Escolar Documentos
Profissional Documentos
Cultura Documentos
_ Camila de Vito
_ Fernando Bousso
_ Gabriela Moribe
_ Luiza Balthazar
_ Rafael Pessoa
_02
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Sumário
_03
_042
_043
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_Introdução
Apesar da sensibilidade inerente dos dados de
saúde, o respectivo setor atualmente carece de
regras claras de proteção de dados pessoais.
Atualmente, as normas existentes se limitam,
com algumas exceções, a delinear regras
gerais sobre o compartilhamento de dados
entre setor público e privado, consentimento
para a coleta desses dados e armazenamento
de prontuário médico.
_04
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Dado Pessoal,
Dado Sensível e
Dado de Saúde:
como legitimar o
tratamento
desses dados?
_05
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Dado de
Saúde
“Dado Pessoal”1: é a informação
relacionada a pessoa natural identificada ou
identificável. PPor exemplo, encontram-se nessa
categoria dados como nome, número de telefone,
e-mail, identificadores únicos eletrônicos (como
IP, cookies, beacons, etc), entre outros. Ainda,
esse conceito inclui dados que isolada ou
conjuntamente, em um determinado contexto,
possam permitir a identificação de alguém. O
conceito engloba, também, dados que podem
sujeitar uma pessoa natural individualizada a
uma determinada atividade, comportamento,
ou ação (prática conhecida como “singling
out”), tornando por vezes desnecessário saber
efetivamente quem essa pessoa é (saber se
trata-se de Maria ou João), desde que haja um
identificar único atrelado a este indivíduo.
_06
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
2_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 5º. Inciso 5_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigos 7 e 11.
II.
6_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 7º.
3_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 11, §1º. Incisos I a X.
4_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 5º. Inciso 7_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 11.
II. Incisos I e II.
_07
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_08
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Em outras palavras, a LGPD estabeleceu que o caso, sim, poderia ser possível, em tese, obter
consentimento específico e destacado do titular, o consentimento de todos os titulares. Todavia,
para finalidades específicas, deve sempre ser obter o consentimento de todos os titulares
buscado para o tratamento de dados sensíveis. que podem ser atingidos por determinada
Não se trataria, na estrutura escolhida pelo política poderia trazer ônus e custos superiores
legislador, de uma faculdade, uma opção, mas ao benefício geral de referida política. Desta
uma regra, e as demais bases legais deveriam forma, seria possível se valer da base de políticas
fundamentar o tratamento de dados sensíveis, públicas para legitimar o tratamento. A mesma
inclusive os de saúde, somente quando forem lógica pode ser aplicada às demais bases legais,
indispensáveis para: a) o cumprimento de uma com as devidas salvaguardas e peculiaridades de
obrigação legal ou regulatória pelo controlador; cada caso.
b) o tratamento compartilhado de dados
necessários à execução, pela administração No caso em tela, é possível afirmar que o
pública, de políticas públicas previstas em leis Aplicativo trata tanto dados pessoais quanto
ou regulamentos; c) a realização de estudos Dados de Saúde. Inevitavelmente, informações
por órgão de pesquisa, garantida, sempre que como peso, altura e batimentos cardíacos
possível, a anonimização dos dados pessoais podem ser classificadas como dados sensíveis. Já
sensíveis; d) o exercício regular de direitos, as outras informações como marcador de passos
inclusive em contrato e em processo judicial, e distância percorrida, que em um primeiro
administrativo e arbitral; e) a proteção da vida ou momento parecem ser apenas dados pessoais,
da incolumidade física do titular ou de terceiro; f) podem ser classificados como dados de saúde se
a tutela da saúde, em procedimento que precisa a inferência gerada a partir desses dados for uma
ser realizado por profissionais de saúde, serviços informação de saúde, por exemplo: se a partir do
de saúde ou autoridade sanitária; ou g) a garantia marcador de passos diários for possível concluir
da prevenção à fraude e à segurança do titular, que se trata de um usuário sedentário.
nos processos de identificação e autenticação de
cadastro em sistemas eletrônicos. Nesse sentido, a Lei Geral de Proteção de
Dados trará regras para o tratamento desses
Essa estrutura normativa mais restritiva dados, sejam eles dados pessoais ou dados
privilegia, portanto, a participação ativa do sensíveis. Abordaremos nos tópicos seguintes
titular do dado pessoal sensível por meio do as principais regras que organizações da área
consentimento, autorizando o tratamento do da saúde precisam ter em mente no tratamento
seu dado, em detrimento às demais hipóteses, de tais dados.
que são balanceadas com outras obrigações,
como de transparência e informação. Todavia,
isso não deve significar que o consentimento
específico e destacado deve ser buscado a todo
custo. É necessário um exercício de ponderação
entre o esforço para obter o consentimento e o
benefício e ganho que o tratamento de dados
trará para o titular, o controlador e, até mesmo,
um terceiro, como a sociedade. Um exemplo
desse exercício seria o tratamento de dados de
saúde para execução de políticas públicas. Neste
_09
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_010
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_011
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
adequado tem sido discutida pelos países do estar” podem acabar por serem qualificadas
bloco. Atualmente, tem sido dada enfase à como genéricas, pois não está claro para o titular
ideia de “consentimento ativo”, que sugere a como as informações serão realmente utilizadas.
impossibilidade de obtenção do consentimento Uma forma de mitigar esse problema poderia ser
de forma implícita, pela mera inação do titular com a utilização de exemplos mais específicos,
dos dados em não se opor ao tratamento, ou como “envio de SMS com dicas de saúde” e
por seu uso reiterado de determinado serviço.11 “operacionalização da nossa plataforma online
Assim, um consentimento ativo busca incentivar que permite a visualização dos resultados dos
o engajamento direto do titular, bem como exames”. Assim, as finalidades se tornam mais
o fornecimento de informações claras que claras, específicas, determinadas. Em relação
embasem a sua decisão. Como exemplo, pode-se à linguagem do documento, seria de bom tom
citar a produção de vídeos didáticos, infográficos, acrescentar um infográfico que traduzisse a
configurações de privacidade que permitam ao linguagem jurídica do Termo, garantido assim que
usuário escolher as finalidades do tratamento de o consentimento seja devidamente informado.
