Hemorragia de dados
Pesquisa inédita aponta que aplicativos para marcar consulta médica não protegem os dados pessoais e de saúde, e possibilitam o derrame de informações dos usuários sem que eles saibam
Você já desejou marcar seus compromissos médicos com apenas alguns cliques, quando e onde estiver, podendo optar pelo profissional mais próximo e pelo valor de consulta que mais lhe convém? E ainda desfrutar de descontos em medicamentos e outros benefícios? Tudo isso totalmente de graça? É o que prometem os aplicativos de consulta médica, já em número significativo no País. Alguns deles até agendam consultas com médicos que vão até a casa do paciente. Segundo números da Apple Store e da Play Store, lojas de aplicativos para celulares, esses apps já tiveram mais de 250 mil downloads no Brasil, e há relatos na imprensa de que apenas um deles tem 2.750 médicos cadastrados e está presente em 160 cidades brasileiras. É o fenômeno do Uber chegando à saúde.
Como “não existe almoço grátis”, é razoável se perguntar como as empresas que idealizam e disponibilizam esses aplicativos ganham dinheiro. E também é prudente saber o que é feito com os dados e o histórico de saúde dos usuários ali armazenados. E quem mais, além da empresa, tem acesso às informações. Muitas outras perguntas podem e devem ser feitas, ainda mais considerando que dados sobre saúde são sensíveis, portanto, sigilosos.
Por essas razões, o Idec resolveu, de maneira pioneira, investigar como funcionam esses aplicativos, escolhendo os seis mais populares no Brasil: Doctoralia, BoaConsulta, Docway, Dokter, Doutor Já e Saúde Já. A pesquisa não verificou a qualidade dos profissionais, o preço de consultas ou a pontualidade, mas como esses aplicativos ganham dinheiro, de que maneira informam os consumidores sobre o que farão com seus dados e como tratam e guardam as informações coletadas.
Como o Brasil ainda não possui uma lei de proteção de dados pessoais, as análises foram baseadas na regulação europeia sobre o assunto e na Lei no 12.965/2014 – o chamado Marco Civil da Internet – e no decreto que o regulamenta (Decreto no 8.771/2016), além do Código de Defesa do Consumidor (CDC). Alguns pontos também foram confrontados com o Código Civil. “Apesar de gratuitos, todos os aplicativos obtêm ganhos indiretos a partir de atividades diversas, e, por essa razão, a relação com os usuários está subordinada ao CDC. Eles nada mais são do que softwares conectados a servidores da internet, por isso o Marco Civil da Internet também é aplicado”, explica Rafael Zanatta, advogado e pesquisador do Idec em telecomunicações e direitos digitais.
COMO FOI FEITA A PESQUISA
A pesquisa foi realizada entre os dias 29 de janeiro e 2 de fevereiro. Foram selecionados os serviços mais populares com base no número de downloads nas lojas virtuais e também sua relevância nas buscas na internet. A pesquisa excluiu aplicativos que não fazem intermediação de contratação de consultas, apenas disponibilizam listas de profissionais de uma rede específica ou operadora de planos de saúde, como Dr. Consulta, Unimed etc.
Na primeira etapa, foram coletadas informações disponíveis nos aplicativos, no site das empresas e nas lojas virtuais Apple Store e Play Store. Depois, as empresas foram questionadas sobre suas políticas de privacidade, e suas respostas foram consideradas na avaliação. A análise foi dividida em quatro partes: modelos de negócio (ou como os apps auferem lucro); qualidade e clareza das informações disponíveis nos termos de uso e nas políticas de privacidade; segurança da informação (a preocupação das plataformas em proteger os dados dos usuários, principalmente os mais sensíveis); e responsabi- lidade civil (se as empresas se responsabilizam por problemas decorrentes do uso do serviço, como vazamento de dados). mo vazamento de dados).
NEGÓCIO CONTAMINADO
O estudo aponta para um cenário de baixa proteção jurídica para os consumidores (e talvez para os próprios médicos) em relação ao modelo de negócio dos apps para agendamento de consultas. No geral, eles não só intermediam a relação médico-paciente, mas são desenhados para compartilhar informações com terceiros, utilizar dados pessoais para direcionamento de propagandas personalizadas, além de arrecadarem com ofertas ao usuário (como de cartões de compra de medicamentos) e com cobrança dos profissionais que se cadastram na plataforma. O levantamento também identificou que há uma grande disparidade entre o que está previsto nos termos de uso e o que ocorre na prática, considerando as respostas que as empresas enviaram oficialmente ao Idec.
