformidade com essas exigências, estabelecendo políticas de privacidade claras e protocolos de segurança (Vigliar, 2022).
Outrossim, existe a correlação entre vulnerabilidade cibernética e o tratamento de dados sensíveis, especialmente em relação a dados de saúde, torna-se cada vez mais crítica com o avanço das tecnologias digitais. A LGPD estabelece diretrizes gerais para a proteção desses dados, mas não determina, de forma específica, como os meios de proteção cibernética devem ser aplicados na prática. Essa lacuna regulatória coloca empresas e instituições de saúde em uma posição delicada, pois precisam buscar soluções tecnológicas e de segurança cibernética sem um roteiro claro na legislação, aumentando o risco de falhas na proteção de dados sensíveis, como informações médicas e de saúde dos pacientes (Farias, 2022).
Diante disso, as Health techs, ao lidarem com dados sensíveis de saúde, têm obrigações rigorosas para garantir a proteção de dados conforme a LGPD. A primeira obrigação envolve o consentimento explícito e informado dos titulares dos dados, assegurando que os pacientes entendam claramente como suas informações serão utilizadas. Esse consentimento precisa ser específico e direcionado, indicando a finalidade exata do uso dos dados e garantindo que o tratamento ocorra de acordo com a necessidade e adequação da coleta. Esse cuidado é essencial, pois dados de saúde são considerados sensíveis, o que exige uma camada extra de proteção sob a LGPD (Fornasier, 2022).
Outro aspecto fundamental é a responsabilidade das Health techs em implementar medidas técnicas e organizacionais para garantir a segurança dos dados coletados e armazenados. Isso inclui, por exemplo, a adoção de tecnologias de anonimização e pseudonimização, que visam proteger a identidade do titular dos dados e minimizar o risco de reidentificação. Além disso, é essencial que essas empresas realizem Avaliações de Impacto de Privacidade (Privacy Impact Assessments) regularmente, para identificar e mitigar possíveis riscos no uso dos dados. A LGPD estabelece que essas medidas sejam revisadas e atualizadas constantemente para acompanhar o avanço das ameaças e vulnerabilidades digitais (Fornasier, 2022).
As Health techs também têm a obrigação de informar e garantir aos titulares dos dados o direito de acesso, correção e exclusão de suas informações. Segundo a LGPD, os titulares devem ter a liberdade de acessar seus dados quando desejarem e solicitar correções caso identifiquem informações incorretas. Além disso, é assegurado ao titular o direito de revogar seu consentimento e solicitar a exclusão dos dados, quando aplicável. Essas práticas visam fortalecer o controle dos usuários sobre suas informações, promovendo uma maior transparência e confiabilidade entre as Health techs e os pacientes (Fornasier, 2022).
Assim, as Health techs devem manter um canal de comunicação aberto para responder prontamente a incidentes de segurança e fornecer relatórios detalhados em casos de vazamento de dados. A LGPD exige que as empresas reportem incidentes de forma rápida à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, além de adotarem planos de resposta a incidentes para minimizar danos. Essa comunicação eficaz é crucial para preservar a confiança dos usuários e garantir que a proteção dos dados seja tratada com seriedade, refletindo o compromisso das Health techs com a privacidade e segurança de seus pacientes (Fornasier, 2022).
As implicações da LGPD no uso de Big Data pelas Health techs são amplas, pois envolvem o tratamento de dados sensíveis dos pacientes, como históricos médicos, informações genéticas e registros de saúde. A LGPD estabelece que as Health techs precisam garantir a conformidade desde a coleta até o processamento e armazenamento desses dados. Esse rigor é necessário, pois dados de saúde são altamente confidenciais, exigindo consentimento explícito e finalidades bem delimitadas para seu uso. Assim, a conformidade com a LGPD impõe que as Health techs desenvolvam mecanismos para obter e gerenciar o consentimento dos titulares, garantindo que os dados sejam utilizados exclusivamente para os fins permitidos e em conformidade com a legislação (Lins, 2022).
A lei também exige que as Health techs adotem medidas de segurança robustas para proteger dados de vazamentos e acessos não autorizados. A LGPD considera essas práticas obrigatórias, especialmente para dados sensíveis, incentivando o uso de técnicas que protejam a identidade dos pacientes. Esse tipo de proteção ajuda a minimizar os riscos associados à manipulação de grandes volumes de dados, onde a exposição acidental poderia comprometer a privacidade e a confiança dos pacientes na tecnologia utilizada (Lins, 2022).
Outra implicação relevante é a obrigação das Health techs de fornecer aos titulares dos dados o direito de acessar, corrigir e excluir informações pessoais. Em um ambiente de Big Data, onde os dados podem ser continuamente coletados e atualizados, atender a esses direitos pode ser um desafio. No entanto, as Health techs devem estar preparadas para responder prontamente às solicitações dos titulares, oferecendo transparência e controle sobre os dados. Essa prática não apenas reforça a conformidade com a LGPD, mas também promove uma relação de confiança entre a empresa e seus usuários, essenciais para o crescimento do setor de Health techs (Lins, 2022).
