Texto de Rodrigo de Oliveira Andrade Via Pesquisa FAPESP
O Brasil passou a integrar o rol de países com legislações específicas para uso, proteção e compartilhamento de dados de seus cidadãos. Em vigor desde setembro, a Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece direitos dos indivíduos sobre seus dados e padroniza critérios e requisitos que empresas e órgãos públicos deverão seguir para que haja maior cuidado com o tratamento de informações pessoais e seu compartilhamento com terceiros. A nova legislação prevê ainda multa diária de até R$ 50 milhões, além da proibição parcial ou total das atividades relacionadas ao tratamento dos dados coletados, em caso de descumprimento. Isso tem gerado dúvidas entre pesquisadores, sobretudo os que atuam em áreas das ciências humanas, sociais e da saúde, cujos estudos envolvem a coleta, o tratamento e a análise de informações pessoais de voluntários.
As universidades, por sua vez, mobilizam-se para se adequar à nova lei. A necessidade de ampliar a infraestrutura e treinar equipes especializadas em segurança da informação e curadoria de dados representa hoje o principal desafio para que essas instituições consigam se adaptar à nova legislação. “A gestão dos dados de projetos de pesquisa continua sendo de responsabilidade do coordenador do estudo, mas o processamento de informações pessoais e sensíveis em ambiente seguro e controlado para trabalhos científicos, com a LGPD, passa a ser de responsabilidade dos órgãos de pesquisa”, esclarece a socióloga Bethânia de Araujo Almeida, do Centro de Integração de Dados e Conhecimentos para Saúde da Fundação Oswaldo Cruz (Cidacs-Fiocruz), na Bahia. “Isso significa que essas instituições terão de investir em capacidade computacional e treinamento de pessoal para garantir fluxos adequados de coleta, processamento, armazenamento e acesso aos dados. Tudo isso requer recursos, o que a maioria das universidades e institutos de pesquisa brasileiros hoje não tem.”
Há também a preocupação com os dados administrativos e institucionais, aqueles que constam em matrículas acadêmicas, registros de funcionários, prontuários médicos etc. Na Universidade Estadual de Campinas (Unicamp), essas informações encontram-se espalhadas em estruturas descentralizadas. Diante disso, a instituição criou no início do ano o Comitê Gestor de Proteção de Dados, formado por representantes de todos os seus departamentos. “Cada um está avaliando as informações em seus sistemas para identificar as que precisam ser protegidas”, explica Teresa Atvars, coordenadora-geral da Unicamp. Ela se refere aos chamados dados sensíveis, aqueles sobre origem racial, étnica, genética, convicção religiosa e aos referentes à saúde ou vida sexual registrados, por exemplo, em prontuários médicos do Hospital de Clínicas da instituição. “Uma vez identificadas, essas informações serão repassadas a um gestor central, que decidirá sobre como protegê-las. Trata-se de um trabalho complexo, dadas as dimensões da universidade.”
A Universidade de São Paulo (USP) também criou um grupo gestor para se ajustar à nova lei. “A Superintendência de Tecnologia da Informação será a responsável pelo tratamento operacional dos dados, enquanto os setores de recursos humanos, graduação, pós-graduação, entre outros, tomarão as decisões sobre quais dados precisam ser protegidos e a forma como isso será feito”, diz João Eduardo Ferreira, superintendente de Tecnologia da Informação da USP e coordenador do grupo de trabalho à frente do comitê gestor da instituição. A USP se preocupa ainda com tentativas de violação dessas informações. Além de investir em sistemas de proteção de dados, criou o programa Hackers do Bem, em que estudantes de graduação e pós-graduação de ciência da computação utilizam técnicas de invasão de sistemas para testar a segurança das informações protegidas. “A ideia é identificar eventuais vulnerabilidades. As que identificamos até agora são mínimas, mas significativas”, diz Ferreira.
A FAPESP também movimenta-se para se adequar à legislação. Em fins de setembro, criou uma equipe composta por representantes de suas principais áreas para discutir as medidas necessárias para o cumprimento da LGPD na instituição. As propostas de medidas a serem adotadas pela Fundação serão reunidas em um relatório previsto para ser apresentado no início de novembro, informa Fernanda Rizek, coordenadora técnica de gabinete da Diretoria Administrativa da FAPESP.
“As universidades estão em um momento de avaliação e mitigação dos riscos”, comenta o advogado Ivar Hartmann, professor da Escola de Direito da Fundação Getulio Vargas (FGV) no Rio de Janeiro. Esse processo se dá em meio ao debate acerca da organização da Autoridade Nacional de Proteção de Dados (ANPD), criada para dar sustentabilidade à aplicação da LGPD, cujas sanções se darão a partir de agosto de 2021. Hartmann esclarece que a principal dúvida em torno da ANPD diz respeito à sua autonomia em relação ao Poder Executivo, ao qual está vinculada. No dia 16 de outubro, o governo federal nomeou cinco diretores para a nova agência. Três são militares.
