1) O documento discute a privacidade e segurança no tratamento de dados pessoais para pesquisa científica, com foco na integração e análise de dados administrativos para pesquisa em saúde pública.
2) Apresenta os objetivos e atividades do Centro de Integração de Dados e Conhecimentos para Saúde (CIDACS), que realiza pesquisas usando grandes bases de dados pessoais do SUS.
3) Discutem aspectos do marco regulatório brasileiro, como a Lei Geral de Proteção de D
Privacidade e segurança no tratamento de dados pessoais para pesquisa e saúde
1.
2. Privacidade e segurança no tratamento de
dados pessoais
Maria Yury Travassos Ichihara
Cidacs/IGM/FIOCRUZ
SEMINÁRIO CIDACS-IPEA: PRIVACIDADE E TRATAMENTO DE DADOS PESSOAIS EM
PESQUISAS E GESTÃO EM SAÚDE
Salvador, 05 de setembro de 2017
3. 1) Dialogar com a área jurídica para aprofundar entendimento sobre o
impacto legal vigente nas pesquisas e avaliações na área de saúde
2) Analisar o marco regulatório para acesso, armazenamento,
tratamento, preservação de bases de dados pessoais administrativos
para a pesquisa científica -CIDACS /IPEA
3) Contribuir para a regulamentação da LAI (Lei 1257/11) no âmbito do
Ministério da Saúde
4) Contribuir para a elaboração do PL 5276/16 com ênfase no
tratamento de dados pessoais para a pesquisa científica visando o
desenvolvimento da saúde pública
Objetivos
4. • Produzir conhecimentos científicos sobre determinantes sociais e
avaliação de políticas públicas para subsidiar gestores públicos
• Ser um ativo no desenvolvimento e transferência de métodos de
avaliação e de conhecimentos científicos
Quem somos?
Centro de Integração de Dados e Conhecimentos para Saúde
• Inaugurado em 07 de dezembro de 2016,
vinculado ao Instituto Gonçalo
Moniz/FIOCRUZ
• Atividades estratégicas de pesquisa,
inovação, informação e aperfeiçoamento do
SUS
5. Por que precisamos de
dados pessoais?
Base da pesquisa: conceito ampliado de saúde (Art 196/CF e Art 3º/Lei
8080)
Integração de dados administrativos (linkage/vinculação)
• Programas sociais e desfechos de saúde (nome/nome mãe/DN/sexo/município)
Construção de coortes:
• Coorte de 100 milhões de
Brasileiros
• Coorte de nascimentos
Acurácia
• Estimativa da precisão da vinculação (Sensibilidade/Especificidade,Curva ROC)
• Estimativa do viés na análise de determinação social e de avaliação de
impacto de políticas
Avaliação de de impacto de intervenções/políticas sociais na saúde
• Dados individualizados para definir grupos de tratamento e comparação
-MCMV
-MCMV
6. Cadastro Único
Dados
abrigados/
produzidos
Baseline da Coorte 100 M
População selecionada a
partir do Cadastro Único
com o objetivo de realizar
estudos longitudinais (2006
– 2015)
Dataset: ± 114 milhões
indivíduos
Produzido pelo CIDACS
Que dados são necessários?
Óbitos (SIM)
Informações atualizadas de óbitos
obtidos a partir da Declaração de
óbitos (2000-2015: ± 18 million
óbitos)
Nascidos vivos (SINASC)
Informações atualizadas de nascidos
vivos obtidos a partir da Declaração
de Nascidos Vivos (2000 – 2015: ± 40
milhões de nascimentos)
SINAN
Informações atualizadas sobre 52
doenças de notificação obrigatória
(1999 – 2016: ± 8 milhões de
individuos notificados)
Hospitalização (SIH)
Informações atualizadas sobre
admissões hospitalares financiadas pelo
SUS
Vigilancia Nutricional e alimentar
Registros atualizados dos
atendimentos para avaliação
nutricional e de consumo alimentar
no âmbito da atenção primária saúde
Dados pessoais
identificados
Minha Casa e Minha Vida
Registros atualizados de individuos
beneficiados com unidades
residenciais segundo a renda ( ± 2.3
milhões de unidades)
Bolsa Família
Registros atualizados de pagamentos
do Programa condicional de
transferência de renda (2004-2015: ±
64 milhões de famílias beneficiárias)
Registros atualizados de indivíduos
que se candidatam a programas
sociais, com informações sobre
condições sócio-econômica e de
domicílio (2007 a 2015)
