Matéria do Outra Saúde informa que empresas buscam
informações sobre a saúde e o adoecimento de pessoas comuns, buscando fomentar
seus negócios
Você sem dúvidas soube quando estourou o escândalo
Facebook-Cambridge Analytica e uma complicadíssima relação entre o tratamento
de dados e o direcionamento de campanhas políticas veio à tona. Mas sabia que,
até aquele momento, o Facebook sondava hospitais e outras instituições de saúde
propondo o compartilhamento de informações dos usuários (sem o consentimento
deles)?
Não era uma tentativa isolada de aproximação com a saúde,
nem no próprio Facebook, nem em outras grandes empresas de comunicação e
informação. Esta semana, o Outra Saúde aborda o grande negócio do tratamento de
dados dessa área. Na realidade, coleta e tratamento são atividades importantes
e mesmo necessárias em termos de saúde pública - a formulação de políticas, por
exemplo, pode e deve fazer bom uso dela. Mas quais são os riscos?
===========================
Quando o prontuário é um livro aberto
Por Raquel Torres, do Outra Saúde | 20 de maio de 2018
Coleta
e venda de dados de saúde é negócio multibilionário e de contornos opacos.
Tramita no Congresso um projeto de lei que pode ajudar a garantir privacidade
O mundo todo repercutiu a notícia quando, em março deste
ano, soubemos que informações de dezenas de milhões de perfis do Facebook
tinham vazado e ficado à disposição da empresa de análise de dados Cambridge
Analytica. O escândalo foi ainda maior porque os dados, em sua maioria
coletados sem consentimento por meio de um teste de personalidade, serviram
para direcionar propagandas políticas e tiveram papel relevante tanto na
campanha eleitoral de Donald Trump, nos Estados Unidos, como na votação do
Brexit, a saída do Reino Unido da União Europeia. Aqui no Brasil, 443 mil
perfis foram afetados.
Mas bem menos comentado foi o fato de que, até aquele
momento, o Facebook sondava hospitais e outras instituições de saúde dos
Estados Unidos propondo o compartilhamento de informações dos usuários.
A ideia era cruzar dados fornecidos pelas instituições —
como idade, doenças e prescrições — com o material existente no próprio
Facebook, para teoricamente ajudar a identificar pacientes que precisassem de
cuidados especiais. Mas, qualquer que fosse a intenção, havia ao menos um
problema bem grave: em nenhum momento foi aventada a necessidade de informar os
pacientes ou, menos ainda, de pedir sua permissão.
Na verdade, o projeto inteiro era secreto e só veio à tona
com uma reportagem de Christina Farr, no site CNBC, a quem um porta-voz da
empresa confirmou a história: “Este trabalho não passou da fase de planejamento
e não recebemos, compartilhamos nem analisamos dados de ninguém”, garantiu. O
Facebook também disse em nota que, após a questão da Cambridge Analytica, havia
decidido “pausar” essas discussões. Mas não falou nada sobre encerrá-las.
Nossos dados de saúde estão por toda parte, na internet e
fora dela: são registros médicos, cadastros em farmácias, históricos de
navegação, interações em blogs, sites e redes sociais. Isso não é
necessariamente ruim —individualmente, ninguém nega o quanto novas tecnologias
podem facilitar a vida e, no plano coletivo, processar e cruzar dados é
necessário e importante. “Precisamos dar aos profissionais de saúde
determinadas informações que influenciam o tratamento e pesquisadores precisam
desses dados: eles são fundamentais para o tratamento científico e inclusive
para a formulação de políticas públicas de saúde”, diz o sociólogo Sergio
Amadeu da Silveira, professor da Universidade Federal do ABC e autor do livro
Tudo sobre tod@s: Redes digitais, privacidade e venda de dados pessoais.