Um levantamento feito pela associação Data Privacy Brasil com as 20 nações mais desenvolvidas do mundo — segundo critérios do Fundo Monetário Internacional (FMI) — identificou a presença de militares em órgãos responsáveis pela proteção de dados pessoais em apenas dois países: China e Rússia, cujos governos são acusados de violar direitos fundamentais, inclusive por meio da legitimação de regimes de vigilância de seus cidadãos. “Temia-se que, no Brasil, a ANPD ficasse sob o guarda-chuva do Gabinete de Segurança Institucional da Presidência da República. Felizmente, isso não aconteceu”, comenta o advogado. “Ainda assim, é essencial que a agência seja transparente e, para isso, é preciso que ela seja independente, uma vez que produzirá regulamentações a serem seguidas pelo próprio Executivo.”
Mesmo após a constituição de seu órgão regulador, a LGPD deverá ter pouco impacto na atividade de pesquisa no Brasil. Isso porque estudos envolvendo seres humanos — e, portanto, a coleta e análise de seus dados — já cumprem um conjunto de regras que incorpora as principais exigências e técnicas de proteção de dados previstas na nova lei. “A preocupação com aspectos éticos relacionados ao manejo de informações pessoais no âmbito científico antecede a atual legislação e, em muitos pontos, é ainda mais incisiva que a própria LGPD”, diz o advogado Danilo Doneda, do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), em Brasília, membro do Conselho Nacional de Proteção de Dados e Privacidade e coautor do texto da LGPD.
O advogado Eduardo Tomasevicius Filho, da Faculdade de Direito da USP, vai além. “As leis de proteção de dados pessoais em vigor no mundo e agora no Brasil constituem desdobramentos de experiências bem-sucedidas envolvendo regras para pesquisas com seres humanos estabelecidas após a Segunda Guerra Mundial [1939-1945], primeiro com o Código de Nuremberg, em 1947, depois com a Declaração de Helsinque, em 1964, e a Declaração de Bioética e Direitos Humanos da Unesco [Organização das Nações Unidas para a Educação, a Ciência e a Cultura], nos anos 1990.” No Brasil, ele explica, a pesquisa com seres humanos é regulamentada por resoluções do Conselho Nacional de Saúde (CNS).
Um dos principais pontos da LGPD refere-se à necessidade de consentimento do titular para coleta e tratamento de seus dados pessoais. A lei também estabelece que a qualquer momento o indivíduo pode revogar seu consentimento, bem como solicitar o bloqueio de suas informações ou mesmo sua exclusão, total ou parcial, dos repositórios em que estão armazenados. Da mesma forma, a gestão dessas informações deve ser feita com base nos objetivos da pesquisa, previamente informados aos voluntários do estudo. “Ocorre que esses dispositivos já são contemplados no Termo de Consentimento Livre e Esclarecido [TCLE], conforme determinação do CNS”, afirma a neurocientista Iscia Lopes Cendes, da Faculdade de Ciências Médicas (FCM) da Unicamp.
O TCLE é usado pelos Comitês de Ética em Pesquisa das universidades para avaliar os padrões éticos de projetos com seres humanos, independentemente da área do conhecimento. “Ele esclarece aos voluntários os detalhes do estudo, seus objetivos, riscos, possíveis benefícios, entre outros pontos, de modo que o sujeito possa manifestar sua vontade em participar, ou não, da pesquisa de forma consciente. Nenhuma proposta de investigação científica envolvendo dados de seres humanos é aprovada sem esse documento”, afirma Cendes, que integra o Comitê de Ética em Pesquisa da Unicamp. “O TCLE também garante a preservação da confidencialidade das informações pessoais dos participantes, de acordo com o que agora é estipulado pela LGPD”, destaca Tomasevicius.
Os pesquisadores usam hoje duas técnicas para garantir a privacidade dos dados dos voluntários de suas pesquisas. Uma delas é a anonimização, por meio da qual são excluídas informações que possam levar à identificação do titular dos dados. A outra é a desidentificação (ou pseudoanonimização). Nesses casos, desvinculam-se dos dados principais as informações que permitem a identificação do sujeito da pesquisa, como nome, data de nascimento, cor etc. Essas informações não são apagadas, mas mantidas sob posse do coordenador do estudo. “Só essa pessoa tem acesso a esses dados”, explica Cendes. Cada pesquisador armazena seus dados de acordo com a metodologia descrita no projeto e no termo de consentimento submetidos ao Comitê de Ética em Pesquisa.