Ainda, a LGPD demanda que as Health techs relatem prontamente incidentes de segurança à ANPD e aos titulares. No contexto de Big Data, onde os dados são manipulados em larga escala, é crucial que as Health techs estabeleçam planos de resposta a incidentes para mitigar rapidamente qualquer impacto. Essa exigência da LGPD ajuda a garantir que as Health techs não apenas estejam prontas para lidar com possíveis falhas de segurança, mas também que atuem de maneira proativa para reduzir os danos causados aos titulares dos dados. Esse nível de responsabilidade é essencial para manter a integridade e a segurança do uso de Big Data na saúde (Lins, 2022).
4.2.1 O impacto da ABNT NBR ISO 27.799:2019
A norma ABNT NBR ISO 27799:2019 é uma diretriz voltada para a proteção de dados sensíveis de saúde, com o objetivo de auxiliar organizações do setor de saúde na implementação de medidas de segurança da informação. Desenvolvida para se alinhar aos princípios da ISO/IEC 27001, esta norma fornece um conjunto de práticas que visam assegurar a confidencialidade, integridade e disponibilidade dos dados de saúde. É amplamente utilizada em instituições que tratam informações médicas, ajudando a mitigar riscos de vazamento ou uso inadequado de dados pessoais e garantindo que o tratamento dessas informações siga padrões internacionais de segurança (Associação Brasileira de Normas Técnicas, 2019).
Um ponto importante a ser considerado na busca por maior segurança no tratamento de dados sensíveis é a norma ABNT NBR ISO 27799, que fornece diretrizes para a gestão da segurança da informação em organizações de saúde. Essa norma visa proteger os dados de saúde pessoal em ambientes eletrônicos, oferecendo um conjunto de práticas recomendadas para a implementação de controles de segurança. Entretanto, a aplicação dessas diretrizes no Brasil ainda é limitada e precisa ser incentivada para que as organizações de saúde possam se adequar às melhores práticas internacionais, mitigando os riscos associados à vulnerabilidade cibernética (Borsari Diniz; Pelicano Diniz, 2021).
Antes de adentrar no escopo da referida norma, elucida-se o conceito e norte da Política de Segurança da Informação (PSI), a qual corresponde a um conjunto de diretrizes e práticas adotadas por uma organização para proteger seus dados e assegurar a integridade de suas informações. Uma PSI define como os colaboradores devem lidar com dados sensíveis e quais procedimentos seguir para garantir a segurança digital e física de informações. Esse documento inclui aspectos como controle de acesso, proteção contra ameaças e planos de resposta a incidentes, sendo essencial para minimizar riscos e manter a continuidade das operações (Borsari Diniz; Pelicano Diniz, 2021).
O desenvolvimento de uma PSI envolve estabelecer controles de segurança, como políticas, processos e tecnologias, para proteger contra uma ampla gama de ameaças. Esses controles precisam ser monitorados e ajustados continuamente para acompanhar as mudanças no ambiente de TI e nas ameaças. Além disso, uma política eficaz deve envolver todos os setores da organização, responsabilizando cada um pelo manejo correto das informações e pelo cumprimento das normas estabelecidas (Borsari Diniz; Pelicano Diniz, 2021).
Para fortalecer a segurança, a PSI deve estar alinhada com normas reconhecidas, como a ABNT NBR ISO/IEC 27001 e 27701, que garantem padrões internacionais para a gestão da segurança e privacidade de dados. Essas normas ajudam a estruturar um Sistema de Gestão de Segurança da Informação (SGSI), que estabelece diretrizes de confidencialidade, integridade e disponibilidade de dados. Implementar essas práticas contribui para que a empresa não só cumpra exigências legais, como a Lei Geral de Proteção de Dados (LGPD), mas também demonstre seu compromisso com a proteção dos dados de seus clientes e parceiros (Borsari Diniz; Pelicano Diniz, 2021).
Ainda, a PSI também serve como uma base para a criação de uma cultura organizacional de segurança. É fundamental que todos os colaboradores recebam treinamentos periódicos sobre segurança da informação e compreendam a importância de sua responsabilidade individual nesse processo. Assim, a PSI não só protege a organização contra ataques externos, mas também previne vazamentos internos, promovendo um ambiente de trabalho mais seguro e consciente (Borsari Diniz; Pelicano Diniz, 2021).
Assim, a estrutura da ABNT NBR ISO 27799:2019 é dividida em várias seções, começando com o escopo e a introdução aos princípios de segurança da informação no setor de saúde. Essas seções abordam o contexto específico da segurança de dados médicos e os desafios que as instituições enfrentam no manuseio de informações sensíveis. A norma descreve como integrar as políticas de segurança de maneira alinhada à cultura organizacional, facilitando a adaptação dos procedimentos de segurança às necessidades e particularidades de cada instituição (Associação Brasileira de Normas Técnicas, 2019).
Em seguida, a norma detalha os controles de segurança que devem ser implementados para proteger os dados de saúde. Esses controles incluem desde a autenticação de usuários e o controle de acesso até o monitoramento contínuo de atividades para evitar incidentes. Cada controle é associado a recomendações específicas sobre como ser implementado e mantido, garantindo que as organizações possam monitorar e reagir a qualquer ameaça que comprometa os dados. A ABNT NBR ISO 27799:2019 orienta, assim, sobre medidas preventivas e reativas essenciais para assegurar a proteção completa dos dados de saúde (Associação Brasileira de Normas Técnicas, 2019).