Mas vira um problema quando não sabemos que nossas
informações estão sendo coletadas, não damos consentimento para isso e nem
mesmo temos muita ideia sobre como e para quê exatamente elas serão
usadas. “Muitas empresas estão de olho
nesse mercado. Uma farmácia por exemplo tem dados de todas as vezes em que
fiquei gripada, quais os remédios que compro sempre. Informações a respeito dos
meus hábitos servem para traçar meu perfil de saúde, e o uso disso foge ao meu
controle”, alerta Bárbara Simão, pesquisadora de direitos digitais do Instituto
Brasileiro de Defesa do Consumidor (Idec). Ela lembra que dados de saúde são
considerados sensíveis, porque são propensos a causar discriminação ou
estigmatização — por isso mesmo existe o siglo médico. Sergio arremata: “Tem
que haver um regulamento específico. E é preciso usar a tecnologia para
registrar quem acessou as informações e quando, para não permitir que o acesso
vá além do necessário para determinado tratamento ou pesquisa. Essa é a
questão”.
No último dia 25, entrou em vigor o Regulamento Geral de
Proteção de Dados da União Europeia, aprovado dois anos atrás. Logo depois, no
dia 29, aqui no Brasil a Câmara aprovou um projeto de lei de proteção de dados
que guarda muitos pontos em comum com o europeu. Segundo os pesquisadores
ouvidos pelo Outra Saúde, o texto é forte e sua aprovação nos termos atuais vai
representar um grande avanço no direito à privacidade. Mas ainda há um longo
caminho no Senado, onde tudo pode mudar. E, no momento, a legislação brasileira
é frágil em relação a isso.
Terra de ninguém
As conversas entre o Facebook e os hospitais dos EUA não
foram uma demonstração isolada de seu
interesse na saúde. Desde 2015 existe o Facebook Health, uma equipe que
se dedica a aproximar esta empresa da indústria farmacêutica, e em junho do ano
passado aconteceu o primeiro Facebook Health Summit, um evento bem restrito (e
pouquíssimo noticiado) que teve como convidados profissionais de marketing
dessa indústria. A ideia era atrair um mercado que, embora gaste bilhões de
dólares todos os anos em diversas forma de publicidade, ainda está afastado de
mídias digitais.
A rede social não está sozinha nas buscas por espaço na
saúde. O Google já teve uma plataforma chamada Google Health em que os usuários
poderiam colocar todos os seus registros médicos na nuvem. A coisa acabou não
engrenando, porque pouca gente usava, e a iniciativa foi encerrada em 2011. Mas
o grupo Alphabet, conglomerado do qual o Google é subsidiário, segue atuando em
diversas frentes na área.
Tem, por exemplo, a Verily (antes chamada Google Life
Sciences), que, segundo seu site, se dedica justamente a criar ferramentas para
coletar e organizar dados de saúde. Ela já fez parcerias para pesquisas com a
farmacêutica Sanofi e com universidades como Harvard e, no ano passado, lançou
(junto ao próprio Google, entre outros parceiros) um ambicioso projeto para
monitorar a saúde de 10 mil pessoas durante quatro anos. “Nós mapeamos o mundo.
Agora vamos mapear a saúde humana”, anuncia o site do projeto Baseline, por
onde voluntários podem se inscrever. De sangue e urina ao genoma, de batimentos
cardíacos à qualidade do sono: nada deve deixar de ser oferecido, não só por
meio de testes convencionais mas também pelo uso constante de dispositivos
tecnológicos, como relógios usados exclusivamente no experimento para medir a
atividade do corpo — aliás, já existem no mercado relógios/pulseiras com essa
possibilidade de monitoramento.
Para Sergio Amadeu, o interesse não é surpreendente, mas
ainda assim é digno de nota. “O Google tem o conteúdo dos e-mails, mesmo os
deletados, de todo mundo que usa Gmail, tem os trajetos que você percorre no
Google Maps, tem agendas… Agora, também oferece para escolas e universidades o
Google for Education. Já há escolas infantis em que as crianças têm seu
desenvolvimento, conceitos e avaliações dispostos em uma plataforma do Google
específica para isso. Sabemos que o principal artigo do Google são os nossos
dados pessoais, mas coletar dados de saúde e do desenvolvimento infantil é um
absurdo”, avalia.
