Projeto De Lei 2.159/2021

projeto de lei 2.159/2021 é uma proposta de norma apresentada na Câmara dos Deputados que estabelece regras para o tratamento, compartilhamento e proteção de dados pessoais e sensíveis no âmbito do setor de saúde no Brasil. Em sua essência, o projeto visa atualizar o arcabouço legal para atender às demandas da medicina digital, telemedicina e uso de grandes volumes de informações de saúde, garantindo equilíbrio entre inovação tecnológica e direitos fundamentais. O objetivo central é criar previsões claras sobre consentimento, finalidades permitidas, segurança da informação e responsabilidade das instituições de saúde, respondendo a um contexto de crescente digitalização dos serviços de saúde.

Contexto e objetivos principais

O projeto de lei 2.159/2021 surgiu em um cenário de rápida expansão dos serviços de saúde, impulsionado por tecnologias digitais, telemedicina, aplicativos de monitoramento e armazenamento de dados em nuvem. Nesse ambiente, surgiram dúvidas sobre a compatibilidade das regras existentes com as novas práticas, especialmente no que diz respeito à privacidade e proteção de dados sensíveis. A iniciativa busca, portanto, harmonizar a legislação setorial com os princípios gerais de proteção de dados, em especial a LGPD, mas com abordagens específicas para a área da saúde. Dentre os principais objetivos, destacam-se:

• Definir requisitos específicos para o tratamento de dados pessoais em saúde, incluindo dados sensíveis relativos à saúde física e mental.
• Estabelecer critérios claros para o consentimento informado, com destaque para a autonomia do paciente.
• Prever exceções e bases legais alternativas ao consentimento quando da utilização de dados para fins de pesquisa, saúde pública e ações governamentais.
• Reforçar a segurança da informação e a proteção contra vazamentos e acessos não autorizados.
• Definir responsabilidades claras para operadores e titulares de dados no ecossistema de saúde.

Regras de tratamento e consentimento na área de saúde

Uma das especificidades do projeto de lei 2.159/2021 reside no tratamento detalhado das regras de consentimento. O texto prevê que o consentimento deverá ser informado, específico, livre e em formulário adequado, devendo conter finalidades claras e prazos de validade. Além disso, o projeto estabelece diferenciais importantes em relação à LGPD no âmbito da saúde, ao reconhecer a importância de critérios técnicos e éticos na avaliação da suficiência do consentimento. Em algumas situações, o próprio paciente não precisa dar consentimento expresso, bastando a legitimidade decorrente da própria relação jurídica.

O projeto também estabelece regras para o compartilhamento de dados entre agentes do setor de saúde, instituições de ensino, pesquisadores e órgãos governamentais. Nesse sentido, são previstas bases legais alternativas ao consentimento, como:

• Execução de políticas públicas de saúde e monitoramento de epidemias.
• Pesquisa científica, na forma definida em regulamento, desde que observados direitos fundamentais e proteção ao indivíduo.
• Segurança nacional, saúde pública e prevenção de fraudes.
• Estudos e análises estatísticas com proteção anonimizada dos dados.

Essas previsões são fundamentais para garantir que inovação e pesquisa possam avançar sem colocar em risco a privacidade dos pacientes, desde que haja controles rigorosos e transparência.

Segurança da informação e responsabilidades

No que diz respeito à segurança cibernética e proteção de dados, o projeto de lei 2.159/2021 reforça a obrigação de adotar medidas técnicas, administrativas e jurídicas para evitar acesso não autorizado, perda, alteração ou destruição de dados. O texto atribui responsabilidade não só aos prestadores de serviços de saúde, mas também a administradores de sistemas, empresas de tecnologia e operadores de bases de dados. Dentre as medidas esperadas, destacam-se:

1. Criptografia de dados em repouso e em trânsito.
2. Controles de acesso diferenciados e autenticação robusta.
3. Registro de atividades de tratamento e incidentes de segurança.
4. Planejamento de resposta a incidentes e notificações às autoridades e titulares em caso de vazamento.
5. Auditorias periódicas e avaliações de impacto sobre proteção de dados.

Além disso, o projeto estabelece a criação de comitês de ética e proteção de dados em instituições de saúde, responsáveis por revisão de práticas, orientação sobre conformidade e apoio na tomada de decisões éticas relacionadas ao uso de informações de saúde. A participação de profissionais de diversas áreas — medicina, direito, tecnologia e bioética — é incentivada como forma de garantir decisões mais equilibradas e alinhadas aos direitos fundamentais.

Perguntas frequentes

Abaixo, apresentamos respostas rápidas para dúvidas recorrentes sobre o escopo e as consequências do projeto de lei 2.159/2021.

O que define dados sensíveis no contexto do projeto de lei 2.159/2021?

São considerados dados sensíveis aqueles que, por sua natureza, requerem proteção reforçada, como informações relativas à saúde física e mental, genética e biométrica, desde que vinculadas à pessoa natural.

O projeto substitui a LGPD no âmbito da saúde?

Não. O projeto atua como legislação setorial, complementando a LGPD e estabelecendo regras específicas para o setor de saúde, em conformidade com os princípios gerais de proteção de dados.

Quais são as principais exceções ao consentimento previstas no texto?

O projeto prevê exceções para execução de políticas públicas de saúde, pesquisa científica com proteção anonimizada, segurança nacional, saúde pública e prevenção de fraudes, sempre observados direitos fundamentais e limites legais.

Quem será responsável pela segurança da informação nos tratamentos de dados de saúde?

São responsabilizados tanto os titulares quanto os operadores de dados, incluindo administradores de sistemas, provedores de tecnologia e terceiros que tenham acesso a informações sensíveis, conforme medidas técnicas e contratuais exigidas pelo projeto.

O projeto estabelece regras para uso de dados em inteligência artificial na saúde?

Sim. O texto prevê diretrizes para uso de algoritmos, machine learning e outras formas de inteligência artificial, exigindo transparência, avaliação de viés, segurança dos dados e garantias de que as decisões algorítmicas respeitem direitos fundamentais e possam ser contestadas.