Ademais, a norma ABNT NBR ISO 27799:2019 aborda as responsabilidades de gerenciamento e auditoria, que são essenciais para garantir a conformidade contínua com a norma. Ela estabelece diretrizes para a criação de relatórios de conformidade e para a realização de auditorias internas, promovendo uma avaliação constante da eficácia das medidas de segurança adotadas. Esses processos permitem que as organizações mantenham um alto nível de segurança e possam identificar e corrigir vulnerabilidades de maneira ágil, promovendo a confiança e a conformidade no setor de saúde (Associação Brasileira de Normas Técnicas, 2019).
A implementação da ABNT NBR ISO 27.799:2019 apresenta-se como um avanço significativo para as Health techs, especialmente no tratamento de dados sensíveis sob o prisma da LGPD. A norma define diretrizes robustas para assegurar a confidencialidade, integridade e disponibilidade dos dados, elementos críticos para o setor da saúde. Com essa estrutura, as Health techs têm a oportunidade de otimizar a proteção de dados de saúde, minimizando riscos de exposição e garantindo que os pacientes tenham controle sobre suas informações pessoais. Além disso, a norma auxilia na prevenção de violações, que podem acarretar implicações legais severas, fortalecendo a confiança dos usuários nesses serviços (Aleixo, 2020)
Ademais, a conformidade com a ABNT NBR ISO 27.799:2019 exige que as Health techs invistam em uma cultura organizacional de segurança da informação. Essa mudança cultural é fundamental para que os colaboradores compreendam a importância de práticas seguras no tratamento de dados sensíveis, promovendo um ambiente de conformidade e respeito aos direitos dos usuários, conforme estipulado pela LGPD. Com uma equipe treinada e consciente, a chance de incidentes relacionados à privacidade dos dados diminui substancialmente, o que se alinha aos objetivos da regulamentação brasileira de proteção de dados (Medeiros, 2022)
Outro ponto relevante é que a implementação da norma encoraja a realização de auditorias regulares e monitoramento constante das práticas de segurança. Essas práticas são indispensáveis para a proteção de dados sensíveis, criando uma camada adicional de proteção contra possíveis ameaças cibernéticas. Com isso, as Health techs conseguem não apenas atender aos requisitos legais da LGPD, mas também reforçar sua resiliência contra ataques externos que possam comprometer a integridade e a confidencialidade das informações (Aleixo, 2020).
Além disso, a norma contribui diretamente para a gestão eficiente de dados em Health techs, especialmente no contexto de conformidade com a LGPD. A ABNT NBR ISO 27.799:2019 destaca a importância de controlar o acesso a dados sensíveis e rastrear atividades que possam comprometer a segurança informacional. Com essas medidas, as empresas do setor de saúde digital conseguem elevar a confiança dos usuários na integridade de seus sistemas, garantindo o cumprimento das normas de proteção e privacidade de dados (Fernandes, 2021).
É importante notar que a ISO 27.799:2019 também promove um alinhamento entre as práticas de curadoria da informação e a segurança de dados, o que é essencial para Health techs que buscam conformidade com a LGPD. Esse alinhamento assegura que dados sensíveis, como históricos médicos, sejam tratados de forma ética e transparente, seguindo padrões rigorosos de proteção e armazenamento. Com isso, as Health techs fortalecem sua base para uma gestão de dados que prioriza a segurança e a ética (Aleixo, 2020).
Por outro lado, a adequação à norma também oferece uma resposta estruturada às demandas da LGPD, proporcionando mecanismos que facilitam o cumprimento dos direitos dos titulares de dados. Entre esses mecanismos, destacam-se o direito ao acesso, retificação e eliminação de informações, requisitos essenciais para o atendimento às exigências legais e para a proteção da privacidade dos pacientes. Dessa forma, as Health techs reforçam seu compromisso com a transparência e a segurança no tratamento de dados (Medeiros, 2022).
Igualmente relevante, a norma enfatiza a necessidade de um Sistema de Gestão de Segurança da Informação (SGSI) robusto, integrando controle e auditoria contínua sobre os processos de tratamento de dados. Esse sistema não só apoia a conformidade com a LGPD, mas também oferece uma camada de segurança essencial contra ameaças internas e externas, que podem comprometer dados sensíveis. Com o SGSI em vigor, as Health techs garantem uma abordagem preventiva e alinhada às melhores práticas de segurança da informação (Fernandes, 2021).
Além disso, a conformidade com a ISO 27.799:2019 exige que as Health techs adotem uma abordagem proativa na gestão de riscos, um aspecto central na proteção de dados sensíveis. Essa gestão de riscos se alinha aos princípios da LGPD, garantindo que os dados sejam processados de maneira segura e transparente, minimizando o risco de violações que possam comprometer a privacidade dos usuários. Assim, a abordagem de gestão preventiva reforça o compromisso dessas empresas com a segurança informacional (Aleixo, 2020).
