Reportagens recentes dos periódicos Wall Street Journal e The Guardian noticiam uma pesquisa iniciada há 10 anos na Duke University, dos Estados Unidos, sobre a coleta de dados pessoais por vasos sanitários inteligentes (smart toilets) (leia a reportagem do WSJ aqui, do The Guardian aqui e o site do smart toilet na Duke University aqui).
O objetivo principal da pesquisa é o de realizar o monitoramento constante da saúde do usuário e prevenir problemas e doenças, a partir da análise de resíduos corporais (isto é, urina e fezes) com o uso de inteligência artificial.
De modo mais específico, busca-se prevenir a ocorrência de diversas doenças crônicas, auxiliar no tratamento e até mesmo sugerir alterações na alimentação.
Pesquisas e produtos semelhantes também estão sendo desenvolvidos na China e na Stanford School of Medicine, dos Estados Unidos, em parceria com uma fabricante de vasos sanitários da Coreia do Sul. Essas últimas pretendem fabricar protótipos de vasos sanitários inteligentes com um scanner que reconhece as características físicas específicas do usuário.
Ao lado das vantagens pretendidas com o smart toilet, é preciso levar em conta o que é feito com esses dados, se eles poderão ser compartilhados, por quanto tempo serão armazenados e para que finalidade serão efetivamente utilizados?
Por exemplo, os dados podem ser usados para comprovar o uso de drogas ou de medicamentos de uso restrito, ou para encaminhar propagandas de acordo com as preferências alimentares do usuário?
É necessária essa invasão constante de privacidade para evitar ou tratar doenças e que riscos pode levar ao titular dos dados?
No Brasil, a LGPD contém regras de proteção de dados incidentes sobre a pesquisa e a inovação, principalmente com a adoção das boas práticas (art. 50 da LGPD), que, na segurança da informação, são aquelas relacionadas à privacy by design (privacidade desde a concepção do produto ou serviço – § 2º do art. 46 da LGPD), à privacy by redesign (privacidade durante a execução) e à privacy by default (privacidade como padrão).
Por isso, o tratamento dos dados pessoais deve se limitar ao que for indispensável e pelo tempo necessário para que se cumpra a finalidade, com a busca desse equilíbrio de seguir as normas legais e as boas práticas (e de modo que não se transforme em uma barreira para a inovação, as pesquisas, o desenvolvimento econômico, a livre iniciativa e a livre concorrência).
Além disso, a coleta e a realização de outras atividades de tratamento de dados da saúde devem observar que, por se tratar de dados pessoais sensíveis, o tratamento deve ser realizado, preferencialmente, com base no consentimento (art. 11, I, da LGPD). Por se tratar de um produto que será utilizado e poderá– ou não – ser invasivo de acordo com o interesse do comprador, é imprescindível que esse consentimento seja devidamente informado e que os consumidores titulares de dados pessoais tenham ciência plena de quais atividades de tratamento serão realizadas com os seus dados pessoais, por quanto tempo, e com quem eles serão eventualmente compartilhados.
