A evolução tecnológica trouxe inovação na área médica. Sabemos que essa inovação tem estreita relação com a pesquisa, pois dela surgem os novos medicamentos, procedimentos e técnicas terapêuticas.
O Brasil, inegavelmente, tem um conjunto de normas infralegais que regem a pesquisa com seres humanos, sendo a principal delas a Resolução no 466/2012 do Conselho Nacional de Saúde, e segue padrões técnicos internacionais, tais como o Guia de Boas Práticas Clínicas (GCP – Good Clinical Practice) da FDA (Food and Drug Administration) e os guias e orientações da Conferência Internacional de Harmonização (ICH). Além disso, o Brasil estruturou o Sistema CEP/Conep para estabelecer critérios éticos rigorosos para a aprovação de pesquisas com seres humanos, que conta com 848 Comitês de Ética em Pesquisa (CEP), distribuídos pelas 5 regiões do país, com mais de 13 mil pessoas atuantes.
Isso permitiu que o Brasil participasse, nos últimos anos, de um número crescente de pesquisas clínicas, especialmente na área de novos fármacos.
Para garantir a qualidade dos estudos clínicos, o Centro de Pesquisa Clínica deve contar com equipe multidisciplinar e infraestrutura de serviços hospitalares e de apoio diagnóstico.
Como os Centros de Pesquisa Clínica estão encarando a Lei Geral de Proteção de Dados, em vigor desde setembro? Há necessidade de adequação?
No que diz respeito à obtenção de consentimento do titular dos dados, o Centro de Pesquisa Clínica já cumpre esta determinação, então ele já estaria em conformidade com a nova lei?
Claro que não. A proteção de dados vai muito além do consentimento e veremos, a seguir, os principais pontos de preocupação:
- Agentes de tratamento: é necessário definir os papeis dentro da pesquisa clínica nos termos da lei, quem são os atores e suas responsabilidades como controlador e operador. A definição das atribuições desencadeará a revisão de processos, atualização de organograma e treinamentos;
- Direitos do titular dos dados: a lei prevê direitos aos titulares, em seu artigo 18, que trazem ao Centro de Pesquisa a necessidade de mapear e atualizar processos, de forma a permitir o acesso aos dados, bem como a correção e atualização deles, sem entrar na questão da portabilidade e eliminação dos dados por requerimento, o que, a nosso ver, dependerá de regulamentação por parte da Autoridade Nacional de Proteção de Dados (ANPD);
- Registro das operações de tratamento: além das informações que já são registradas nos Formulários de Relato de Caso (CRF), o Centro também deverá manter o registro das operações de tratamento dos dados pessoais, ou seja, manter um verdadeiro diário dos dados, que inclui o registro dos logs de acesso, compartilhamentos, enfim, tal obrigação reflete diretamente na governança dos dados;
- Relatório de Impacto à Proteção de Dados (AIPD): previsto no artigo 38, a ANPD poderá determinar ao controlador que elabore o AIPD, o qual deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados;
- Nomeação de um Encarregado de Proteção de Dados: o Centro de Pesquisa, de acordo com o artigo 41 da LGPD, também deverá indicar um Encarregado de Proteção de Dados (em inglês, DPO), que tem atribuições legais específicas, podendo ser uma pessoa física ou jurídica (DPO aaS);
- Adoção de medidas de segurança: nos termos do artigo 46, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, o que implica em dizer que o Centro de Pesquisa poderá criar suas próprias medidas ou alinhar-se ao padrão ISO/IEC, recorrendo às normas ISO/IEC 27001, 27002 e 27701, levando em consideração as exigências do Patrocinador do estudo;
- Comunicação de incidentes: o controlador deve comunicar incidentes de segurança à ANPD e, dependendo da gravidade e risco envolvido, também aos titulares dos dados. Esta comunicação deve ser feita em prazo razoável, a ser definido pela ANPD, e deverá conter uma descrição da natureza dos dados pessoais afetados; informações sobre os titulares envolvidos (quantidade); indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; descrição dos riscos relacionados ao incidente e das medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Todos estes pontos de preocupação estão associados à necessidade de treinamento e conscientização de pessoal, adoção de práticas de proteção de dados by design e by default, gestão do ciclo de vida dos dados e gestão dos incidentes de segurança.
A adequação à LGPD, portanto, é inadiável e envolve um trabalho integrado entre as áreas de TI, jurídico, segurança da informação e qualidade.
As consequências decorrentes do descumprimento podem ocorrer no âmbito administrativo, visto que a Lei 13.709/18 prevê sanções administrativas aplicáveis pela ANPD a partir de 1o de agosto de 2021, que incluem multas que podem chegar a 50 milhões de reais, bem como o bloqueio de dados e a publicização da infração, como também no âmbito judicial, haja vista as ações que vêm sendo promovidas pelo Ministério Público.
Há muitas dúvidas e desafios pela frente, por isso é importante o setor da pesquisa clínica incentivar os debates e discussões sobre o tema, visando identificar as reais necessidades dos Centros de Pesquisa Clínica e também levantar as demandas que carecem de regulamentação. Há muito trabalho a ser feito e não há tempo a perder.
Referências bibliográficas:
BRASIL. Lei Federal no 13.709/2018. Lei Geral de Proteção de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/l13709.htm. Acesso em: 21 nov. 2020.
CONSELHO NACIONAL DE SAÚDE. Comitês de Ética em Pesquisa. Disponível em: http://conselho.saude.gov.br/comites-de-etica-em- pesquisa-conep . Acesso em: 22 nov. 2020.