Diante disso, ao implementar a ABNT NBR ISO 27.799:2019, as Health techs desenvolvem uma base sólida para a proteção de dados, um elemento vital para a conformidade com a LGPD. A norma promove uma cultura de segurança essencial para mitigar ameaças e assegurar que o tratamento de dados pessoais sensíveis ocorra dentro de padrões éticos e legais, reforçando a confiança dos pacientes na integridade e no compromisso das Health techs com a proteção da privacidade (Medeiros, 2022).
4.3 RESPONSABILIDADE CIVIL NO CASO DE VAZAMENTO OU USO INADEQUADO DE DADOS SENSÍVEIS DE SAÚDE
A responsabilidade civil, no contexto jurídico, refere-se à obrigação de reparar danos causados a terceiros, seja por descumprimento contratual ou por ações ou omissões extracontratuais. Tradicionalmente, essa responsabilidade se divide em contratual, quando decorre de um vínculo contratual entre as partes, e extracontratual, também chamada aquiliana, que ocorre independentemente de contrato. Essa dicotomia tem sido amplamente discutida, pois muitos defendem que as funções da responsabilidade civil transcendem essa divisão, sendo necessária uma abordagem mais ampla que contemple a proteção à vítima e a compensação adequada dos danos sofridos (Tartuce, 2023).
Ao longo da história, a responsabilidade civil evoluiu de uma visão punitiva e baseada na culpa para uma perspectiva mais objetiva, que visa assegurar a reparação do dano independentemente da culpa do agente. A influência do Código Napoleônico foi significativa nesse desenvolvimento, especialmente na disseminação da responsabilidade com base na culpa. Com o avanço da industrialização e a intensificação dos riscos para a sociedade, surgiu a responsabilidade objetiva, na qual a reparação independe de dolo ou culpa, focando-se na distribuição do risco e proteção das vítimas, uma abordagem que ainda prevalece e é amplamente aceita no direito moderno (Tartuce, 2023).
Na contemporaneidade, as funções da responsabilidade civil vão além da reparação. Ela também desempenha papéis preventivos, punitivos e educativos, buscando inibir condutas lesivas e promover a segurança nas relações sociais. Esse caráter multifuncional sinaliza a superação da clássica divisão contratual e extracontratual, pois, em ambos os casos, o objetivo maior é proteger direitos e assegurar que danos sejam reparados, proporcionando equilíbrio entre a justiça corretiva e a distributiva (Tartuce, 2023).
De maneira geral, a responsabilidade civil médica decorre do dever do profissional de saúde em adotar os cuidados necessários no tratamento dos pacientes, garantindo o uso adequado de técnicas e informações. A relação médico-paciente é complexa e envolve, geralmente, uma obrigação de meio, onde o médico compromete-se a empregar os melhores recursos disponíveis, sem assegurar um resultado específico, exceto em casos de intervenções estéticas, onde há uma expectativa de resultado. Essa responsabilidade é pautada pela diligência, prudência e conhecimento técnico que devem ser aplicados em cada atendimento (Carvalho, 2023).
Para configurar a responsabilidade civil médica, é necessário que haja uma conduta culposa, que pode ser caracterizada por negligência, imprudência ou imperícia, além de um dano sofrido pelo paciente e o nexo causal entre a conduta do profissional e o prejuízo. Caso o paciente comprove que o médico agiu com culpa, ele pode pleitear indenização. No entanto, existem excludentes de responsabilidade, como o caso fortuito, força maior ou até a culpa exclusiva do paciente, situações em que o médico não responde civilmente pelo dano (Carvalho, 2023).
A obrigação do médico de informar os pacientes sobre riscos e possibilidades de tratamento é fundamental, pois garante que o paciente tome decisões conscientes sobre sua saúde. Falhas nesse dever de informar também podem configurar responsabilidade civil. Nos casos em que o médico não atendeu ao dever de esclarecimento ou negligenciou cuidados básicos, ele poderá ser responsabilizado civilmente pelos danos sofridos pelo paciente, fortalecendo o papel do direito em assegurar a segurança e bem-estar na prática médica (Carvalho, 2023).
Com isso, a responsabilidade civil relacionada ao vazamento ou uso inadequado de dados sensíveis de saúde envolve a proteção da privacidade e a necessidade de reparação por danos causados aos titulares desses dados. No Brasil, a LGPD regula o tratamento de dados pessoais, especialmente os sensíveis, estabelecendo diretrizes para garantir a segurança e a confidencialidade. A legislação impõe a adoção de medidas técnicas e administrativas que visam proteger as informações de saúde, e a falha em assegurar esse dever de proteção pode ensejar a responsabilização dos agentes envolvidos (Freitas, 2022).
O conceito de responsabilidade civil na LGPD é fundamentado no dever de reparar danos decorrentes da violação de dados, sejam eles patrimoniais ou morais. Dada a natureza dos dados sensíveis de saúde, que podem expor informações íntimas do paciente, o vazamento pode trazer prejuízos significativos, comprometendo o direito à intimidade e à privacidade. O tratamento inadequado desses dados pode acarretar penalidades tanto administrativas quanto civis, conforme previsto no Código de Defesa do Consumidor, caso envolva relações de consumo, ou no próprio Código Civil para outras situações (Valdemiro, 2023).
