“A confidencialidade é uma virtude dos leais, assim como a lealdade é a única virtude dos fiéis”. Essa antiga citação grega parece ser mais importante nos dias de hoje da que na Athenas de Platão e Aristóteles. Só a falta de lealdade pode justificar a notícia publicada pela “HIPAA Journal” em 22 de junho de 2022 (“Meta Sued over the Scraping of Patient Data from Hospital Websites”). Nela, a HIPAA (principal agência de segurança de dados de saúde dos EUA) explica: “Foi aberto um processo contra a empresa Meta (Facebook) por coleta consciente de dados dos pacientes extraídos de sites de hospitais por meio da ferramenta de rastreamento Meta Pixel, violando a privacidade de milhões de pacientes”. CEOs da cadeia de saúde norte-americana, bem como do resto do mundo, engoliram o fato a seco. Seja por anuência, imprudência, incompetência ou até por ignorância, qualquer gestor hospitalar c-level deve ter emudecido diante das consequências desse tipo de judicialização.
O processo foi aberto no Distrito Norte da Califórnia e alega violações de leis estaduais e federais relacionadas à coleta de dados dos pacientes sem seu consentimento. Um relatório desenvolvido pela The Markup (organização americana sem fins lucrativos focada no uso ético da tecnologia) embasa a Ação, mostrando que dos 100 principais hospitais dos EUA (catalogados pela Revista Newsweek), 33 deles usam a ferramenta Meta Pixel em seus sites, que nada mais é do que um código em JavaScript usado para rastrear as “ações” dos visitantes dentro dos sites. Quando a ferramenta está embarcada nos websites de provedores de saúde, há potencial dela transmitir ao Meta/Facebook informações de saúde sigilosas, como, por exemplo, nome do médico; condições de saúde selecionadas nos menus (gravidez, Alzheimer, etc.); nome de medicamentos do paciente; descrição de reações alérgicas; detalhes sobre as próximas consultas que o paciente agendou, etc. O estudo não encontrou evidências de que a empresa Meta tenha firmado um acordo de parceria comercial com os hospitais, nem que haja consentimento dos pacientes para que esse tipo de “varredura” seja feita em seus dados.
A ação foi movida em nome do paciente John Doe, que é usuário do Facebook e paciente do Medstar Health System (Maryland). Doe explicou na justiça que usa o portal para marcar consultas, comunicar-se com provedores e revisar resultados de exames laboratoriais, sendo que nunca consentiu que as informações fossem compartilhadas com o Meta/Facebook. A Medstar Health (uma organização de saúde sem fins lucrativos que opera mais de 120 entidades, incluindo 10 hospitais) diz que todos os dados dos pacientes estão protegidos e não usa nenhuma tecnologia do Facebook em seu site. De acordo com o processo, pelo menos 664 sistemas digitais de saúde nos EUA adicionaram a ferramenta Meta Pixel em seus sites, que rastreia e envia dados confidenciais ao Meta. A ação foi direcionada ao Juiz Nathanael M. Cousins, sendo a oitiva inicial marcada para 21 de setembro em San Jose, Califórnia. A petição inicial do processo é clara: “O Facebook recebe conscientemente dados dos pacientes de centenas de provedores médicos nos Estados Unidos que implantaram o Facebook Meta Pixel em seus websites”. Isso sinaliza para uma enxurrada de ações coletivas pelo uso da ferramenta, que obtém dados dos pacientes para fins de marketing direcionado, quando o Meta/Facebook orienta publicidade customizada às condições clínicas dos pacientes que acessaram o portal hospitalar. Da mesma forma, a ação-processual informa que "o Facebook também oferece aos provedores médicos a capacidade de se envolver no remarketing com base na segmentação negativa, ou seja, garantir que anúncios não sejam exibidos para usuários que tomaram uma ação específica. Isso pode significar que o Facebook excluiria determinados pacientes das campanhas publicitárias de um determinado provedor médico". Em realidade, o Facebook não exige que os hospitais tenham o consentimento do paciente, sendo que seu contrato com esses mesmos provedores não menciona as regras de privacidade do paciente, referendadas pela Lei Federal de Portabilidade e Responsabilidade de Seguros de Saúde de 1996, conhecida como HIPAA.
