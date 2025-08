Em 2017, durante uma visita ao Rio de Janeiro, encontrei um visor "view-master" autônomo em um mercado de pulgas. Esses aparelhos são feitos para exibir uma pequena imagem que aparece ao se olhar por uma lente. O que eu peguei mostrava uma pessoa em pé ao lado de um console de televisão, daqueles que parecem móveis antigos. Como as televisões começaram a se popularizar no Brasil na década de 1950, e o modelo da imagem parece ter sido vendido entre 1950 e 1970, acredito que a foto no view-master tenha sido tirada por volta dessa época.

Usei a câmera do celular para fazer um registro melhor da imagem, o que me permitiu tirar algumas conclusões sobre a idade e a posição social da pessoa. Como jornalista com acesso à tecnologia atual, confiei que seria capaz de identificá-la. Porém, fazer esse tipo de investigação apenas para ilustrar este texto e falar sobre a importância dos nossos dados seria um gesto quase invasivo.

Meu entusiasmo não deve ser confundido com descaso. Valorizo muito o jornalismo investigativo e, em outras circunstâncias, me dedicaria a isso com prazer. Mas como essa história está aqui apenas para ilustrar uma reflexão sobre privacidade, prefiro que você confie no seu próprio julgamento e avalie minhas percepções com atenção.

Não posso afirmar com certeza, mas aposto que a pessoa na foto não pensava em questões de privacidade quando aquela imagem foi tirada. É difícil imaginar que ela tenha considerado a possibilidade de que esse pequeno aparelho, com seu retrato, chegaria até a casa de um jornalista em Berlim, na Alemanha, no ano de 2024, muito menos que faria parte de um artigo sobre dados digitais de saúde.

Será que o vendedor desse aparelho chegou a obter o consentimento da pessoa retratada para comercializar a imagem? Agora que paguei pelo view-master, tenho algum direito sobre essa fotografia? Será que de fato compreendemos o valor dos dados que produzimos sobre nós mesmos hoje e o que eles poderão significar no futuro?

A pessoa na foto acharia que sua imagem seria usada para ilustrar um artigo em 2025? / © nextpit

Essas perguntas continuam rondando meus pensamentos desde que comprei aquele dispositivo. Agora que venho me dedicando à análise de tecnologias vestíveis, como smartwatches, cintas peitorais e até mesmo esteiras da Peloton, fico me perguntando se estamos realmente prontos para compartilhar com as empresas as informações mais valiosas que temos: nossos dados de saúde.

Preciso dizer que não sou especialista em privacidade ou segurança. Por isso, entrei em contato com pessoas da minha rede que trabalham diretamente no setor de saúde e bem-estar, e assim consegui reunir algumas ideias importantes. Também não tenho a intenção de ensinar ninguém sobre a importância de proteger dados pessoais. Para ser sincera, quanto mais estudo o assunto, mais percebo o quanto ele é complexo.

Mesmo assim, acredito que vale muito a pena entender as informações que geramos sobre nós mesmos e de que forma elas podem ser usadas tanto a nosso favor quanto contra nós. Por isso, quero dividir algumas boas práticas que podem te ajudar a proteger seus dados de saúde, ao mesmo tempo em que aproveita essas informações para gerar métricas úteis sobre o próprio corpo.

Para levantar essa discussão sobre privacidade e segurança dos dados de saúde, fiz uma pergunta simples a dois especialistas: "se pudessem dar apenas um conselho sobre como proteger esse tipo de dado, qual seria"? Conversei com Martha Dörfler, desenvolvedora e mantenedora do Drip Collective, com sede em Berlim, que prioriza a privacidade no aplicativo de rastreamento de ciclo menstrual Drip, de código aberto. Também falei com Vincent Chartier, engenheiro de segurança cibernética da Withings, uma empresa que confio bastante quando o assunto são os meus dados pessoais.

Dica nº 1: Não caia no modelo "pegar ou largar"

Talvez você já tenha notado, mas muitas empresas tentam transferir para os usuários a responsabilidade sobre os próprios dados. No entanto, hoje em dia, a maioria das legislações de privacidade está do lado das pessoas.