forma personalizada (granular privacy settings), A fim de qualificar o consentimento como livre,
entre outros. Desse modo, o uso exclusivo de recomenda-se atentar para o treinamento
longos contratos com linguagem jurídica e de dos funcionários para evitar qualquer tipo de
difícil compreensão não seria recomendável. coação ou imposição, pois a simples exigência
de assinatura sem as devidas explicações, sem
Também é obrigação do responsável a possibilidade de discordar do tratamento,
pelo tratamento comprovar que obteve o ou a ausência de esclarecimento de dúvidas
consentimento de forma adequada, sob pena de podem violar a livre manifestação de vontade.
o mesmo ser considerado inválido. Ademais, caso E, por fim, a obtenção de um consentimento
haja alteração das finalidades de tratamento, específico pode ser alcançado com a assinatura
deve-se informar o titular previamente para que do titular, ou o seu “ok” de forma separada, após
seja coletado um novo consentimento. E, por fim, as qualificações acima terem sido devidamente
deve ser garantido à pessoa, de forma facilitada, atendidas, sendo importante registrar todo esse
o direito de revogação de seu consentimento caminho por questões de accountability, uma vez
e de exclusão de seus dados pessoais, a não que cabe ao controlador comprovar que obteve
ser que o controlador consiga fundamentar a de forma adequada o consentimento.
continuidade do tratamento por uma das outras
hipóteses legais da LGPD, o que não significa
que seria possível fundamentar o tratamento
concomitantemente em mais de uma base legal.
_012
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Anonimização e
Pseudonimização
_013
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
A empresa pretende, a partir dos dados coletados meio simplesmente da base legal que legitimou o
de seus pacientes para a realização de exames tratamento anterior, realizar o compartilhamento
clínicos, compartilhar os dados com a indústria dos dados pessoais dos pacientes com a indústria
farmacêutica para que essa desenvolva novos farmacêutica, na medida em que tais dados
medicamentos e tratamentos de saúde. foram coletados com a finalidade do paciente
realizar os exames clínicos.15
Em respeito aos princípios da finalidade
e da adequação, descritos na Lei Geral de Ainda, de acordo com a LGPD, não está claro
Proteção de Dados (“LGPD”), todo e qualquer se mesmo com o consentimento específico16
processamento de dados pessoais deve ser do titular dos dados de saúde, seria possível
compatível com as finalidades para as quais os autorizar o compartilhamento de seus dados com
dados pessoais foram originalmente coletados. outra empresa (na qualidade de controladora, no
De acordo com o princípio da finalidade12 caso em questão), com o objetivo de obtenção
, o processamento de dados pessoais deve ser de vantagem econômica, a exceção dos casos
feito para propósitos legítimos, específicos, listados acima. Esta leitura da LGPD, portanto,
explícitos e informados ao titular, sendo determina que o compartilhamento com fins
vedada a possibilidade de processamento de obtenção de vantagem econômica somente
posterior de forma incompatível com o que poderia acontecer nos casos retro elencados,
foi informado ao titular. Já o princípio da e outras situações não poderiam se valer do
adequação13 dispõe que o processamento dos consentimento para serem viabilizadas, numa
dados pessoais deve ser compatível com as clara aplicação do princípio da precaução.
finalidades informadas ao titular e de acordo
com o contexto do processamento. Contudo, para viabilizar o negócio da empresa
e o desenvolvimento de novos medicamentos
Além disso, a LGPD restringe o compartilhamento e tratamentos pela indústria farmacêutica,
de dados de saúde com objetivo de obter vantagem é possível se valer de metodologias de
econômica, caso esse compartilhamento não anonimização, observados os critérios e
seja para (i) a prestação de serviços de saúde; mecanismos mencionados a seguir.
(ii) a prestação de assistência farmacêutica; (iii)
assistência à saúde, incluindo serviços auxiliares O artigo 12 da LGPD, que está inserido na seção
de diagnose e terapia; (iv) a portabilidade, a específica de dados pessoais sensíveis, estabelece
pedido do titular; e (v) permitir as transações expressamente que dados anonimizados não
financeiras e administrativas relacionadas serão considerados dados pessoais para os
ao serviços elencados anteriormente. 14 fins da referida Lei, salvo quando o processo de
Desta forma, a princípio, poderíamos dizer que a anonimização puder ser revertido com esforços
empresa não poderia, na forma pretendida, por razoáveis.
_014
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
fatores objetivos como (i) o custo dispendido tomada de decisão da EMA; e (iii) fins acadêmicos
para a realização do processo de anonimização; e de pesquisa para reavaliar dados clínicos.19
e (ii) o tempo necessário para reverter tal
processo; ponderando as tecnologias disponíveis A EMA desenvolveu orientações para a indústria
no momento.17 para a publicação de relatórios clínicos, que
devem ser obrigatoriamente anonimizados, com
Ou seja, dados anonimizados são aqueles que técnicas especificas para dados de saúde, para
não permitem mais identificar o titular a quem impedir que pacientes e profissionais sejam
originalmente se referiam, utilizando meios identificados, a fim de cumprir a legislação
técnicos razoáveis e disponíveis na época de europeia sobre proteção de dados pessoais.20
seu tratamento. Por esse motivo, eles não são Inclusive, nessas orientações, a EMA ressalva
considerados dados pessoais para fins da lei, a complexidade envolvida na anonimização de
à exceção de quando forem utilizados para o relatórios clínicos no caso de doenças raras e
desenvolvimento de perfis comportamentais de pequenas populações, devido ao número muito
determinada pessoa natural, se identificada.18 reduzido de pessoas, o que pode levar a re-
identificação destas.