A Meta/Facebook afirma em seu site que: “Se o mecanismo de filtragem da Meta detectar dados das Ferramentas de Negócios que ela categoriza como dados potencialmente confidenciais relacionados à saúde, o mecanismo de filtragem é projetado para impedir que esses dados sejam inseridos em nossos sistemas de classificação e otimização de anúncios”. No entanto, o processo judicial afirma: “Apesar de receber conscientemente informações relacionadas à saúde de provedores médicos, o Facebook não tomou nenhuma ação para impor ou validar a exigência de que os provedores médicos obtenham o consentimento adequado dos pacientes antes de fornecer seus dados ao Facebook”. A ação alega que o uso da ferramenta em sites de hospitais, sem a obtenção de consentimento claro (e não fantasioso), é uma violação da HIPAA. Embora o Facebook não esteja vinculado as regras da HIPAA, os hospitais e todas as demais organizações de saúde dos EUA estão, e podem estar violando sua regulação ao permitir a transferência de dados sigilosos sem consentimento explícito do usuário. Não é difícil de imaginar que algoritmos da Meta Pixel possam combinar um endereço de IP com outros dados dos usuários (ou de suas famílias), extraídos dos portais de saúde, identificando várias condições atrativas à publicidade direcionada.
Colocar publicidade na frente das pessoas custa dinheiro, sem falar da mega concorrência. Os anúncios personalizados não apenas reduzem os custos e melhoram a taxa de sucesso do marketing, mas também tornam a experiência de navegação mais familiar. A exibição de anúncios específicos para indivíduos que demonstraram interesse em um produto ou serviço é conhecida como remarketing ou retargeting. Os “rastreadores da web”, como o 'Meta Pixel', usam código para mapear a atividade online dos usuários enquanto eles navegam pelo website, mapeando inclusive os ‘botões’ que clicam, as informações que digitam nos formulários e as páginas que visitam. Nesse sentido é importante esclarecer que o Meta Pixel não é o único ‘rastreador da web’ disponível: cookies, web beacons, fingerprinters (impressão digital do navegador), super cookies, embedded scripts e cross-site trackers, entre tantos outros, são caçadores de dados com o mesmo potencial da ferramenta do Facebook. Muitas empresas os utilizam, como Twitter, Google, Facebook, Amazon, AppNexus, ComScore, etc. Algumas só rastreiam para fins publicitários, outras o fazem para identificar e mapear o comportamento e até a análise cognitiva do usuário. Sem o consentimento deste, isso é claramente ilegal em quase todos os países que já contam com legislação específica para uso de dados, como a nossa LGPD (Lei Geral de Proteção de Dados).
Na realidade, o fato de haver uma legislação não inibiu o uso dos rastreadores. Quando você acessa o site de seu provedor de serviços de saúde, surge uma tela com orientações de privacidade, como, por exemplo: (1) “Este site usa cookies para garantir que você obtenha a melhor experiência em nosso site. Clique aqui se você concorda”; ou ainda (2) “Nosso site utiliza cookies. Saiba mais”. Quando o usuário decide ‘saber mais’, surge a “Política de Privacidade” de empresa, onde, entre vários itens (nem sempre claros), aparece a “Finalidade do Uso de Dados”, onde o provedor explica sem nenhum constrangimento: “utilizar Dados Pessoais para prover serviços solicitados por você e enviar-lhe informações sobre produtos e serviços, compartilhar com os agentes de saúde e demais centros de pesquisa, bem como para compartilhamento de material institucional e notícias relacionadas às nossas atuações”. No Brasil, mais de 80% dos websites do setor de saúde utilizam similares orientações, todas ‘pseudo-lastreadas’ pela LGPD, mas nenhuma devidamente clara no sentido de informar: “quando seu dado for usado por terceiros, seja por qualquer razão, você será informado com antecedência e receberá um questionário autorizando ou não o uso da respectiva utilização”.
