Dados Genéticos e Proteção Jurídica

Dados genéticos representam a informação mais íntima e imutável de um indivíduo, e sua proteção jurídica tornou-se uma das fronteiras mais urgentes do Direito Digital contemporâneo.

O que são dados genéticos e por que exigem proteção especial

Quando falamos em dados genéticos, referimo-nos a informações obtidas a partir da análise de amostras biológicas (sangue, saliva, tecidos) que revelam características hereditárias, predisposições a doenças, ancestralidade e traços biológicos únicos de cada pessoa. Diferentemente de um endereço de e-mail ou número de telefone, o dado genético é permanente: não pode ser alterado, substituído ou “resetado”. Essa imutabilidade confere a ele um grau de sensibilidade sem paralelo no universo da proteção de dados pessoais.

Analisamos que o avanço exponencial dos testes genéticos diretos ao consumidor, das pesquisas em biotecnologia e do uso de bancos de DNA por órgãos públicos e privados ampliou drasticamente a coleta desse tipo de informação. Empresas de saúde, seguradoras, laboratórios de ancestralidade, plataformas de fertilização assistida e até aplicativos de bem-estar passaram a processar dados genéticos em larga escala, muitas vezes sem que os titulares compreendam plenamente as implicações desse compartilhamento.

O caráter sensível dos dados genéticos decorre de múltiplos fatores. Primeiro, eles não dizem respeito apenas ao indivíduo que forneceu a amostra, mas também a seus familiares consanguíneos, criando um efeito de exposição coletiva involuntária. Segundo, a combinação de informações genéticas com outros bancos de dados (saúde, comportamento, localização) permite a construção de perfis extremamente detalhados, com potencial discriminatório significativo. Terceiro, vazamentos de dados genéticos são irreversíveis: uma vez expostos, não há como desfazer o dano.

O enquadramento jurídico no Brasil: LGPD e dados genéticos

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) classifica os dados genéticos como dados pessoais sensíveis, categoria que recebe o mais alto nível de proteção normativa. O artigo 5º, inciso II, da LGPD lista expressamente o “dado genético” ao lado de dados sobre origem racial, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde, vida sexual e dados biométricos. Essa classificação não é meramente formal: ela impõe obrigações substancialmente mais rigorosas aos agentes de tratamento.

Verificamos que o tratamento de dados genéticos, nos termos do artigo 11 da LGPD, somente pode ocorrer em hipóteses taxativas. A principal delas é o consentimento do titular, que deve ser fornecido de forma específica, destacada e para finalidades determinadas. Diferentemente do consentimento genérico aceito para dados comuns, aqui exige-se que o titular seja informado com clareza sobre quais dados genéticos serão coletados, para qual propósito exato, por quanto tempo serão armazenados e com quem poderão ser compartilhados.

Além do consentimento, a LGPD admite o tratamento de dados sensíveis sem consentimento em situações específicas: cumprimento de obrigação legal pelo controlador, tratamento compartilhado de dados necessários à execução de políticas públicas, realização de estudos por órgão de pesquisa (com anonimização sempre que possível), exercício regular de direitos em processo judicial, proteção da vida ou da incolumidade física do titular ou de terceiro, e tutela da saúde por profissionais da área ou por entidades sanitárias. Cada uma dessas hipóteses demanda análise cuidadosa para verificar se a base legal é efetivamente aplicável ao caso concreto.

Um aspecto que merece atenção especial é a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD). A Autoridade Nacional de Proteção de Dados (ANPD) pode exigir esse relatório sempre que o tratamento de dados genéticos representar risco elevado aos direitos dos titulares. Na prática, organizações que processam dados genéticos em escala significativa devem manter esse relatório atualizado como medida preventiva, documentando riscos identificados, medidas de mitigação e salvaguardas implementadas.

O dado genético é a única informação pessoal verdadeiramente imutável: protegê-lo não é apenas uma obrigação legal, mas um imperativo ético que alcança gerações inteiras.

Due diligence em dados genéticos: verificação e conformidade

O processo de due diligence aplicado a dados genéticos envolve uma análise sistemática e aprofundada das práticas de coleta, armazenamento, tratamento e compartilhamento dessas informações por uma organização. Esse procedimento é especialmente relevante em operações de fusão e aquisição envolvendo empresas de biotecnologia, laboratórios de análises clínicas, seguradoras de saúde e startups de genômica, mas aplica-se igualmente a qualquer entidade que processe dados genéticos de forma regular.

Na condução dessa análise, verificamos inicialmente o inventário de dados: quais tipos de dados genéticos são coletados, de quantos titulares, em quais sistemas são armazenados e quais fluxos de compartilhamento existem (internos e externos). A ausência de um inventário completo e atualizado é, por si só, um indicativo de risco significativo de não conformidade. Em seguida, avaliamos as bases legais utilizadas para cada finalidade de tratamento. É comum encontrarmos organizações que se apoiam em termos de consentimento genéricos, insuficientes para dados sensíveis nos termos da LGPD.

A segurança da informação constitui outro pilar fundamental da due diligence em dados genéticos. Consideramos essencial a verificação de medidas técnicas como criptografia em repouso e em trânsito, controles de acesso baseados em função (RBAC), pseudonimização ou anonimização quando viável, registros de auditoria (logs) para rastreabilidade de acessos e políticas de retenção com prazos definidos e procedimentos de descarte seguro. A ausência ou fragilidade dessas medidas pode configurar violação ao artigo 46 da LGPD, que impõe aos agentes de tratamento a adoção de medidas de segurança aptas a proteger os dados pessoais.