A impossibilidade de identificação do titular retira
os dados anônimos do escopo de aplicação da Portanto, observados os critérios acima
LGPD. Desta forma, quando são utilizados dados mencionados e sendo os dados efetivamente
efetivamente anonimizados, não é necessário, anonimizados, não seria necessária a
por exemplo: (i) obter consentimento do titular fundamentação do tratamento em uma base
ou se fundamentar em qualquer outra base legal legal adequada para uma finalidade específica,
que justifique seu tratamento; (ii) reter os dados tornando livre o uso dos dados por parte da
por um período limitado; e (iii) conceder os empresa para os fins desejados. Assim, seria
direitos de informação, de acesso, retificação e permitido o compartilhamento de tais dados
eliminação dos titulares; entre outras vantagens. com a indústria farmacêutica, como pretendido
pela empresa, e/ou outros stakeholders, sendo
Por exemplo, a Agência Europeia de até mesmo permitida a análise de tais dados
Medicamentos (“EMA”), que é uma agência para que sejam extraídas outras informações,
descentralizada da União Europeia como de business intelligence.
responsável pela avaliação científica,
supervisão e monitoramento da segurança dos Também não haveria a restrição à determinados
medicamentos, realiza a publicação de relatórios casos para o compartilhamento com o intuito
clínicos com dados anonimizados para (i) evitar de obter vantagem econômica, por se tratar de
a duplicação de ensaios clínicos, fomentar a dados anonimizados, o que diminuiria os riscos
inovação e incentivar o desenvolvimento de regulatórios para o desenvolvimento do produto
novos medicamentos; (ii) construir confiança
pública e confiança nos processos científicos e de
19_ https://www.ema.europa.eu/en/human-regulatory/
marketing-authorisation/clinical-data-publication
20_ https://www.ema.europa.eu/documents/regulatory-
17_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 12º,
procedural-guideline/external-guidance-implementation-
§1º.
european-medicines-agency-policy-publication-clinical-data_en-3.
18_ BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 12º, pdf
§2º.
_015
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_016
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Hipóteses legais
que permitem o
compartilhamento
de dados de saúde
_017
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
A empresa pretende, a partir dos dados obtidos No caso em questão, considerando que o
em seu aplicativo de venda de comida online, aplicativo é especializado na venda de comida
comercializar dados que permitem empresas online, é possível que os dados referentes aos
de planos e seguros de saúde inferir hábitos de hábitos de consumo do usuário, além daqueles
consumo de seus usuários, possibilitando que necessários para fazer os pedidos e realizar
estas façam a avaliação dos riscos à saúde de os pagamentos e entregas, estejam sendo
seus clientes e consequentemente a cobrança de coletados para a melhoria dos serviços e da
prêmios diferenciados. experiência do usuário na plataforma. Sendo
assim, tratamentos secundários dos dados,
Em primeiro lugar, importante ter em mente quais sejam, a comercialização destes e avaliação
que qualquer tratamento de dados pessoais dos riscos dos titulares por empresas de planos
deve ser compatível com as finalidades para e seguros de saúde, pode não ser considerado
as quais os dados pessoais foram coletados compatíveis com os fins para os quais os dados
originalmente, e conforme informado ao foram originalmente coletados.
titular dos dados, neste caso, aos usuários
do aplicativo da empresa no momento de Ainda, a LGPD autoriza o compartilhamento
sua instalação. de dados de saúde com objetivo de obter
vantagem econômica somente em determinadas
Segundo, de acordo com o princípio da situações. Com as alterações no texto legal
finalidade25, o processamento de dados pessoais trazidas pela Medida Provisória nº 869/2018, as
deve ser feito para propósitos legítimos, hipóteses de compartilhamento aumentaram.
específicos, explícitos e informados ao titular, Assim, é permitido realizar o compartilhamento
sendo vedada a possibilidade de processamento de dados de saúde entre controladores, com
posterior de forma incompatível com o que objetivo de obter vantagem econômica, nas
foi informado ao titular. Já o princípio da hipóteses relacionadas a prestação de serviços
adequação26 dispõe que o processamento dos de saúde, de assistência farmacêutica e de
dados pessoais deve ser compatível com as assistência à saúde, incluindo serviços auxiliares
finalidades informadas ao titular e de acordo de diagnose e terapia. Também será permitido
com o contexto do processamento. o compartilhamento de dados de saúde para
realizar a portabilidade dos dados quando
Além disso, importante observar que solicitada pelo titular, e para permitir as transações
possivelmente tais dados serão interpretados financeiras e administrativas relacionadas ao
como dados sensíveis, na medida em que serviços elencados anteriormente. 27
permitem inferir dados referentes à saúde do
titular, pois serão tratados para a avaliação dos Ademais, não é permitido que as operadores
riscos à saúde dos titulares. de planos privados de assistência à saúde
realizem tratamento de dados de saúde
(p. ex. processamento, compartilhamento,
26_ BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 5º, 27_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 11º,
inciso II. §4º.