Cadastro Único
Água para Todos
Fornecer reservatórios impermeáveis
para 1 milhão de famílias que vivem na
região semi-árida do Brasil, garantindo
o acesso a água de boa qualidade
7. Como nos organizamos?
• Realizamos governança compatível com o acesso, privacidade e
segurança no tratamento de dados pessoais e com os conceitos
de “Ciência Aberta”
• Observamos o marco regulatório e as atitudes públicas
relacionados ao acesso, armazenamento, preservação e
tratamento de dados pessoais
• Seguimos os Padrões Éticos vigentes
• Desenvolvemos um Plano Estratégico de Desenvolvimento e
Sustentabilidade dialogando com os parceiros (gestores,
pesquisadores, financiadores, apoiadores)
9. TEMA Onde encontrar
Abrangência da Lei Arts.1º e 2º
Garantias do direito de acesso / Diretrizes Arts. 3º, 5º e 6º
Definição de termos utilizados na Lei Art. 4
Informações garantidas pela Lei Arts. 7 e 21
Divulgação proativa de informações /
Transparência ativa
Arts. 8 e 30
Procedimentos de acesso à informação Art. 9 a 14
Prazos – Recebimento de respostas e
interposição de recursos
Arts. 11, 15, 16
Procedimentos em caso de negativa de acesso
ou descumprimento de obrigações /
Recursos
Arts. 11 §4º
Arts. 14 a 18
Art. 20
Informações sigilosas / Classificação de
Informações
Arts.7º § 1º e 2º
Arts. 22 a 30
Arts. 36 e 39
Competências da CGU Arts. 16 e 41
Competências da CMRI Arts. 16 §
3º; 17; 35
Competências da CMRI Arts. 16 § 3º
17; 35
Informações pessoais Art.31
Responsabilização de agentes
públicos
Arts.32a34
(II-uso
indevido e
outros)
Quem pode ter acesso a dados
pessoais?
• Agentes públicos legalmente
autorizados e ao titular
Definição (incluída a FIOCRUZ)
• Mediante consentimento, que
Não será exigido quando (entre
outros):
a)Realização de estatística e
pesquisa científica de evidente
interesse público ou geral,
previstos em lei, sendo vedada a
identificação da pessoa
b) Defesa de direitos humanos
c) À proteção do interesse público e
geral preponderante
(Necessita qualificação- pesquisa
e avaliação)
Aspectos do marco regulatório
para discussão: LAI-12527/11
10. TEMA Onde encontrar
Abrangência da Lei Arts.1º e 2º
Garantias do direito de acesso / Diretrizes Arts. 3º, 5º e 6º
Definição de termos utilizados na Lei Art. 4
Informações garantidas pela Lei Arts. 7 e 21
Divulgação proativa de informações /
Transparência ativa
Arts. 8 e 30
Procedimentos de acesso à informação Art. 9 a 14
Prazos – Recebimento de respostas e
interposição de recursos
Arts. 11, 15, 16
Procedimentos em caso de negativa de acesso
ou descumprimento de obrigações /
Recursos
Arts. 11 §4º
Arts. 14 a 18
Art. 20
Informações sigilosas / Classificação de
Informações
Arts.7º § 1º e 2º
Arts. 22 a 30
Arts. 36 e 39
Competências da CGU Arts. 16 e 41
Competências da CMRI Arts. 16 §
3º; 17; 35
Competências da CMRI Arts. 16 § 3º
17; 35
Informações pessoais Art.31
Responsabilização de agentes
públicos
Arts.32a34
(II-uso
indevido e
outros)
Quem pode ter acesso a dados
pessoais?
• Agentes públicos legalmente
autorizados e ao titular
Definição (incluída a FIOCRUZ)
• Mediante consentimento, que
Não será exigido quando (entre
outros):
a)Realização de estatística e
pesquisa científica de evidente
interesse público ou geral,
previstos em lei, sendo vedada a
identificação da pessoa
b) Defesa de direitos humanos
c) À proteção do interesse público e
geral preponderante
(Necessita qualificação- pesquisa
e avaliação)
Aspectos do marco regulatório
para discussão: LAI-12527/11
11. Tratamento de dados pessoais
Art 4º. Esta lei não se aplica ao tratamento de dados:
“...II. Realizado para fins exclusivamente jornalísticos,
artísticos, literários e acadêmicos (pesquisa cientifica e
acadêmica)
Parágrafo 3º. O órgão competente emitirá opiniões técnicas ou
recomendações referentes as exceções previstas nos incisos II
e III e poderá solicitar aos responsáveis relatórios de impacto a
privacidade”
Aspectos do marco regulatório para
discussão: PL 5276/16 e 4060/12
12. Requisitos para o tratamento de dados pessoais
Art 7º. O tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses:
I- mediante consentimento livre, informado e inequívoco;
III- pela administração pública, para tratamento e uso
compartilhamento de dados necessários a execução de
políticas públicas previstas em leis ou regulamentos;
IV- para a realização de pesquisa histórica, científica ou
estatística, garantida, sempre que possível, a anonimização
dos dados pessoais;
Parágrafo 1º. Para II e III, deverá informar ao titular as hipóteses
em que será admitido o tratamento de seus dados.