Observamos também que a due diligence deve examinar contratos com terceiros que recebem ou processam dados genéticos (operadores, nos termos da LGPD). Esses contratos devem conter cláusulas específicas sobre finalidade do tratamento, medidas de segurança, obrigações de confidencialidade, procedimentos em caso de incidentes e condições para subcontratação. A transferência internacional de dados genéticos adiciona uma camada extra de complexidade, exigindo verificação das garantias previstas nos artigos 33 a 36 da LGPD.

Riscos práticos e cenários de vulnerabilidade

A experiência em due diligence de dados revela cenários recorrentes de vulnerabilidade que merecem atenção. O primeiro deles é a discriminação genética: o uso de informações genéticas para negar cobertura de seguros, recusar contratação trabalhista ou aplicar precificação diferenciada em serviços de saúde. Embora a Constituição Federal proíba qualquer forma de discriminação e a LGPD restrinja o uso de dados sensíveis para fins discriminatórios (artigo 11, §1º), a fiscalização desse tipo de prática ainda enfrenta desafios consideráveis.

Outro cenário preocupante é o compartilhamento secundário de dados genéticos. Analisamos situações em que titulares fornecem amostras para um teste de ancestralidade e, nos termos de uso (frequentemente extensos e de difícil compreensão), autorizam o compartilhamento com parceiros de pesquisa, empresas farmacêuticas ou bancos de dados internacionais. A granularidade do consentimento torna-se crucial nesse contexto: o titular deve poder escolher, de forma separada e independente, cada finalidade de uso.

Identificamos ainda riscos associados à reidentificação de dados supostamente anonimizados. Estudos científicos demonstram que dados genéticos, mesmo quando parcialmente anonimizados, podem ser cruzados com bancos de dados públicos (como registros genealógicos) para identificar indivíduos específicos. Essa possibilidade coloca em xeque a eficácia da anonimização como medida de proteção e reforça a necessidade de técnicas robustas de privacidade diferencial e avaliações periódicas do risco de reidentificação.

No âmbito das relações de trabalho, a coleta de dados genéticos por empregadores levanta questões éticas e jurídicas profundas. A utilização de testes genéticos como critério para admissão, promoção ou demissão pode configurar discriminação vedada pela legislação trabalhista e constitucional, além de violar frontalmente os princípios da LGPD de finalidade, adequação e necessidade.

Boas práticas e recomendações para organizações

Com base na análise do cenário normativo e dos riscos identificados, reunimos um conjunto de recomendações práticas para organizações que tratam dados genéticos. A primeira e mais fundamental é a adoção do princípio da minimização: coletar apenas os dados genéticos estritamente necessários para a finalidade declarada, evitando o acúmulo de informações “para uso futuro” sem base legal definida.

Recomendamos também a implementação de um programa de governança específico para dados genéticos, que inclua políticas internas claras, treinamento periódico das equipes que acessam esses dados, nomeação de um encarregado (DPO) com conhecimento em bioética e proteção de dados, e canais efetivos para que titulares exerçam seus direitos (acesso, correção, eliminação, portabilidade e revogação do consentimento).

A transparência com os titulares deve ser prioridade absoluta. Termos de consentimento para dados genéticos precisam ser redigidos em linguagem acessível, com explicações claras sobre os riscos envolvidos, incluindo o potencial impacto sobre familiares. Consideramos uma boa prática a adoção de modelos de consentimento dinâmico, que permitam ao titular revisar e modificar suas escolhas ao longo do tempo, especialmente quando surgirem novas finalidades de tratamento.

Por fim, destacamos a importância de manter-se atualizado quanto às regulamentações específicas que vêm sendo desenvolvidas. A ANPD tem avançado na elaboração de orientações setoriais, e projetos de lei em tramitação no Congresso Nacional buscam estabelecer marcos regulatórios mais detalhados para dados genéticos. Organizações que se antecipam a essas regulamentações, adotando padrões elevados de proteção desde já, posicionam-se de forma mais segura e competitiva no mercado.

Perguntas Frequentes

Dados genéticos podem ser usados por seguradoras para negar cobertura?

A LGPD classifica dados genéticos como sensíveis e proíbe seu uso para práticas discriminatórias ilícitas ou abusivas (artigo 11, §1º). Na prática, a utilização de informações genéticas para negar, restringir ou encarecer cobertura de seguros configura discriminação vedada tanto pela legislação de proteção de dados quanto pelo Código de Defesa do Consumidor, podendo gerar responsabilização civil e administrativa da seguradora.

É possível revogar o consentimento dado para uso de dados genéticos?

Sim, o titular tem o direito de revogar o consentimento a qualquer momento, conforme previsto no artigo 8º, §5º, da LGPD. A revogação deve ser gratuita e facilitada, e a organização deve interromper o tratamento dos dados genéticos para as finalidades que dependiam exclusivamente do consentimento. É importante ressaltar que a revogação não afeta a licitude do tratamento realizado anteriormente com base no consentimento válido.

Que cuidados tomar antes de realizar um teste genético direto ao consumidor?

Antes de realizar qualquer teste genético, recomendamos a leitura atenta da política de privacidade e dos termos de uso da empresa, verificando especialmente quais dados serão coletados, com quem poderão ser compartilhados, por quanto tempo serão armazenados e se existe a opção de solicitar a eliminação posterior. Também é aconselhável verificar se a empresa permite consentimento granular (escolher separadamente cada finalidade de uso) e se possui certificações de segurança da informação reconhecidas.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.