_018
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
classificação, etc28) (i) realizar seleção de riscos hábitos alimentares saudáveis. Possivelmente,
na contratação de qualquer modalidade, e na haveria uma violação aos princípios gerais
(ii) contratação e exclusão de beneficiários.29 como da finalidade e adequação. Ainda, tal caso
dificilmente seria interpretado como uma das
Entretanto, os termos utilizados para descrever hipóteses que autorizam o compartilhamento
as hipóteses de compartilhamento podem ser de dados de saúde com fins de obtenção de
considerados bastante amplos. Nesse sentido, vantagem econômica. Todavia, potencialmente
portanto, é possível que Autoridade Nacional de seria possível se valer de tais dados de forma
Proteção de Dados Pessoais possa vir a regular anonimizada, visando entender os hábitos gerais
de forma mais específica determinados setores de um determinado grupo, desde que os dados
do ecossistema de saúde privada.30 Por exemplo, agrupados não sejam atribuídos a indivíduos
será que o ganho de eficiência em tratamentos, identificados.
o oferecimento ao titular de outros serviços,
ou até mesmo o ganho em custos de todo o
ecossistema podem ser consideradas finalidades
para as quais o compartilhamento de dados
esteja relacionado à prestação de serviço de
sáude? É igualmente difícil obter parâmetros e/
ou entendimentos de autoridades de proteção
de dados estrangeiras, pois esse dispositivo
existe apenas na legislação brasileira. A ANPD
terá um papel primordial na elucubração de tais
dúvidas, que antes de serem dirimidas devem ser
analisadas por meio de exercícios de colaboração
entre diferentes órgãos reguladores, como ANS,
representantes da iniciativa privada e entidades
do terceiro setor.
_019
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Direitos dos
Titulares
dos Dados:
definição e
limitações legais
Um determinado paciente realizou por 25 anos suas
consultas médicas e exames clínicos em determinado
hospital. Ao mudar de convênio de saúde, o paciente
perdeu a cobertura naquele hospital, passando a realizar
seus exames e acompanhamento médico em um outro
estabelecimento de saúde. Sabendo que a Lei Geral de
Proteção de Dados criou os direitos de portabilidade
e de exclusão dos dados pessoais, o paciente enviou
requerimento ao seu antigo hospital, solicitando a
portabilidade de seus dados para o novo e, em seguida,
que seus dados no antigo fossem excluídos. Pergunta-
se, o hospital pode manter os dados?
_020
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Ocorre que esses direitos não são absolutos. 2) estudo por órgão de pesquisa33, garantida,
Por exemplo, existem hipóteses previstas pela sempre que possível, a anonimização dos dados
LGPD em que a Empresa poderia não eliminar os pessoais;
dados32, sendo permitida a manutenção destes
para atender às seguintes finalidades: 3 ) transferência a terceiro, desde que respeitados
os requisitos de tratamento de dados dispostos
1) cumprimento de obrigação legal ou nesta Lei;
regulatória pelo controlador;
4) uso exclusivo do controlador, vedado seu
_021
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
acesso por terceiro, e desde que anonimizados em que os agentes de tratamento não precisam
os dados. cumpri-los como, por exemplo, não eliminação dos
dados em caso de necessidade de cumprimento
Aplicando os conceitos expostos acima, temos: o de obrigação legal ou regulatória, é preciso que
paciente que é o titular dos Dados requerendo as empresas do setor de saúde desenvolvam
a portabilidade e exclusão de seus dados mecanismo para garantir que os titulares possam
pessoais ao hospital antigo que, no caso, seria o exercer seus Direitos. Já existem no mercado
Controlador desses dados. algumas ferramentas como plataformas de
gerenciamento de dados, os chamados “Privacy
Quanto ao direito de portabilidade: em razão da Dashboards”. Desta forma, necessário adequar os
requisição expressa do Titular, o hospital antigo sistemas e práticas existentes aos novos padrões
precisará transferir os dados do paciente para de interoperabilidade e formas de cumprir com
o hospital novo de forma interoperável34, não os pedidos de requisição de direitos.
havendo obrigação de transferência em relação
aos dados eventualmente anonimizados35.
Cumpre pontuar que ainda não existem padrões
oficialmente definidos sobre interoperabilidade,
os quais devem ser futuramente estabelecidos
pela ANPD. Ainda, critérios de proporcionalidade
podem ser aplicados, como custo, tempo
e existência de padrões que permitam a
interoperabilidade entre os sistemas dos
diferentes controladores;
_022
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Dados de saúde
de funcionários
_023
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
A empresa pretende, a partir dos dados coletados e segurança (como PCMSO, PPRA e PPP, entre
através do smartphone coorporativo oferecido a outros), que mostram o trabalho realizado
seus funcionários, coletar dados que permitam pelo funcionário do ponto de vista de saúde
aferir se o funcionário pratica exercícios físicos e segurança do trabalho; e (iii) informações a
ou não, com a finalidade de oferecer plano de serem enviadas ao Governo, com registros sobre
saúde empresarial coletivo a seus colaboradores a folha de pagamento, horas extras, férias e
modelados aos seus hábitos. outras obrigações trabalhistas, previdenciárias e
tributárias (‘e-Social’) sobre o empregado.
Primeiramente, vale lembrar que dado de saúde
deve ser compreendido como todo dado que Adicionalmente, a jurisprudência da justiça
estiver estritamente ligado ao estado de saúde do trabalho estabeleceu algumas regras e
de uma pessoa37, ou permita inferir tal estado de diretrizes a respeito da privacidade e a proteção
forma significativa. Sendo assim, considerando de dados pessoais no ambiente de trabalho,
que os dados pretendidos pela empresa podem estabelecendo os limites do empregador no
gerar inferências sobre o estado de saúde do contexto laboral quando houver, por exemplo,
funcionário, aferindo se o funcionário pratica o monitoramento e vigilância do empregado;
ou não exercícios, tais dados podem ser a utilização de equipamentos e sistemas de
considerados sensíveis38. tecnologia da informação; o uso de sistemas de
vigilância no ambiente de trabalho; e a verificação
A legislação trabalhista brasileira, como a de antecedentes criminais.