Na avaliação de Claudia Bauzer Medeiros, pesquisadora do Instituto de Computação da Unicamp e membro da coordenação dos programas eScience e Data Science da FAPESP, em um primeiro momento, a LGPD não introduz novidades na rotina dos pesquisadores que coletam e compartilham dados, mas existe o temor de que ela possa ser interpretada por juízes de uma forma desfavorável à atividade científica. Por exemplo, para garantir que as informações sobre um indivíduo não sejam identificadas em meio aos dados de um ensaio clínico ou de um estudo em antropologia de que ele participou, a lei determina que sejam utilizados “todos os meios técnicos razoáveis” capazes de promover a anonimização. “Mas, suponhamos que um cientista da computação desenvolva um novo software e que este, após 20 anos rodando em supercomputadores, seja capaz de identificar uma pessoa específica, ou, por ter conhecimento prévio de alguma informação confidencial, como uma radiografia, possa associar uma determinada informação àquela pessoa. Para mim, está claro que situações como essa não se enquadram nos limites da razoabilidade previstos na lei, mas sempre pode haver questionamentos na Justiça”, afirma Medeiros. O risco, nesse sentido, é que a LGPD enfraqueça os esforços de promoção do compartilhamento e reutilização de dados de pesquisa, ou até mesmo comprometa a participação do Brasil em colaborações internacionais. “O que não pode acontecer é o pesquisador deixar de compartilhar seus dados para não correr o risco de descumprir a lei. Isso seria péssimo para o avanço da ciência”, ela diz.
Ferreira, da USP, esclarece, porém, que a lei é clara ao dizer que sempre que um dado for publicizado — ou compartilhado — ele necessariamente há de ser anonimizado. Isso se aplica tanto a iniciativas internas, envolvendo o compartilhamento de dados em repositórios institucionais, quanto externas, como no caso da plataforma Covid-19 Data Sharing/BR, lançada em junho deste ano e que reúne informações laboratoriais, clínicas e demográficas de cerca de 180 mil indivíduos submetidos a testes para diagnóstico da Covid-19. “Os dados são anonimizados do ponto de vista pessoal, clínico e de localização georreferenciada, de modo que os pesquisadores que os reutilizam não têm acesso às informações que possam levar à identificação do indivíduo ao qual os dados se referem”, diz. Medeiros, que coordenou a criação da Rede de Repositórios de Dados da FAPESP, à qual o Covid-19 Data Sharing/BR é vinculado, observa que quaisquer dados de pacientes que tenham características identificáveis, como uma doença rara, por exemplo, não são compartilhados.
“Os pesquisadores não têm interesse nas informações pessoais dos indivíduos, mas em padrões ou associações sobre grupo de pessoas, emanados do conjunto de dados analisados”, complementa Almeida, do Cidacs-Fiocruz. Ainda assim, ela reforça que, segundo a LGPD, a indicação de que os dados serão compartilhados deve constar no TCLE assinado pelo voluntário. “Não haverá problema se o titular autorizar seu compartilhamento e reúso sob determinados termos e condições que visem garantir o processamento e uso ético, legal e responsável de seus dados em pesquisas com finalidades convergentes.”
A nova lei também permite o compartilhamento de dados com outros países desde que esses proporcionem grau de proteção equivalente à LGPD. “A legislação, portanto, não deve afetar a colaboração científica entre o Brasil e os países da Europa, uma vez que eles contam com uma lei ainda mais robusta do que a nossa nesse sentido: o Regulamento Geral sobre a Proteção de Dados, aprovado em 2016, que inspirou a lei brasileira”, esclarece a cientista da informação e do direito Adriana Carla Oliveira, da Universidade Federal do Rio Grande do Norte (UFRN). Os Estados Unidos não dispõem de uma lei desse tipo. Em julho, a Justiça da União Europeia (UE) invalidou a transferência de dados pessoais entre os países do bloco e os Estados Unidos por considerar que o pacto Privacy Shield não os protegia de forma adequada, o que afetou empresas que operam na UE, mas guardam seus dados no outro lado do Atlântico, como Google e Facebook. “A palavra-chave quando se trata de compartilhamento de dados em práticas científicas alinhadas à ciência aberta, mais do que nunca, é anonimização”, diz Ferreira.
Este texto foi originalmente publicado por Pesquisa FAPESP de acordo com a licença Creative Commons CC-BY-NC-ND. Leia o original aqui.
Conteúdo Reproduzido