No que concerne à existência ou não de relação de consumo entre médico e seu paciente suscita debates na doutrina e jurisprudência brasileira, especialmente no que tange à aplicação do Código de Defesa do Consumidor (CDC). Parte da doutrina sustenta que o paciente, ao recorrer aos serviços de um médico, caracteriza-se como consumidor, e o médico como fornecedor, uma vez que ambos se enquadram nas definições contidas no art. 2º e 3º do CDC. Esse entendimento também se fundamenta no princípio da vulnerabilidade do paciente, que busca proteção na relação, considerando sua posição de dependência e necessidade de orientação do profissional para o cuidado de sua saúde (Tito; Matos, 2023).
Por outro lado, uma corrente de pensamento argumenta que a relação médico-paciente não é meramente comercial, e sim caracterizada pela sua especificidade ética e deontológica, onde o foco não é o lucro, mas sim a saúde e bem-estar do paciente. Nesse contexto, o médico não age como um fornecedor comum, e a prestação de serviços médicos envolve responsabilidades que extrapolam a simples transação de consumo. Defensores dessa posição destacam que a saúde não deve ser vista como um produto, e que a relação entre médico e paciente deve ser regida pela ética profissional e por normas próprias, afastando-se do regime consumerista (Tito; Matos, 2023).
Por outro lado, embora a aplicação do CDC em casos específicos, como procedimentos eletivos e serviços médicos estéticos, seja aceita pela jurisprudência, há resistência em sua aplicação ampla. A jurisprudência tende a considerar aspectos como a vulnerabilidade do paciente e a natureza do serviço prestado para avaliar a incidência do CDC, observando que a relação médico-paciente é única e requer um tratamento jurídico diferenciado, que respeite a complexidade e o objetivo de promover o bem-estar do paciente, acima de interesses comerciais (Tito; Matos, 2023).
Porém, frisa-se que o presente estudo não possui o objetivo em determinar a existência de relação de consumo entre a relação médico-paciente e a consequente aplicação do Código de Defesa do Consumidor frente à responsabilidade civil em casos de vazamento ou uso inadequado dos dados.
A responsabilidade civil objetiva é uma das correntes aplicáveis à violação de dados na área da saúde, considerando que o controlador ou operador responde pelo dano causado independentemente de culpa. Esse entendimento é sustentado pela doutrina e jurisprudência, que defendem a aplicação da responsabilidade objetiva em casos de tratamento de dados pessoais, especialmente quando o dano decorre de falha nas medidas de segurança exigidas pela LGPD. Por outro lado, a subjetiva pode ser considerada quando há necessidade de comprovar dolo ou negligência do profissional ou instituição envolvida (Valdemiro, 2022).
Casos emblemáticos, como o vazamento do prontuário da atriz Klara Castanho, ilustram as consequências legais e éticas do descumprimento das normas de proteção de dados na área da saúde. Neste caso, informações extremamente sensíveis foram divulgadas sem autorização, expondo a vítima e evidenciando a importância da implementação rigorosa de políticas de segurança e confidencialidade. O incidente gerou discussões sobre a responsabilidade dos profissionais de saúde e das instituições em adotar medidas que garantam o sigilo dos prontuários médicos (Valdemiro, 2023).
O Data Protection Officer (DPO) desempenha um papel fundamental na segurança da informação dentro das organizações, particularmente na proteção dos dados pessoais sensíveis, seguindo as diretrizes da LGPD. Sua função principal é agir como um ponto de contato e comunicação entre a organização, os titulares dos dados e a ANPD, além de recomendar práticas seguras de tratamento e proteção de dados. O DPO possui a responsabilidade de garantir que a empresa siga as regulamentações vigentes, mitigando riscos de incidentes como vazamentos de dados e promovendo uma cultura organizacional voltada à segurança da informação (Viegas da Silva; Samuel da Silva; França Nunes, 2024).
Em relação à responsabilidade civil, o DPO orienta o controlador e o operador na criação de políticas internas e na adoção de medidas que minimizem riscos de violação de dados sensíveis. Ele deve identificar potenciais vulnerabilidades e propor soluções eficazes para assegurar que os dados pessoais estejam devidamente protegidos, respeitando os direitos dos titulares. Mesmo sem responsabilização direta, o DPO atua preventivamente, buscando reduzir a exposição da empresa a sanções legais e à necessidade de reparação civil de danos, reforçando assim o compromisso com a proteção dos dados pessoais dos titulares (Viegas da Silva; Samuel da Silva; França Nunes, 2024).
Outro aspecto importante do DPO é seu papel na elaboração de treinamentos e na conscientização dos colaboradores sobre a importância da privacidade e da segurança dos dados. Por meio de programas educacionais, o DPO capacita a equipe para reconhecer e lidar com possíveis ameaças e incidentes de segurança, promovendo práticas seguras e o cumprimento das normas estabelecidas pela LGPD. Essa atuação preventiva é essencial para reduzir as chances de vazamento de dados sensíveis, minimizando, assim, a responsabilidade civil da organização por eventuais danos causados a terceiros (Viegas da Silva; Samuel da Silva; França Nunes, 2024).