2º. A forma de disponibilização poderá ser
especificada por órgão competente
Aspectos do marco regulatório para
discussão: PL 5276/16 e 4060/12
13. Consentimento
Art 11- É vedado o tratamento de dados sensíveis, exceto:
I. Com consentimento
II. Sem consentimento nas hipóteses em que for indispensável para:
“..c) realização de pesquisa histórica, científica ou estatística,
garantida, sempre que possível a anonimização...”
Término do tratamento de dados
Art 15. O término do tratamento de dados pessoais ocorrerá nas seguinte
hipóteses:
I. Verificação de que a finalidade foi alcançada ou de que os dados
deixaram de ser necessários ou pertinentes ao alcance da finalidade
específica almejada
II. Fim de período de tratamento
Parágrafo único- O órgão competente estabelecerá os períodos máximos
para o tratamento de dados pessoais, ressalvado legislação específica
Aspectos do marco regulatório para
discussão: PL 5276/16 e 4060/12
14. Eliminação dos dados
Art 16. Os dados pessoais serão eliminados após o termino de seu tratamento,
autorizada a conservação para as seguintes finalidades:
“...II. Pesquisa histórica, científica ou estatística, garantida, quando possível a
anonimização dos dados pessoais, ou
III. Transferência a terceiros, desde que respeitados os requisitos de tratamento de
dados dispostos nesta Lei.”
Parágrafo Único. O órgão competente poderá estabelecer hipóteses específicas de
conservação de dados pessoais, garantidos os direitos do titular, ressalvado o
disposto em legislação específica.
Direito do titular
Art 18. O titular tem direito a obter, em relação aos seus dados:
...VI. Eliminação, a qualquer momento, de dados pessoais com cujo tratamento o
titular tenha consentido.
Paragrafo 1º. O titular pode se opor a tratamento realizado com fundamento em uma
das hipóteses de dispensa de consentimento, em caso de descumprimento desta Lei”
Aspectos do marco regulatório para
discussão: PL 5276/16 e 4060/12
15. Tratamento de dados pessoais pelo poder público
Art 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito
público referenciadas no paragrafo único do Art 1º. Da Lei 12527, deverá
ser realizado para o atendimento de sua finalidade pública, na persecução
de um interesse público, tendo por objetivo a execução de competências
legais ou o cumprimento de atribuição legal pelo serviço público
Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve
atender a finalidades específicas de execução de políticas públicas e
atribuições legais pelos órgãos e pelas entidades públicas, respeitados os
princípios da proteção de dados pessoais elencados no art 6º. desta Lei
Transferência internacional de dados
Art 33. É permitida nos seguintes casos:
I. Países que proporcionam nível de proteção de dados pessoais ao
menos equiparável a esta Lei
V. Quando a transferência resultar em compromissos assumidos em
Aspectos do marco regulatório para
discussão: PL 5276/16 e 4060/12
16. Segurança e sigilo
Art 45. O operador deve adotar medidas de segurança técnicas e
administrativas aptas a proteger os dados pessoais de acesso não
autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito
Boas Práticas
Art 50. “...formular regras de boas práticas...”
Aspectos do marco regulatório para
discussão: PL 5276/16 e 4060/12
17. 1)Acesso e compartilhamento de dados pessoais identificados para
órgãos da administração pública com ênfase na pesquisa e e
avaliações em saúde
2) Finalidade pública da guarda, armazenamento, preservação,
tratamento e disponibilização de dados administrativos
(Curadoria)
a) Interesse público preponderante
b) Preservação dos dados administrativos como bem público
c) Regulação sobre a destruição dos dados após cumprida a
finalidade
2) Supervisão e controle do tratamento de dados
Considerações finais