Em relação à forma como ganham dinheiro, quatro dos seis aplicativos avaliados explicitam em seus termos que compartilham com terceiros informações estatísticas sobre a saúde dos usuários. As exceções são Doctoralia e Saúde Já. Porém, apenas o app Dokter admite fazer isso atualmente; Boa Consulta, Docway e Doutor Já, embora inscrevam essa possibilidade em seus termos, dizem não fazer isso atualmente. Os aplicativos Doctoralia e Dokter já ganham dinheiro compartilhando dados pessoais para direcionamento de publicidade personalizada; Boa Consulta e Saúde Já preveem fazê-lo no futuro. Apenas Docway e Doutor Já não declaram intenção de ganhar com isso.
Segundo o pesquisador do Idec, para que o compartilhamento de dados dos usuários como forma de auferir lucro não seja ilegal, é imprescindível que os apps explicitem quais padrões de segurança são adotados para garantir que informações sensíveis fiquem anônimas, ou seja, que não seja possível identificar de quem são, bem como a proteção do sigilo médico. “Além disso, para que seja ético, seria preciso informar ao consumidor e dar a ele a possibilidade de consentir com isso livre e expressamente, como é exigido na Europa”, destaca Zanatta.
O aplicativo Saúde Já cobra pela assinatura de um cartão para compra de medicamentos com desconto, abrindo margem para o compartilhamento desses dados com farmácias e operadoras de planos de saúde interessados em pesquisas demográficas de mercado. A empresa nega essa prática. Outra fonte de receita são os próprios médicos: Docway, Dokter, Doutor Já e Saúde Já fazem a intermediação do pagamento entre o paciente e o profissional, retirando um percentual por consulta, e Doctoralia e Boa Consulta oferecem diferentes planos de pagamento aos profissionais que se cadastram.
CONSELHO DE MEDICINA REGULAMENTA APPS
Quando a pesquisa já estava concluída, em 26 de fevereiro, foi publicada uma norma do Conselho Federal de Medicina (CFM) – a Resolução no 2.178/2018 –, que regulamenta os aplicativos de consulta médica. A regra busca evitar fraudes, exigindo dos aplicativos a designação de um diretor-técnico médico e registro de especialidade dos profissionais, além de proibir promoções com base no valor de consultas, dentre outras medidas. Também veda avaliações por parte dos usuários e a divulgação do preço das consultas. O Idec enviou ofício parabenizando o CFM, mas lamentou não haver exigência de proteção de dados sensíveis, como os de saúde, pelas empresas. Isso estaria sob jurisdição do CFM, já que o Código de Ética Médica determina o sigilo dos dados e do prontuário do paciente.
INFORMAÇÃO INCOMPLETA E INSEGURA
Em relação à disponibilidade e à segurança das informações, a pesquisa avaliou se os aplicativos respeitam requisitos diversos, de acordo com diretrizes do Marco Civil da Internet e do decreto que o regulamenta, classificando-os como bom, regular ou ruim.
Essas normas exigem o fornecimento de informações claras e completas sobre a coleta, o uso, o armazenamento, o tratamento e a proteção dos dados pessoais, que somente poderão ser utilizados para finalidades que sejam justificáveis para o uso do app e não sejam vedadas por lei. Essas informações devem estar nos termos de uso ou na política de privacidade do aplicativo e das lojas virtuais para download.
Esses mesmos documentos devem prever por quanto tempo os dados pessoais serão armazenados e a possibilidade de exclusão desses dados pelo próprio usuário. Também é exigida a especificação dos padrões de segurança adotados para preservar os dados. Além do mais, o Código de Ética Médica estabelece o sigilo médico e a proteção do prontuário.
Como se pode ver na tabela de resultados abaixo, nenhum dos aplicativos avaliados alcançou nível bom em relação à disponibilidade de informações. Metade deles (Doctoralia, Dokter e Saúde Já) obteve nota ruim; e a outra metade ficou com regular (Boa Consulta, Docway e Doutor Já).