No contexto da responsabilidade civil, o DPO precisa assegurar que a organização possua mecanismos de controle e monitoramento contínuos para o tratamento de dados, garantindo que cada operação esteja em conformidade com os princípios da LGPD. Ele deve supervisionar o descarte adequado de dados e o uso de tecnologias que aumentem a segurança, como criptografia e controle de acesso, proporcionando um ambiente seguro e protegido contra vazamentos. Esse papel consultivo e supervisório do DPO demonstra sua relevância na mitigação de riscos e na promoção de uma postura responsável da empresa em relação à segurança dos dados, essencial para a proteção dos direitos dos titulares e para a confiança do mercado (Viegas da Silva; Samuel da Silva; França Nunes, 2024).
A responsabilidade civil no contexto de dados sensíveis de saúde vai além da indenização financeira; ela visa também a prevenção de novos incidentes. Isso implica a criação de uma cultura de proteção de dados nas instituições de saúde, onde sejam adotados protocolos de segurança rigorosos para o armazenamento e compartilhamento de informações sensíveis. Além disso, a responsabilização por vazamentos pode incentivar práticas mais seguras e respeitosas em relação aos direitos dos pacientes, garantindo a integridade e o sigilo necessários no setor da saúde (Freitas, 2022).
Ainda, a LGPD exige que agentes de tratamento de dados adotem uma postura de conformidade com a legislação, destacando-se a importância de um compromisso contínuo com a proteção de dados de saúde. A falta de clareza na lei quanto à responsabilidade específica em casos de vazamento ainda gera controvérsias, porém, a tendência doutrinária e jurisprudencial aponta para uma responsabilidade objetiva nos casos em que os dados são usados de forma inadequada, assegurando que os pacientes possam ter seus direitos preservados em meio a um ambiente digital cada vez mais vulnerável a violações.
Dentre os aspectos gerais responsabilidade civil é importante frisar o entendimento das excludentes de responsabilidade civil, o estado de necessidade surge como uma das principais excludentes de ilicitude no Direito Civil, aplicável nos casos em que o agente, para evitar um perigo iminente, atua em detrimento de um direito alheio. Nesses casos, o agente busca proteger um bem maior e essencial, ainda que sacrifique, de maneira proporcional e moderada, um direito de outrem. A doutrina e a jurisprudência entendem que, na maioria dos casos, é possível que o causador do dano não tenha o dever de indenizar, considerando a situação como um ato lícito. Contudo, há casos em que, mesmo sendo um ato lícito, o dever de reparação pode persistir, especialmente se o terceiro afetado não tiver responsabilidade no fato gerador do perigo (Tartuce, 2023).
O Código Civil, em seu Art. 929, dispõe que aquele que causar dano em estado de necessidade poderá responder pelo prejuízo, porém, com a ressalva de que poderá exercer o direito de regresso contra quem efetivamente deu causa à situação de risco. Esse direito de regresso visa, assim, restabelecer a justiça, permitindo que o agente que agiu em estado de necessidade busque ressarcimento contra o verdadeiro responsável pelo perigo inicial. Assim, o estado de necessidade se configura como uma excludente de responsabilidade parcial, sendo a indenização devida apenas em casos específicos (Tartuce, 2023).
Importante destacar que, na análise do estado de necessidade, deve-se sempre observar a proporcionalidade e a razoabilidade da conduta do agente, para que não ultrapasse os limites do indispensável. Em caso de excesso, o ato pode perder sua natureza lícita e se tornar um ato ilícito, gerando, portanto, o dever de indenizar o dano causado. Exemplos práticos de aplicação desse instituto incluem situações de destruição de propriedade para conter um incêndio ou dano causado a veículo alheio para evitar um atropelamento (Tartuce, 2023).
Ademais, a doutrina destaca que o estado de necessidade também pode ser utilizado na defesa de direitos de terceiros, desde que seja imprescindível para proteger um bem jurídico superior e que não existam alternativas menos onerosas. Essa visão reafirma o princípio de razoabilidade e da preservação de bens essenciais no Direito Civil, reconhecendo que, em situações extremas, o sacrifício de certos bens é necessário e juridicamente aceitável, desde que aplicado dentro dos parâmetros da proporcionalidade (Tartuce, 2023).
A excludente de ilicitude em relação ao vazamento de dados pessoais na responsabilidade civil pode ocorrer quando o responsável pelo tratamento dos dados demonstra que agiu dentro das permissões legais ou em situações excepcionais que justifiquem sua conduta. Na LGPD, são previstas condições específicas nas quais o vazamento de dados pode ser excluído da responsabilidade do controlador, como em casos de consentimento explícito do titular, necessidade para cumprimento de obrigação legal ou judicial, e para a proteção de crédito. Nesses casos, desde que sejam observados os requisitos legais e o agente demonstre boa-fé, é possível que a responsabilidade seja excluída (Araújo, 2022).