O advogado Rafael Zanatta que, assim como Bárbara, é
pesquisador do Idec, aponta que o
“e-health” é um mercado “gigantesco” e as possibilidades de monetizar dados de
saúde são muito grandes. Ele lembra um artigo publicado recentemente no
Pharmaceutical Journal que traz, no título, a pergunta: Big data poderia ser o
futuro da Farmácia? “O artigo sustenta a tese de que todas as unidades de saúde
que coletam dados de consumidores têm potencial para se tornarem empresas de
análise de dados. Poderiam se tornar instituições cujo produto seria não apenas
a venda de medicamentos e serviços, mas também a inteligência que analisaria os
medicamentos comprados, estabelecendo padrões de comportamento, de tratamento,
ou seja, invertendo a pesquisa médica. Você passa a ter hospitais e farmácias
transformados em unidades de big data”.
Zanatta conta um caso que ganhou relevo no Reino Unido. O
seu sistema público de saúde, o National Health Systems (NHS), compartilhou
dados de 1,6 milhões de pacientes com a DeepMind, uma empresa de inteligência
artificial também subsidiária do Alphabet. O objetivo era criar, testar e
implementar um aplicativo para detecção de problemas renais — e os pacientes
não foram informados. “Abriu-se uma investigação e um enorme debate. Vários
representantes da House of Lords [ou Câmara dos Lordes, a câmara alta do parlamento
britânico ] se manifestaram contra, dizendo que aquilo era basicamente a
entrega completa da infraestrutura de dados do NHS para uma grande empresa
privada, com fins lucrativos”, lembra o pesquisador. A investigação do
Information Commissioner’s Office concluiu que o compartilhamento de dados foi
ilegal.
 |
Comércio ilegal de informações é tão ou mais grave do que o comércio ilegal de armas e munições |
Também no Reino Unido, houve um recuo na busca de contratos
com empresas de propaganda depois que uma investigação levou à aplicação de
multa sobre uma farmácia online chamada Pharmacy2U. “Conseguiram evidências de
que ela havia vendido dados sensíveis de 20 mil clientes para um conjunto de
empresas de marketing. Foi o primeiro caso de uma investigação desse tipo em um
farmácia. E isso foi disseminado na União Europeia, para que as outras autoridades
ficassem de olho”.
O advogado comenta ainda um caso brasileiro de fora da
saúde, mas que diz muito sobre como a relação público-privado pode ir longe em
relação à coleta de dados. Em março, o governo do estado de São Paulo lançou o
Sistema Estadual de Coleta e Identificação Biométrica Eletrônica. Só que esse
banco de dados vai ficar acessível aos órgãos de proteção do comércio, para
identificar, no ato da compra, a identidade dos consumidores. “Isso vai ser
feito mediante pagamento à Imprensa Oficial do Estado de São Paulo”, diz
Rafael. Serão R$ 0,43 por consulta, sendo que o valor cai conforme aumenta o
número de consultas, podendo chegar a 0,03. “Isso tem ‘n’ problemas. Ninguém
conhece bem o sistema, ninguém sabe se os padrões de segurança estão adequados.
E, não menos importante, as pessoas não consentiram que o estado pode ganhar
dinheiro em cima dos dados delas”.
Difícil previsão
O problema da informação e do consentimento, para o
pesquisador, é crucial. E o pior é que é difícil prever hoje o que pode
acontecer no médio e no longo prazos. A propaganda direcionada de produtos é
talvez o resultado mais evidente, e todo mundo já se deparou com anúncios
relacionados a temas de conversa. “Mas, em 2012, ninguém pensava que testes de
personalidade no Facebook poderiam impactar eleições. Não se imaginava que
aqueles testes gerariam coleta de dados para isso. Tem um problema grave que é
a nossa incapacidade da reflexão no longo prazo. Mas, se não pensarmos em todos
os riscos, ficamos presos à dimensão presente, e aí ganha sempre o argumento da
inovação”.
No início do ano, a Vice publicou uma reportagem de Brunno
Marchetti que questionava o porquê de diversas redes de farmácia incentivarem o
cadastro de consumidores, por meio do CPF, para concessão de descontos. Não
havia muitas certezas, mas indagações e suspeitas não faltavam: segundo a
matéria, é bem razoável pensar que dados de prescrições podem ser usados para
criar perfis dos consumidores, por sua vez vendidos para terceiros, que podem
fazer discriminações com base nesses perfis. Alguém pode não ser contratado em
um emprego devido a determinada condição de saúde que não seria conhecida de
outra forma, por exemplo. Ou o plano de saúde pode avaliar o risco (e a
mensalidade) de um futuro cliente com base nos remédios que ele anda
consumindo.