É um circo, e não só no Brasil, mas no mundo todo. Estudo recente (“Third-party web trackers log what you type before submitting”) publicado em maio de 2022 e realizado por pesquisadores da Radboud University e University of Lausanne, descobriu que entre os 100 mil principais sites do mundo, milhares deles vazam informações que incluem “identificadores pessoais, endereços de e-mail, nome de usuários, senhas de acesso ou até mesmo mensagens inseridas em formulários e depois excluídas e nunca enviadas”. Embora os próprios rastreadores se destinem apenas a (1) monitorar a atividade do usuário final; (2) ou determinar suas preferências anônimas, o estudo mostra que nos dois casos “a atividade do usuário e as demais informações confidenciais foram enviadas a terceiros”. Isso é um colossal problema de privacidade e segurança. Se hoje os rastreadores se catalogam somente como “fonte de pesquisa acadêmica”, amanhã seguramente serão evidências para polpudas ações judiciais, não só direcionadas aos players de tecnologia, mas também aos players da cadeia de saúde que são coniventes com esse compartilhamento e que não obtém consentimento claro e inequívoco dos usuários. Trata-se de um ‘jogo jurídico’ que está apenas começando. Mas sempre é bom salientar que essa querela sobre privacidade e confidencialidade tem um protagonista inequívoco: o próprio o usuário. Ele não lê contratos, tem preguiça de se informar e confia tolamente em todos os provedores. Alega que as “partes de sigilo e privacidade” dos websites são longas (e são: numa velocidade média de leitura de 248 palavras/minuto, um documento de 14 mil palavras – 8 páginas - levaria cerca de uma hora para ser lido), são escritas em ‘hieroglifos-jurídicos’, são subjetivas e pouco informativas. Essa leniência, ou desatenção, ou irrestrita confiança no provedor, ou mesmo a ignorância sobre “o que fazem” com seus dados clínicos pessoais é o maior fator para o vazamento e para o uso e abuso das informações em saúde. Ninguém é santo nesse jogo.
Se existe um crescente coletivo (associações, comunidades, empresas, tribunais, etc.) disposto e lutar e restringir o uso de dados pessoais em saúde, não menos relevante é o coletivo daqueles que estão se especializando em identificar empresas e usuários (incautos) para promover ações judiciais, que normalmente terminam em negociações. Nos EUA essa é uma dinâmica espetacular. No Brasil, ambos lados estão apenas iniciando suas táticas recursivas em cima da LGPD. Segundo relatório do conceituado escritório Opice Blum, Bruno e Vainzof Advogados Associados, especializado em Direito Digital, somente em 2021 quase 40% de todos os processos judiciais envolvendo a LGPD no país foram motivados por vazamento de dados. A BMA (British Medical Association), por exemplo, é claríssima sobre o que considera “informações identificáveis do paciente”, sejam escritas ou informatizadas: (1) qualquer dado clínico sobre diagnóstico ou tratamento; (2) uma foto, imagem, vídeo, ou áudio do paciente; (3) quem é o seu médico e quais clínicas ele frequentou; (4) ou ainda qualquer outra informação que, direta ou indiretamente, possa levar à identificação do paciente. Um aconselhamento útil fornecido a toda comunidade médica do Reino Unido refere-se ao termo “sem-surpresas”, ou seja, as informações não devem ser compartilhadas de maneira que os pacientes fiquem surpresos ao saber. Nenhum dado clínico pode circular ou ser compartilhado de modo que cause espanto, assombro ou sobressalto ao paciente. Como explica Liz Faublas-Wallace, jornalista, editora e autora da obra ‘You Have a Superpower’: “Se alguém que você conhece sabe algo sobre você que você não contou, reavalie seu círculo de amizades e seus protocolos individuais de confidencialidade”.
O dano causado pela ferramenta Meta Pixel aos hospitais, com ou sem o conhecimento deles, pode ser avaliado de forma bastante objetiva. Segundo o estudo da The Markup, no site do University Hospitals Cleveland Medical Center, por exemplo, ao clicar no botão “Agendar Online” na página de um médico, o Meta Pixel envia ao Facebook o texto do botão, o nome do médico e o termo da pesquisa usado para encontrá-la (“interrupção da gravidez”, por exemplo). Já no caso do site do Froedtert Hospital (Wisconsin), ao clicar para um médico no menu “Agendar online agora”, o Meta Pixel, da mesma forma, envia ao Facebook o texto, o nome do médico e a condição selecionada: “Alzheimer”. Não são casos hipotéticos, mas reais. Os 33 hospitais que o The Markup descobriu usar o Meta Pixel somaram mais de 26 milhões de admissões de pacientes e consultas ambulatoriais em 2020 (fonte sobre volume: American Hospital Association). Os dados são enviados ao Facebook por meio de scripts executados no navegador de Internet do usuário, de modo que cada pacote de dados vem rotulado com um endereço de IP, que pode ser usado em combinação com outros dados para identificar o indivíduo e seu perfil.