Outra situação de excludente de ilicitude prevista pela LGPD está relacionada ao caso fortuito e à força maior. São situações em que o controlador ou operador dos dados não teria como prever ou evitar o vazamento, como um ataque cibernético extraordinário e imprevisível, ou um evento natural que afetou os sistemas de segurança. Para que essa excludente seja validada, o agente de tratamento precisa comprovar que adotou medidas de segurança adequadas e que o incidente ocorreu fora de sua previsibilidade e controle (Araújo, 2022).
A culpa exclusiva do titular ou de terceiro é outra excludente relevante. Ocorre quando o vazamento de dados é resultado direto de ações ou omissões do próprio titular dos dados ou de terceiros, sem qualquer contribuição do controlador. Por exemplo, se o titular compartilha suas próprias informações em plataformas não seguras ou um terceiro realiza um ato ilícito sem o conhecimento ou facilitação do controlador, este pode estar isento de responsabilidade. A exclusão de responsabilidade nesse caso depende da comprovação de que o controlador não teve participação no incidente e adotou todas as precauções exigidas (Araújo, 2022).
Assim, o estrito cumprimento de dever legal ou exercício regular de direitos também pode isentar o agente de tratamento de responsabilidade em caso de vazamento de dados. A LGPD permite o tratamento de dados sem consentimento em algumas circunstâncias, como para cumprimento de uma obrigação regulatória ou defesa de direitos em processos judiciais. Contudo, o agente de tratamento deve demonstrar que sua conduta estava amparada pela legislação e que seguiu estritamente os limites estabelecidos, evitando o excesso e garantindo a proteção dos direitos do titular, sempre que possível (Araújo, 2022).
4.3.1 Modalidade de responsabilidade civil aplicável para Health techs
A atuação das Health techs na área da saúde tem se consolidado como um componente essencial na relação entre médicos, pacientes e instituições de saúde. Essas empresas tecnológicas desenvolveram plataformas robustas que centralizam e organizam os dados médicos dos pacientes, oferecendo uma visão completa e integrada de seu histórico de saúde. Esse armazenamento unificado facilita o acesso a informações fundamentais para o diagnóstico e acompanhamento, promovendo uma tomada de decisão mais assertiva e segura por parte dos profissionais de saúde (Pereira et al., 2021).
Ao mesmo tempo, esse sistema de prontuários eletrônicos otimiza o tempo das consultas, permitindo que médicos acessem dados de exames e tratamentos anteriores com agilidade, o que melhora a eficiência do atendimento e reduz a probabilidade de erros médicos. Nesse contexto, a relação de consumo entre o médico, clínica ou hospital com a Health Tech se configura pela prestação de um serviço essencial que atua como intermediário na prestação de serviços de saúde ao paciente. Ao fornecer a infraestrutura tecnológica para armazenar e gerenciar informações sensíveis, as Health techs facilitam a interação entre médico e paciente, sem, no entanto, substituir a responsabilidade clínica do diagnóstico e tratamento (NDM, 2022).
A Health Tech, nesse sentido, não realiza atendimento médico, mas sua tecnologia viabiliza e sustenta o ambiente necessário para que as informações sobre o paciente estejam disponíveis de forma organizada e segura. Isso caracteriza a Health Tech como uma prestadora de serviço para os profissionais e instituições de saúde, enquadrando-se na relação de consumo pela oferta de um serviço que visa atender as necessidades das partes envolvidas no processo de cuidado à saúde (Fernandes, 2021).
A LGPD estabelece a responsabilidade civil das empresas como Health techs no tratamento de dados sensíveis, especialmente na área da saúde, que exige um rigor de proteção devido à natureza delicada dos dados envolvidos. Primeiramente, a legislação exige que as empresas na modalidade Health techs implementem medidas robustas de segurança técnica e administrativa para evitar acessos não autorizados, além de proteger esses dados contra situações de destruição ou modificação acidental ou ilícita. Isso implica em uma responsabilidade de compliance e gestão, onde qualquer falha pode resultar em sanções significativas (Dantas, 2021).
A responsabilidade civil dessas empresas é delineada pela LGPD de forma objetiva. Isso significa que as Health techs podem ser responsabilizadas diretamente por qualquer dano ao titular dos dados, como previsto no Art. 42. da LGPD, caso ocorra violação das medidas de segurança ou tratamento inadequado dos dados. Este ponto é reforçado pela necessidade de demonstração de esforços concretos para proteção dos dados, o que inclui tanto o armazenamento seguro quanto a garantia de que apenas profissionais devidamente autorizados terão acesso a essas informações (Dantas, 2021).
No sentindo de adequadamente fundamentar a modalidade objetiva da responsabilidade civil, torna-se necessário entender o conceito de teoria do risco, a qual é um conceito em responsabilidade civil que sustenta que, ao realizar uma atividade que possa potencialmente causar danos, o agente responsável assume o risco inerente a essa atividade. Em vez de depender da comprovação de culpa, a responsabilidade é atribuída com base no fato de que o risco foi criado. Assim, o agente deve reparar o dano se ele ocorrer, sendo irrelevante a intenção ou negligência, apenas a existência de uma conexão entre a atividade e o dano. Essa teoria responde à necessidade de proteger os direitos dos indivíduos em contextos onde atividades criam um risco elevado, como o tratamento de dados sensíveis de saúde (Bedran; Mayer, 2013).