Consolidação das Leis do Trabalho (a Lei nº
5.452/1943) e portarias emitidas pelo Ministério Com relação ao monitoramento, que é o caso
do Trabalho e Emprego, estabelece obrigações em questão, a maioria das decisões dos tribunais
específicas em relação aos dados pessoais de superiores sobre este assunto sustentam
empregados. Como se sabe, para cumprimento a posição de que os empregadores estão
do contrato de trabalho e de determinadas autorizados a monitorar o uso de sistemas de
exigências legais, algumas informações sobre equipamentos disponibilizados para funcionários,
os funcionários deverão ser obrigatoriamente sem que isso configure violação do direito à
coletadas pelo empregador, como: (i) os arquivos privacidade destes, desde que os funcionários
de registro de funcionários, que contém dados sejam informados com antecedência sobre
pessoais e profissionais relacionados a cada todas as atividades de monitoramento realizadas
empregado, onde constam informações como pelo empregador (o que pode ser feito através
nome, endereço, data e local de nascimento, de políticas e avisos internos de privacidade
estado civil, nomes dos pais, profissão, país de e segurança da informação da empresa).
nascimento, número da CTPS, do CPF, do RG, do Ainda, é necessário que o empregador faça
título de eleitor e do número do PIS, data de início tal monitoramento visando a boa prestação
do emprego, função e salário do empregado, dos serviços de seus funcionários (e não para
entre outras; (ii) relatórios atualizados de saúde aferir a prática de exercícios físicos ou não pelo
funcionário, como pretendido pela empresa),
sempre de maneira razoável e proporcional,
37_Article 29 Working Party Working Document on
para que isso não seja interpretado como abuso
the processing of personal data relating to health in do poder diretivo ou como interferência na vida
electronic health records, 15 February 2007. privada ou na intimidade dos colaboradores.
38_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Ainda nesta seara, o monitoramento deve se
Artigo 5º, inciso II.
_024
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
restringir as atividades laborais, sendo vedado uma escolha real por parte do titular dos dados
a observação de atividades da vida privada, (funcionário), se este deseja ou não concordar
como e-mail pessoal ou redes sociais, mesmo com o processamento dos seus dados e sem que
quando acessadas por meio de equipamentos haja penalidade caso o funcionário se oponha ao
corporativos, salvo em casos de evidenciadas tratamento.
suspeitas de conduta inadequada.
Dado o desequilíbrio existente na relação
Além disso, com a Lei Geral de Proteção de empregador/empregado, é pouco provável que
Dados no Brasil (“LGPD”), algumas regras o funcionário possa negar seu consentimento ao
adicionais deverão ser observadas pelas empregador para o processamento de seus dados
companhias quando forem processados os pessoais sem que o funcionário experimente o
dados pessoais de seus empregados. De acordo medo ou o risco de efeitos prejudiciais causados
com a LGPD, para coletar, processar, armazenar pela recusa. É improvável que um funcionário
e divulgar um dado pessoal de um empregado, possa responder livremente a uma solicitação de
o empregador deverá (i) observar os princípios consentimento vinda de seu empregador para,
trazidos pela LGPD39; (ii) ter uma base legal que por exemplo, ativar sistemas de monitoramento,
justifique o processamento de dados pessoais e/ como observação de câmeras em um local de
ou sensíveis de seus empregados40; e (iii) cumprir trabalho ou em seu smartphone, ou preencher
com os direitos dos titulares de dados41; dentre formulários de avaliação, sem sentir qualquer
outras obrigações. pressão.
Como dito anteriormente, os dados pretendidos Sendo assim, valer-se da base legal do
pela empresa no caso concreto são dados que consentimento para tratamento de tais dados
geram inferências sobre a saúde do empregado, sensíveis no contexto em questão pode ser
exigindo que a empresa se valha de hipóteses considerado problemático, uma vez que é
legais especificas para seu tratamento. improvável que o consentimento seja dado de
forma livre pelo funcionário.
Uma das bases legais que possibilitam o
tratamento de dados sensíveis de acordo com Como se não bastasse, a coleta de tais dados
a LGPD é o consentimento do titular (no caso, pela empresa também desafia o princípio
o funcionário), que deve ser livre, informado da necessidade, que limita o tratamento dos
e inequívoco, bem como realizado de forma dados ao mínimo necessário para a realização
específica e destacada42. No entanto, para que o de suas finalidades, com abrangência dos dados
consentimento seja livre, é necessário que exista pertinentes, proporcionais e não excessivos.
_025
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_026
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Responsabilização
dos agentes por
descumprimento da
Lei Geral de Proteção
de Dados
_027
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_028
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
44
_029
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_030
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Melhores
práticas de
proteção de
dados para
Dados de Saúde
_031
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
da medicina preventiva), será necessário obter adequadas, como às que permitem ações
um novo consentimento do Titular para essas específicas do titular dos dados para concordar
novas finalidades de forma específica. Ainda, é com determinadas finalidades, além de informes
recomendável que o consentimento seja obtido separados.
de forma granular,49 por exemplo, de forma
separada para as finalidades: de teste genético, 4) Compartilhamento: é recomendável que
de pesquisa e de envio de marketing dos outros a empresa, a menos que por autorização ou
produtos da empresa, etc. solicitação expressa do titular, não compartilhe
os dados genéticos com terceiros, em razão
3) Política de Privacidade: o documento da sensibilidade destes, sendo restringido tal
deve ser redigido de forma clara, objetiva e compartilhamento para fins de obtenção de
acessível, por exemplo, um documento escrito vantagem econômica, salvo para as hipóteses
com linguagem excessivamente técnica ou com relacionadas à prestação de serviços de saúde,
hipóteses genéricas de tratamento dificilmente de assistência farmacêutica e de assistência à
será considerado adequado. Assim, é importante saúde, incluindo serviços auxiliares de diagnose e
que a Política de Privacidade seja completa e terapia. Também é permitido o compartilhamento
apresente de forma simples as informações de dados de saúde para realizar a portabilidade
sobre o tratamento de dados pessoais realizado dos dados quando solicitada pelo titular,
pela empresa, especialmente no caso de dados e para permitir as transações financeiras
genéticos. Para tanto, é recomendável indicar e administrativas relacionadas ao serviços
de forma detalhada os dados coletados, suas elencados anteriormente50. Entretanto, não é
finalidades, a base legal utilizada de acordo com a permitido que as operadores de planos privados
categoria do dado, a forma pela qual os Titulares de assistência à saúde realizem tratamento51
poderão exercer os seus direitos, as hipóteses de dados de saúde (p. ex. processamento,
de compartilhamento dos dados, entre outros compartilhamento, classificação, etc) para
pontos. Todavia, um simples documento com realizar (i) a seleção de riscos na contratação de
a Política de Privacidade, para o caso de dados qualquer modalidade, e na (ii) a contratação e
sensíveis, como os genéticos, provavelmente exclusão de beneficiários.52
não seria considerado suficiente para legitimar
um tratamento com base no consentimento. 5) Segurança: o tratamento de dados
Outras formas de interação do indivíduo e genéticos exige um alto nível de segurança
de apresentação da informação seriam mais e confidencialidade. Assim, é recomendável
a adoção de uma política de segurança da
informação adequada (controle de acesso à
base de dados, criptografia, etc.) e programas
49_ UNIÃO EUROPEIA. Working Party 29. Opinion 02/2013 on
apps on smart devices. Disponível em corporativos de governança de proteção de
<https://www.pdpjournals.com/docs/88097.pdf>. “In some
cases users are able to give a granular
consent, where consent is sought for each type of data the app
intends to access. Such an approach
achieves two important legal requirements, firstly of adequately 50_ BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 11º,
informing the user about important §4º.