Em Porto Alegre, o Procon tem razões para crer que está
sendo montado um grande banco de dados sobre medicamentos de uso continuado.
“Sabemos que o site de um fabricante oferece às pessoas a possibilidade de se
cadastrar para receber até 60% de desconto. Para isso, é preciso fornecer
informações que vão desde o endereço pessoal até o CRM do médico que receitou o
remédio”, diz Sophia Vial, diretora da instituição. “Por que esse tipo de
informação poderia ser realmente necessário? Precisamos entender por que e de
que modo esses dados são coletados e usados. Um desconto de 50%, 60%
dificilmente é conseguido. É no mínimo estranho. Qual o valor destes dados?
Será que estão sendo vendidos para planos de saúde? Será que os pacientes sabem
disso?”, pergunta.
 |
Piratear filmes não pode. Piratear informações pode? |
Para Sergio Amadeu, os ótimos descontos oferecidos em troca
do CPF indicam o quanto os dados pessoais são preciosos. “Seguros e planos de
saúde compram dados, e isso tudo visa a aumentar o poder de negociação dessas
corporações diante dos cidadãos. Empresas têm mais força do que pessoas, isso é
básico. Numa negociação, quando um dos lados tem muitas informações e você tem
quase nada, obviamente você sai prejudicado”.
Melhor que ouro
O mercado de dados da saúde é obscuro, mas não secreto. Nos
Estados Unidos, há vários anos é descrita a atuação na saúde de ‘data brokers’,
empresas que coletam informações de fontes públicas e privadas e as vendem. A
IMS Health (que há dois anos se fundiu com a Quintiles, gerando a IQVIA) é a maior
e, segundo esta matéria da Exame, a empresa tinha em 2014 informações sobre 85%
de todas as receitas médicas prescritas ao redor do mundo (há escritórios no
Brasil).
Além dos planos e seguros de saúde, citados por Sergio
Amadeu, quem também aprecia as compras é a indústria farmacêutica. Neste texto,
Adam Tanner, autor do livro Our Bodies, Our Data (Nossos corpos, nossos dados,
sem edição em português) conta que a Pfizer, por exemplo, gasta 12 milhões de
dólares por ano comprando dados. Ele também explica que, mesmo que eles sejam
vendidos sem nome e documento de
identificação, é possível vincular informações de modo a identificá-las e,
assim, direcionar anúncios específicos pela internet.
Em entrevista ao jornal britânico The Guardian, o autor
explica melhor o processo: “No consultório médico, você fecha a porta e pensa:
estou dizendo ao meu médico meus segredos mais íntimos e apenas meu médico sabe
disso. Mas eles são vendidos”: dados como sexo, idade, doenças e endereço são
cruzados com perfis de consumidores existentes em outros bancos, como os de
farmácias — que têm identificação.
E os problemas vão além da coleta dos dados privados que damos
nos diversos serviços de saúde e nas farmácias. “Há muita gente investindo no
acesso e na coleta de informações que estão públicas na internet. Tentam cruzar
informações, e investem em análise de dados para tentar vender par outros
atores”, diz Rafael. Postagens públicas em redes sociais, curtidas,
comentários, interações com sites jornalísticos e blogs, postagens em blogs
pessoais, enfim, a lista não termina. “Rastreiam centenas de milhares de
páginas por dia, depois montam um grande grupo de matemáticos, estatísticos e
engenheiros para extrair desses dados algum tipo de informação de risco. Em
seguida, fazem a segmentação dos perfis comportamentais, mesmo que sem
informações pessoais. E listas de clientes para encontrar perfis semelhantes”.
Segundo Rafael, a categorização de empresas de intermediação
de dados é “mal resolvida mundialmente”: “Não temos como saber quem é quem,
quem faz o quê — todas se registram apenas como empresas de tecnologia. A cada
instante a capacidade de análise de dados aumenta brutalmente, assim como a
capacidade de segmentação inclusive de perfis financeiros e de risco. Analisam
por exemplo se você sai muito para a balada, se fuma, o que bebe, o que come,
para gerar informações de risco a seu respeito. Esses mercados trocam muito
intensamente essas tecnologias, e têm uma capacidade de interferência e
manipulação brutal do comportamento humano”, diz, alertando: “Precisamos saber
o que está acontecendo”.