Quanto à segurança da informação, a omissão de esclarecimentos ao usuário também é o padrão. Alguns dos cinco requisitos verificados foram tirados do Decreto no 8.771/2016, como o controle de acesso aos dados pessoais apenas por pessoas autorizadas e o uso de soluções que garantam a inviolabilidade dos dados, tais como encriptação dos mesmos. Ademais, pelo fato de no Brasil ainda não existir uma lei de proteção de dados pessoais, foram incluídos quesitos de segurança exigidos na legislação europeia e algumas boas práticas dos países europeus.
Para garantir que dados sensíveis dos usuários sejam anônimos, a exclusão de todo registro pessoal após a interrupção prolongada de uso do aplicativo e o compromisso de notificar usuários em caso de brechas de segurança ou vazamento de dados são pontos que também foram considerados. A ausência ou omissão dessas especificações, em uma primeira análise baseada na leitura do site das empresas e dos termos dos aplicativos, fez com que quatro dos serviços ficassem sem classificação. Após questionamentos do Idec, a maioria das empresas respondeu (só a Dokter permaneceu omissa). Os apps Doutor Já e Saúde Já obtiveram o conceito bom; Doctoralia, Boa Consulta e Docway, regular.
Outro ponto de destaque nesse tópico é o fato de que quatro dos aplicativos armazenam dados em servidores de nuvem da Amazon e/ou da Microsoft. Embora seja uma solução econômica, especialistas afirmam que não é a ideal para dados sensíveis como os de saúde. “Por mais seguros que sejam, serviços de nuvem estão mais sujeitos a vazamentos e ao acesso não autorizado a dados armazenados”, explica o advogado do Idec. Em relação à responsabilidade civil, a pesquisa averiguou se nos termos de uso ou na política de privacidade dos aplicativos há cláusulas que limitem sua responsabilidade de forma abusiva e se eles reconhecem sua responsabilidade objetiva, ou seja, se o app se responsabiliza por eventuais danos causados aos usuários pelo serviço, independentemente de culpa, como definem o CDC (art. 14) e o Marco Civil da Internet (art. 3o). Todos os aplicativos se saíram mal, ficando com o conceito ruim, exceto o Saúde Já, com regular.
CHEGA DE DESPROTEÇÃO
A “uberização da saúde” lança mão de técnicas informacionais avançadas e constitui bancos de dados enormes e compostos de informações individualizadas relativas à saúde. Isso impõe urgência por uma lei geral de proteção de dados pessoais no Brasil. Iniciativas para isso existem, mas elas se arrastam há anos, sem conclusão.
Há três projetos de lei (PL) sobre o assunto: no Senado, o PLS no 330/2013 tramita na Comissão de Assuntos Econômicos, aguardando parecer do relator; na Câmara, há o PL no 5.276/2016, proposto pelo governo após rodadas de discussão participativa, nos moldes do que ocorreu com o Marco Civil; e o PL no 4.060/2012, mais enxuto e menos protetivo que os demais. Atualmente, um substitutivo (texto único que compila as propostas de todos os PLs semelhantes) está sendo elaborado pela Comissão Especial sobre Tratamento e Proteção de Dados Pessoais, mas um forte lobby de setores empresariais para que as regras sejam afrouxadas tem atrasado as discussões e a publicação da lei.
Para o Dia Mundial do Consumidor deste ano, celebrado em 15 de março, o tema de campanha da Consumers International, grupo de mais de 250 entidades de defesa do consumidor espalhadas por mais de 120 países e do qual o Idec faz parte, é exatamente Mercados Digitais Justos, o que pressupõe legislação robusta e entidades independentes para fiscalizar e regular o mercado.
Aproveitando a data, o Idec lança uma plataforma em seu site em prol da aprovação de uma lei de proteção de dados pessoais no Brasil, chamada Chega de Desproteção (www.idec.org.br/dadospessoais). A iniciativa faz parte da campanha Seus Dados São Você, da Coalizão Direitos na Rede, e chama a atenção para casos recentes que evidenciam o problema da ausência de uma lei sobre o tema, que vão desde o compartilhamento de dados entre WhatsApp e Facebook até a caixa preta do credit score. “A plataforma do Idec mostra que o problema é antigo e há muitas soluções postas na mesa. Os parlamentares, no entanto, dão mais atenção às empresas e a grandes grupos que querem explorar nossos dados. Esperamos que as pessoas tenham consciência de que nossas informações não são apenas mercadoria. A proteção dessas informações é direito fundamental, tal como a defesa do consumidor. Estamos falando de um novo tipo de direito coletivo”, finaliza Zanatta.