elements of the service and secondly asking for specific consent
51_ BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 5º,
for each. The alternative approach of an
X.
app developer asking its users to accept a lengthy set of terms and
conditions and/or privacy policy does 52_ BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 11º,
not constitute specific consent.” §5º.
_033
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
dados robustos.
_034
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Relatórios de
Impacto à Proteção
de Dados em
empresas de saúde
intersecção entre
GDPR e LGPD
_035
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Uma rede de hospitais particulares, com o intuito A lei brasileira, entretanto, não define claramente
de se adiantar à implementação da Lei Geral de quais são os casos em que seria obrigatório a
Proteção de Dados brasileira (LGPD), buscou se produção do análogo Relatório de Impacto à
informar sobre quais medidas deveria adotar Proteção de Dados Pessoais, indicando somente
para estar em compliance com a nova legislação. que a ANPD poderá requisitar que o responsável
Uma das preocupações centrais do hospital está pelo tratamento, o controlador, o faça.53 Os
relacionada à implementação de soluções de casos mencionados na lei sobre a requisição
Inteligência Artificial (IA) para análise automática do relatório pela ANPD são: (i) o controlador
dos prontuários médicos de seus pacientes, dos dados pessoais utiliza como base legal do
dando uma maior eficiência para diagnósticos de tratamento o legítimo interesse54; (ii) o tratamento
certas doenças. O jurídico da rede de hospitais envolve dados sensíveis55; (iii) o tratamento é
verificou que a nova lei menciona a elaboração feito por órgãos públicos56; ou para (iv) qualquer
de um “relatório de impacto à proteção de dados controlador que realize um tratamento de dados
pessoais” (Relatório) para fins de mensuração pessoais, inclusive de dados sensíveis57.
de riscos existentes no tratamento de dados
pessoais. Nesse contexto, a rede de hospitais A LGPD define que o relatório de impacto deve
busca saber se ela deve realizar tal relatório, quais conter “a descrição dos processos de tratamento
seriam os elementos que ele deveria analisar, de dados pessoais que podem gerar riscos às
e quais seriam os benefícios que a elaboração liberdades civis e aos direitos fundamentais, bem
desse relatório pode trazer à empresa. como medidas, salvaguardas e mecanismos de
mitigação de risco”. Nesse sentido, os elementos
A LGPD faz menção à elaboração de um relatório mínimos que um relatório deveria analisar são:
para avaliar o impacto de um determinado
tratamento de dados pessoais. Tal documento i) a descrição dos tipos de dados coletados;
tem como inspiração a legislação europeia de
proteção de dados (GDPR). Na Europa, o data ii) a metodologia utilizada para a coleta;
protection impact assessment (DPIA), uma espécie
de metodologia específico determinada por lei iii) as medidas de segurança da informação
do gênero Privacy Impact Assessment (PIA), busca adotadas; e
analisar como se dá o tratamento dos dados
pessoais em relação a um tipo específico de iv) análise do controlador com relação às
tratamento, para que possam ser identificados medidas, salvaguardas e mecanismos de
os possíveis riscos aos direitos do titulares, e, mitigação de risco adotados.
a partir disso, verificar quais mecanismos de
mitigação podem ser adotados. A GDPR enfatiza
que o DPIA deve ser utilizado, principalmente, 53_BRASIL. Lei nº 13.709, de 14 de agosto de 2018.
no momento anterior à aplicação de um Artigos 5º,XVII; 10, §3º; 38; e 55-J, XIII.
novo processo de tratamento de dados, e,
54_BRASIL. Lei nº 13.709, de 14 de agosto de 2018.
especialmente, se o mesmo for utilizar novas Artigo 10, §3º
tecnologias que tenham alta probabilidade de
55_BRASIL. Lei nº 13.709, de 14 de agosto de 2018.
oferecer altos riscos aos direitos e liberdades dos Artigo 38.
titulares, como possível no caso de tratamento
56_BRASIL. Lei nº 13.709, de 14 de agosto de 2018.
por meio de algoritmos de inteligência artificial. Artigo 32.