A proteção atual
Esse tipo de mercado tem sido alvo de preocupação do Idec há
algum tempo, e Rafael explica que o grau
de proteção dos brasileiros em relação à sua privacidade ainda é muito baixo.
“A proteção hoje se dá por uma espécie de ‘colcha de retalhos’”, diz.
Há dois anos, o Brasil alcançou alguns avanços com o Marco
Civil da Internet. Essa lei diz que a coleta, o uso, o armazenamento e o
tratamento dos dados pessoais dos usuários só podem ser usados para finalidades
que “justifiquem sua coleta, não sejam vedadas pela legislação e que estejam
especificadas nos contratos de prestação de serviços ou em termos de uso de
aplicações de internet”. Há outras leis que vão nesse sentido — a própria
Constituição diz que a privacidade é inviolável. Mesmo assim, ainda não há nenhuma
que diga, com todas as letras, que não é permitido vender informações. Nem
mesmo o Marco Civil, que não é especificamente voltado para a proteção de dados
e se restringe à internet, não abarcando o mundo offline.
“Em março, lançamos os resultados de uma pesquisa sobre o
mercado de intermediação entre médicos e pacientes por meio de aplicativos no
Brasil [que se popularizaram como ‘uber’ dos médicos]. Como o Marco Civil tem
regras bem fortes em relação a isso, conseguimos, por assim dizer, “falar grosso’
com essas empresas, que reconheceram os problemas. Mas no mundo fora da
internet, diante da legislação atual, isso não seria possível. As farmácias,
por exemplo, não estão na internet, então ficam em um limbo”, exemplifica ele.
Atento e forte
Para Sergio Amadeu, o único modo de limitar a coleta
“indiscriminada e perigosa” de dados por corporações ou governos é com
legislações que protejam os dados pessoais e institucionais. “Se você não tem
regras aprovadas ou aceitas pela sociedade transformadas em lei que limitam o
mercado, esse mercado vai avançar utilizando os dispositivos tecnológicos que
permitem obter cada vez mais informações das pessoas — tanto informações
públicas como privadas, e algumas muito sensíveis”, diz ele.
Assim, quanto mais a legislação resguarda a privacidade das
pessoas, menor é o espaço que o mercado tem para a compra e a venda de dados.
“Por outro lado, quanto menores forem as garantias dadas aos cidadãos pela
legislação, maior será o mercado, maiores serão as possibilidades de coleta,
processamento e cruzamento. Independentemente de esses dados serem obtidos na
internet ou offline, como em postos de gasolina, bancos ou farmácias”,
salienta.
A Lei Geral de Proteção de Dados, que tramita no Congresso,
busca dar conta dessas brechas: no fim de maio, a Câmara aprovou o PL 4060/12
e, neste momento, com um novo número (PLC53), o texto aguarda avaliação do
Senado. Se for aprovado, empresas e outras instituições vão precisar do
consentimento expresso dos usuários para coletar, usar e compartilhar seus
dados, e a multa pelo uso indevido vai ser de 4% do faturamento da empresa, com
teto de R$ 50 milhões. No caso da realização de estudos em saúde pública, o
texto diz que instituições de pesquisa podem acessar bases de dados pessoais,
mas que eles devem ser tratados em ambiente controlado e seguro. Será proibido
compartilhar dados da saúde para obter vantagem econômica, a não ser que o
titular dos dados permita.
O projeto se aperfeiçoou desde que foi apresentado, em 2012
e o substitutivo do deputado Orlando Silva (PCdoB-SP), relator da proposta,
prevê a criação de uma autoridade nacional com atribuição de fiscalizar e punir
responsáveis pelo mau uso de informações pessoais. O mesmo órgão deve ficar responsável por
determinar como deve ser a coleta e o tratamento desses dados. “Dificilmente se
conseguiria o cumprimento das regras sem uma instituição responsável”, avalia
Sergio Amadeu, afirmando que o texto busca proteger efetivamente a privacidade
sem “criar um engessamento total” do tratamento de dados. “Também avança, por
exemplo, ao definir o que é dado pessoal, entendido como sendo não apenas o da
identidade civil, mas qualquer dado que possa vir a identificar alguém”,
explica Sergio Amadeu. Isso é importante porque, como vimos, dados teoricamente
anônimos podem ser cruzados com outros e permitir a identificação.