Dentro da teoria do risco, distinguem-se duas modalidades principais: teoria do risco criado e teoria do risco integral. A teoria do risco criado considera que a responsabilidade civil deve ser assumida quando o agente cria um risco para terceiros, mas ainda permite excludentes de responsabilidade, como caso fortuito, força maior ou culpa exclusiva da vítima. Já a teoria do risco integral, mais restrita, é aplicada em situações de risco extremo e, por isso, não admite excludentes de responsabilidade, atribuindo ao agente o dever de indenizar sempre que o dano estiver relacionado com sua atividade, independentemente de fatores externos (Bedran; Mayer, 2013).
A aplicação da teoria do risco integral ao tratamento de dados sensíveis de saúde, como exigido pela LGPD, envolve atribuir às Health techs uma responsabilidade objetiva e sem excludentes, dada a importância da proteção dos dados pessoais de saúde. Isso significa que as Health techs devem garantir a segurança dos dados e responder civilmente por qualquer falha que resulte em vazamento ou uso inadequado, independentemente de fatores externos ou intenções.
Importante frisar o entendimento da aplicabilidade da teoria do risco para determinar a modalidade objetiva às Health techs, como Giolo Júnior, Henrique Júnior e Coelho (2024, s/p) destacam:
Com a disposição expressa da responsabilidade civil para os provedores de acesso e aplicação, surgiram algumas correntes que divergem sobre o tema. A discussão gira em torno da possível responsabilidade tendo como base a culpa. Uma das correntes doutrinárias entende que a responsabilidade é sim objetiva, portanto, deve-se levar em consideração o risco da atividade, deixando de lado a subjetividade da intenção do agente. A outra corrente divergente afirma que é preciso observar a culpa do agente, diante das diversas obrigações que foram colocadas na lei. No que tange à responsabilidade objetiva, é preciso dispor sobre as duas teorias que predominam no nosso ordenamento jurídico. A primeira diz respeito ao risco da atividade. Essa teoria é adotada tanto pelo Código Civil quanto pelo Código de Defesa do Consumidor. Com essa teoria, é possível existir as excludentes de responsabilidade, as quais rompem completamente o nexo causal entre a conduta e o resultado. Em sentido oposto, a segunda teoria da responsabilidade é voltada para o risco integral e, nesse caso, não são admitidas as excludentes de responsabilidade civil. Independente da culpa exclusiva da vítima, por exemplo, sempre haverá a responsabilidade. Essa teoria é bastante utilizada no direito ambiental (grifo nosso).
A falta de segurança no tratamento desses dados pode gerar danos significativos aos direitos fundamentais dos titulares, incluindo a sua privacidade e dignidade. Assim, o não cumprimento das normas de segurança expõe as Health techs a uma responsabilidade civil de reparar danos patrimoniais e morais, seja por falhas técnicas ou por descuido na política de acesso aos dados. A obrigação de preservar a privacidade e confidencialidade, especialmente em casos de dados médicos, tem respaldo em disposições que exigem consentimento informado e delimitado para tratamento de dados, com atenção especial à finalidade e transparência (Dantas, 2021).
Além disso, a LGPD reforça o papel do consentimento informado, tornando obrigatório que as Health techs obtenham autorização expressa dos usuários para qualquer tratamento de dados sensíveis, o que deve ser feito de forma clara e destacada. Esse aspecto do consentimento impõe às Health techs uma responsabilidade não apenas legal, mas ética, de garantir que os pacientes compreendam os usos de seus dados e possam exercer controle sobre eles. A conformidade com essas normas exige um contínuo aprimoramento das práticas de gestão de dados, trazendo maior segurança jurídica e proteção aos direitos dos titulares (Dantas, 2021).
A responsabilidade das Health techs, portanto, recai sobre a segurança e a integridade dos dados armazenados, sendo elas responsáveis por garantir que as informações dos pacientes estejam protegidas contra acessos não autorizados e vazamentos de dados, em conformidade com a LGPD. Caso ocorra uma falha de segurança que comprometa a privacidade dos dados dos pacientes, a Health Tech poderá ser responsabilizada civilmente, cabendo a ela indenizar as partes afetadas por eventuais danos causados (NDM, 2022).
A responsabilidade, assim, é atribuída à Health Tech na modalidade objetiva quanto à proteção dos dados, uma vez que ela assume o dever de guarda e sigilo das informações que viabilizam a prestação do serviço médico de maneira eficaz e segura. Isso reforça a importância do compliance e de práticas rigorosas de segurança da informação para minimizar riscos e garantir a confiança de todos os envolvidos (NDM, 2022).
Portanto, a LGPD impõe a essas empresas a obrigação de seguir rígidos padrões de proteção, garantindo não apenas a privacidade dos pacientes, mas também a conformidade com a legislação. A aplicação da responsabilidade objetiva, fundamentada na teoria do risco, reforça a necessidade de as Health techs implementarem políticas eficazes de compliance e segurança da informação, assegurando que falhas no tratamento de dados sejam evitadas e que o direito dos titulares seja priorizado no contexto da saúde digital.