_036
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Apesar de a LGPD não esgotar os elementos agências reguladoras. Assim, neste caso, a
obrigatórios que um Relatório deve conter, empresa deveria se utilizar de seus próprios
a semelhança da GDPR, ela estabelece que a recursos e estrutura administrativa para
Autoridade Nacional de Proteção de Dados (ANPD) demonstrar estar em conformidade com as leis
deve editar regulamentos e procedimentos de proteção de dados pessoais, ao invés de ser
sobre a produção desses Relatórios.58 É apenas um alvo passivo da fiscalização estatal.
possível cogitar que haja exigências diferentes
a depender do setor econômico envolvido. Outro elemento que facilita o compliance com
Ademais, de forma semelhante à GDPR, como as leis de proteção de dados pessoais é o
os elementos mínimos exigidos na LGPD são entendimento de que é possível realizar apenas
amplos e genéricos, é possível que um Relatório um Relatório para mais de uma operação de
seja escalável, sendo possível que pequenas tratamento desde que elas sejam semelhantes,
e médias empresas os desenvolvam de forma e ofereçam riscos similares aos titulares dos
proporcional às características do tratamento dados.
por elas realizado. Esta característica acaba por
equilibrar o fardo regulatório para empresas de Independente da requisição direta da ANPD,
tamanhos diferentes. o Relatório é uma ferramenta fundamental
para que uma empresa possa implementar um
Dessa perspectiva, o Relatório serve tanto (i) processo de conformidade com a LGPD, seja
para auxiliar os agentes a adotar as medidas em relação aos tratamentos já realizados, ou
adequadas para estarem em conformidade com para desenvolver um novo serviço ou produto.
a lei, quanto (ii) para efetivamente demonstrar A elaboração de um Relatório na fase de
que tais agentes estão em conformidade. Assim, o desenvolvimento também auxilia com que o
relatório de impacto à proteção de dados serviria conceito de privacy by design seja implementado
para equilibrar tanto os interesses econômicos na prática.
das empresas, quanto para a proteção dos
direitos do titular. Outro ponto interessante de se destacar baseado
na experiência europeia, e que provavelmente
Binns, que é um pesquisador do tema, afirma também será adotado no Brasil, é que não
que o DPIA não se enquadra como uma existe uma única metodologia de produção de
ferramenta de autorregulação de uma empresa um relatório de impacto à proteção de dados
(self-regulation), mas como um instrumento de pessoais. Apesar de os objetivos das diversas
meta-regulação (meta regulation).59 Este último metodologias serem os mesmos, existem
conceito, desenvolvido por Christine Parker, vários frameworks diferentes elaborados pelas
teria como consequência exigir que as próprias Autoridades de Proteção de Dados de cada país
empresas também sejam responsáveis por europeu, por organizações privadas como a ISO,
verificar sua conformidade com a regulação e modelos desenvolvidos especificamente para
estatal, reportando suas análises internas às analisar determinados produtos e serviços (p. ex.
uso de RFID, smart grids, medicina diagnóstica,
entre outros).
58_BRASIL. Lei nº 13.709, de 14 de agosto de 2018.
Artigo 55-J, XIII. Por fim, é necessário que um Relatório seja
revisado periodicamente, principalmente
59_BINNS, Reuben. Data Protection Impact Assessments: A Meta-
Regulatory Approach. Business Horizons. International Data Privacy quando houver alterações significativas na
Law, Vol. 7(1). 2017. forma do tratamento ou modelo de negócio que
_037
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_038
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Algoritmos
de Inteligência
Artificial e a
Proteção de
Dados Pessoais
_039
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Em um primeiro momento deve-se destacar que Apesar da ausência de regulação clara, a ANVISA
o os diversos tipos de algoritmos de inteligência elaborou um guia orientativo para softwares
artificial existentes atualmente referem-se ao de saúde na Nota Técnica nº 4 de 2012. Esta
conceito de IA60 no sentido estrito (narrow AI), nota apresenta três categorias de software de
o qual pode ser definido como sistemas que saúde, sendo possível classificar um algoritmo
possuem a capacidade de detectar padrões em de IA para diagnóstico na categoria de “software
um conjunto de dados, aprender com esses produto para a saúde (medical device), por si
dados e usar esse aprendizado para atingir metas mesmo”. Esta categoria abrange produtos que
e tarefas específicas por meio de uma adaptação não precisam de um ‘hardware’ classificado
flexível.61 Assim, algoritmos de IA utilizam como “produto para a saúde” para serem
extensivas bases de dados (input) de forma a utilizados, sendo, por padrão, executados em
reconhecer padrões que não foram previamente um computador isolado. No caso de o software
estabelecidos pelos programadores, a fim de estar “embarcado” em um equipamento
obter determinados resultados (output) para específico, como uma máquina de tomografia,
problemas específicos. por exemplo, o software deve ser registrado/
cadastrado de acordo com a própria classificação
Atualmente, não existem regulações claras no do equipamento médico. O uso irregular de
Brasil sobre o uso de algoritmos de Inteligência softwares de saúde que exigem registro ou
Artificial para diagnósticos na saúde. A Agência cadastro é passível de sanções administrativas,
Nacional de Vigilância Sanitária (ANVISA) apenas como advertência, multa, cancelamento de
possui algumas normas esparsas sobre softwares autorização para funcionamento da empresa,
de saúde e os procedimentos administrativos entre outros.63 Também é importante destacar
necessários para que tais produtos possam ser que a Agenda Regulatória 2017-2020 (AR)
utilizados no país. A Agência classifica os produtos da ANVISA estabeleceu como uma de suas
médicos conforme o risco que apresentam à metas prioritárias a “regularização de software
saúde, exigindo que seja feita um cadastro ou como dispositivo médico”. Esse procedimento
registro conforme a classificação.62 De forma é importante pois a AR é a primeira etapa do
simplificada, o registro é um procedimento no processo regulatório da Agência.
qual a Agência reconhece que determinado
produto está adequado à legislação sanitária, Uma possível dificuldade regulatória no âmbito da
sendo um controle prévio à comercialização, e aprovação do uso de IAs pela ANVISA decorre do
que deve ser concedido em 90 dias. Já o cadastro fato de esses algoritmos possuírem a capacidade
refere-se a produtos isentos de registro, sendo de se desenvolverem conforme vão sendo
um procedimento mais simples que o primeiro. treinados com novos dados.64 Desse modo, uma
IA é diferente de um software padrão, pois, no
segundo, os critérios de tomada de decisão são
previamente inseridos pelos programadores, só
60_Neste texto especificamente os termos inteligência artificial,
sendo modificados caso um ser humano altere
algoritmo e software são usados de forma intercambiável.