Outro ponto positivo é ressaltado por Bárbara Simão: o
princípio da minimização da coleta de dados: “Só os dados estritamente
necessários à atividade de determinada empresa ou instituição serão
considerados adequadamente coletados”, explica ela.
Embora a votação na Câmara tenha sido tranquila, as
discussões no Congresso e no governo em torno do tema nem sempre são. Bárbara
explica que elas vêm acontecendo desde 2011, e que diversos projetos surgiram
no Congresso além do que foi finalmente aprovado. “O PL 5276 foi um deles. Ele
foi escrito com bastante participação social e apresentado em 2016 pelo
executivo, ainda no governo de Dilma Rousseff, em regime de urgência. Depois do
impeachment, a urgência foi retirada e ele foi apensado a outros mais antigos.
Por fim, todos foram analisados juntos, sob o PL 4060”, explica ela.
Em paralelo, corria no Senado o PL 330, tratando do mesmo
tema. “O governo federal começou a negociar a aprovação do texto do Senado,
julgando ser melhor para seus interesses”, diz Bárbara. Isso porque, como
explica Rafael, este projeto não incluía os dados coletados pelo setor público.
“Criava-se um campo de exceção para eles”, pontua o pesquisador.
Segundo Bárbara, após o caso Cambridge Analytica o debate
voltou a ganhar relevo e discussão
avançou rápido nas duas casas. “Na última semana de maio, foi aprovado um
requerimento de urgência para ambos. Os dois projetos entraram em votação no mesmo
dia, e nós, no Idec, achávamos que o do Senado passaria antes. Mas a sessão no
Senado terminou mais cedo, sem essa votação, e a Câmara teve uma sessão
extraordinária à noite, aprovando o PL 4060”.
Como agora o projeto está no Senado para avaliação e
aprovação, ele ainda pode ser alterado no sentido de tornar-se mais próximo do
PL 330. “O risco de piorar existe e é razoavelmente grande”, diz Rafael. “Se
empresas e sociedade civil conseguirem pressionar pelo PL da Câmara, ele ganha
força. Se o governo e parte do setor privado conseguir pressionar pelo PL
330, o 4080 fica mais frouxo”, diz
Rafael. Mas a ‘vantagem’ é sempre da casa de origem, o que explica a correria
para ver quem aprovava primeiro: se o PL for alterado no Senado, precisa ser
analisado novamente pela Câmara, que pode ou não aceitar as alterações.
Há alguns anos o fundador do Facebook, Mark Zuckerberg,
declarou que a privacidade não é mais uma regra social. Porém, até aqui, isso
não tem sido uma escolha, mas uma imposição. “Só as próprias pessoas deveriam
poder abrir e negociar seus dados, usá-los a seu favor. O Estado e as
corporações têm que ser transparentes, e o indivíduo tem que ter proteção. O
oposto disso é uma inversão das premissas democráticas”, conclui Sergio Amadeu.
O regulamento europeu
A Europa aprovou há dois anos o Regulamento Geral de
Produção de Dados, que começou a valer agora, em maio. Você deve ter percebido
que, ultimamente, um número enorme de sites apresenta janelas pop-up indicando
o uso de cookies e solicitando sua concordância — eles já estão se adequando às
regras europeias. “A Europa já tinha uma diretiva desde 1996 [a Diretiva de
Proteção de Dados Pessoais] , esse é um tema antigo por lá. Estamos atrasados
nessa discussão. O Regulamento Geral, agora, é um marco importante”, diz
Bárbara Simão.
“As empresas têm dois anos para se adequar a este
regulamento. A grande premissa é que você não pode ter seu dado coletado sem a
sua concordância, via de regra. E você tem o direito de saber por que aquele
dado está sendo coletado, quem está armazenando, como ele está sendo tratado e
com que objetivo está sendo tratado”, diz Sergio Amadeu, ressaltando que a
legislação é extensível a todas as empresas que fazem negócios na Europa.
Nenhum comentário:
Postar um comentário