Nada disso é muito novo para o Meta/Facebook e para alguns hospitais nos EUA. Em 2016, um grupo de demandantes processou o Facebook e um grupo de organizações de saúde alegando que as instituições violaram suas próprias políticas de privacidade e várias leis estaduais e federais. O Tribunal Distrital dos EUA (Califórnia) rejeitou o caso em 2017 por falta de provas que o Facebook houvesse coletado “informações de saúde protegidas”, conforme definido pela HIPAA. Em 2019, outros demandantes entraram com uma ação semelhante no Tribunal Superior do Condado de Suffolk contra o Partners Healthcare System (Massachusetts), que desde então mudou seu nome para Mass General Brigham. O contexto da ação alegava que o sistema violou a privacidade dos pacientes e suas próprias políticas ao instalar o Meta Pixel e outras ferramentas de rastreamento em seus sites. As partes entraram em acordo, sendo que o Mass General Brigham negou as alegações e “nunca admitiu nenhuma irregularidade ou responsabilidade”. Mas, só para constar, pagou US$ 18,4 milhões de indenização aos queixosos e seus advogados (após o acordo, o Mass General Brigham desativou o Meta Pixel dos sites de alguns de seus hospitais, mas não de todos eles). Em janeiro de 2022, a Meta/Facebook recebeu outra ação coletiva, desta vez de usuários do Reino Unido com o mesmo alvo: coleta indevida de dados. O processo alega que a empresa deve pagar compensação a 44 milhões de usuários britânicos por retirar seus dados pessoais e privados entre 2015 e 2019, o que pode significar para o Meta/Facebook uma multa superior a US$ 3,1 bilhões.
Seja nos EUA, Europa ou Brasil ninguém está fora da guerra contra o rastreamento indevido de dados. Algumas entidades de prestação de serviços médicos podem ignorar, ou fingir que “nada consta”, ou podem mesmo não ter a menor noção do que acontece em suas plataformas-websites. Mas, seria bom elas saberem que nunca na história do ecossistema digital de saúde tantos se preparam com tal intensidade para o enfrentamento jurídico referente ao vazamento de dados, que está apenas em sua gênese. Uma “guerra bíblica que envolve todas as nações do mundo”, cita o Financial Times. Um exemplo foi dado pelo Parlamento Europeu em 5 de julho de 2022, que aprovou por esmagadora maioria a Lei de Serviços Digitais (DSA) e a Lei de Mercados Digitais (DMA), a primeira jurisdição do mundo a estabelecer um padrão abrangente de regulação para o espaço digital. Seu escopo cria uma “regulação digital comum” a ser respeitada por um mercado que atende 450 milhões de consumidores. Seu corolário de regras contra o vazamento e uso de dados pessoais é um colossal avanço civilizatório.
Nas últimas semanas causou comoção no Brasil o caso de uma conhecida atriz que teve seu prontuário médico vazado devido à má conduta de profissionais da saúde e até de instituições médicas. É lamentável o vazamento e a publicitação das informações clínicas da atriz, numa sequência de fatos antiéticos, antiprofissionais, imorais e criminosos. Mas, sem tanto sensacionalismo midiático, milhares de situações semelhantes podem estar acontecendo neste instante em centenas de hospitais do país, que se submetem ao rastreamento de dados dos pacientes sem qualquer consentimento deles, ou simplesmente com um consentimento-aquiescente ‘preguiçoso e fantasioso’, que, obviamente, ao longo do tempo não resistirá aos contenciosos jurídicos.
Guilherme S. Hummel
Scientific Coordinator Hospitalar Hub
Head Mentor – EMI (eHealth Mentor Institute)