_040
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
diretamente sua programação. Assim, é possível Os titulares afetados por IAs também possuem
que as agências reguladoras envolvidas tenham o direito de requisitar uma revisão das
que adotar metodologias de acompanhamento decisões baseadas unicamente no tratamento
periódico dos algoritmos autorizados, ou exigir automatizado de seus dados, que pode ser
que os agentes comprovem a realização de testes realizado por uma pessoa natural, conforme
frequentes que garantam o acompanhamento regulamentação da ANPD que deve considerar o
da qualidade dos softwares. porte da entidade e o volume de operações de
tratamento67. Entretanto, ainda não está definido o
A Lei Geral de Proteção de Dados Pessoais escopo do que significaria a palavra “unicamente”,
apresenta diversos dispositivos que serão assim, por exemplo, caso o diagnóstico final
aplicáveis ao uso de algoritmos de IA para seja dado pelo médico não está claro se esta
diagnósticos. Um possível ponto de atenção será participação humana descaracterizaria o termo
em como efetivar o princípio da transparência “decisões tomadas unicamente com base em
aos titulares dos dados em relação ao uso de tratamento automatizado”. É provável que
IA para tomada de decisões. A LGPD prevê o esse termo não seja interpretado de forma
direito do titular de requisitar “informações a considerar qualquer intervenção humana,
claras e adequadas a respeito dos critérios e mas apenas aquelas que tenham a capacidade
dos procedimentos utilizados para a decisão de alterar a decisão automatizada68, como no
automatizada”65, o qual foi inspirado em uma exemplo do médico.
norma semelhante do Regulamento Geral
de Proteção de Dados Europeu. Este direito Outro ponto a ser destacado é a necessidade
deverá ter relevância, pois poderá ser uma das dos desenvolvedores de IA de obterem uma
formas de fiscalizar se determinadas decisões das bases legais da LGPD para utilização de
automatizadas estão sendo afetadas por vieses dados pessoais que venham a ser utilizados
discriminatórios ilícitos ou abusivos. Contudo, para o treinamento de algoritmos. Assim, por
ainda não se sabe ao certo quais serão os limites exemplo, se um Plano de Saúde desenvolver
do que seria uma explicação adequada sobre um projeto para criar um IA de diagnóstico de
a lógica decisória, principalmente quando se câncer através do uso de tomografias de seus
considera que algoritmos de IA frequentemente pacientes, provavelmente seria necessário
apresentam um problema de caixa preta (black obter o consentimento dos mesmos para tal
box problem). Este termo refere-se a uma utilização, considerando que esta é a hipótese
característica técnica relativa à incapacidade mais segura juridicamente para tratamento de
dos programadores em explicarem como uma dados sensíveis. Caso o uso de algoritmos de IA
IA chegou a determinado resultado.66 Este possam ser necessários para adequada tutela da
problema afeta diretamente os limites de um saúde, talvez seja possível se valer dessa base
possível direito a explicação e como ele será legal, mas como exceção ao consentimento, não
efetivado na prática. como regra ou opção. Outra possiblidade seria
que esses dados fossem anonimizados de forma
65_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 20º. 67_BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Artigo 20º, § 3º.
66_KNIGHT, Will. The Dark Secret at the Heart of AI: No one really 68_UNIÃO EUROPEIA. Working Party 29. Guidelines on Automated
knows how the most advanced algorithms do what they do. That could Individual Decision-Making and Profiling for the Purposes of Regulation
be a problem. MIT Technology Review. Edição de Maio/Junho 2017. 2016/679. 2017. p. 21. Disponível em: <https://bit.ly/2R4lejM>.
Disponível em: <https://bit.ly/2otrSjZ>. Acessado em: 07/02/2019. Acessado em: 08/02/2019.
_041
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_042
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
_Conclusão
A área da saúde será uma das mais atingidas
pela Lei Geral de Proteção de Dados. Desde o
conceito de dados sensíveis, inferências, bases
legais restritas que legitimam o tratamento,
até mesmo limitações ao compartilhamento
para fins de obtenção de vantagem econômica
e o intenso uso de algoritmos de inteligência
artificial para fins de medicina preventiva e
diagnóstica, o setor passará por profundas
alterações. É necessário que os entes regulados
se preparem e se antecipem à entrada em
vigor da lei, que acontecerá em agosto de
2020, por meio de práticas de educação,
conscientização, e uso de metodologias, como
relatórios de impacto à proteção de dados,
para se adequarem corretamente, visando a
conformidade com a norma e a mitigação de
riscos aos direitos e liberdades dos titulares
dos dados.
_043
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
seu tratamento.
de Dados.
_044
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
pessoais.
tratamento.
_045
Dados de Saúde e a Lei Geral de Proteção de Dados _Estudo de Casos
Sobre
Baptista Luz
Advogados
Com mais de uma década de atuação, nossa especialidade
é apresentar soluções efetivas e ideias inovadoras para
as questões jurídicasde nossos clientes, parceiros e
empreendedores.
BRASIL
São Paulo Londrina
Rua Ramos Batista, 444 / 2° Andar Rua Ayrton Senna da Silva, 300 /
Vila Olímpia / São Paulo / SP / Brasil Sala 1801, Torre 1 / Gleba Palhano
tel +55 11 3049 7950 Londrina / PR
tel +55 43 3367 7050
Florianópolis
Rodovia SC 401, Km 4 / Saco Grande /
Florianópolis / SC
tel +55 48 3036 0294
USA
Miami
78 SW 7th Street Suite 500
Miami / FL 33130 / US
tel +1 (786) 622 2002
_046