Boa parte do nosso público, por exemplo, está nos Estados Unidos e na União Europeia, dois mercados em que a privacidade, principalmente na área da saúde, é tratada com seriedade. Nos EUA, os dados de saúde são protegidos pela HIPAA (Health Insurance Portability and Accountability Act). Já na UE, esse papel é da GDPR (General Data Protection Regulation).

Além disso, empresas que atendem cidadãos desses países precisam seguir as leis locais, mesmo quando operam internacionalmente. Isso significa que pessoas de regiões como América Latina, Índia ou China também podem acabar se beneficiando dessas mesmas proteções.

O ponto principal é o seguinte: você não precisa aceitar qualquer condição que pareça abusiva apenas para usar um serviço. Esqueça a ideia de que precisa "pegar ou largar". É seu direito proteger os próprios dados. Reclame, denuncie, pressione por mudanças. Seus direitos só existem de fato quando são exercidos.

Mas por onde começar? Um bom ponto de partida, no meu caso, foi conhecer o trabalho da organização None of Your Business (NOYB), criada por Max Schrems. A NOYB atua para garantir que as empresas cumpram as regras de proteção de dados pessoais online. Eles usam estratégias bem elaboradas e trabalham em parceria com outros grupos para fortalecer a privacidade, principalmente na Europa.

Nos Estados Unidos, não existe uma organização com o mesmo perfil e visibilidade da NOYB, mas outras entidades cumprem funções parecidas. É o caso da Electronic Frontier Foundation (EFF) e da American Civil Liberties Union (ACLU). Ambas defendem os direitos à privacidade e atuam legalmente para garantir que esses direitos sejam respeitados.

A autovigilância ganhou um novo significado: os dispositivos vestíveis já estão tecendo uma rede detalhada de dados sobre a nossa saúde, registrando cada batimento cardíaco, passo e respiração para construir uma narrativa profundamente pessoal sobre a nossa rotina de bem-estar. / © Zetha_Work / Adobe Stock

Dica nº 2: não tenha preguiça; leia a política de privacidade

Segundo Vincent Chartier, especialista em segurança cibernética da Withings, a coisa mais importante que você pode fazer é ler a política de privacidade de um serviço antes de começar a usá-lo.

Se você achar a política de privacidade muito complexa de entender, isso deve levantar preocupações sobre as práticas de privacidade da empresa.

Sim, o ideal é ler a política inteira. Mas Vincent destacou algumas perguntas-chave que ajudam a identificar possíveis riscos e a entender melhor como seus dados são tratados. Essas perguntas funcionam como um guia para onde prestar mais atenção, e separei elas para você anotar:

Como a empresa coleta e compartilha seus dados? Para qual finalidade? Quem, de fato, hospeda os dados?

Para deixar isso mais claro, vou mostrar dois exemplos que explicam melhor como esses pontos funcionam na prática.

Exemplo 1: entendendo o consentimento

Meta e seu modelo de negócios: Recentemente, a Meta passou a adotar o sistema Pay or Okay na União Europeia, como forma de, supostamente, cumprir as exigências do GDPR. Na prática, isso significa que agora a empresa oferece uma escolha aos usuários: permitir o uso de seus dados para fins comerciais ou pagar para manter essas informações privadas. Essa nova abordagem pode transformar completamente a maneira em que lidamos com a privacidade online, levantando dúvidas sobre o quão justa essa proposta realmente é. A decisão da Meta pode abrir caminho para que outras empresas transformem a privacidade em um serviço pago.

Agora, está ainda mais claro que a Meta está distorcendo o conceito de consentimento. Segundo Vincent, entender o que significa consentir é essencial para navegar pelas questões de privacidade e proteção de dados:

O consentimento só pode existir quando não é ambíguo. Você pode concedê-lo livremente, o que significa que sabe exatamente o que está por trás desse consentimento, que processo está por trás desse consentimento.

Mudando o foco para os dados de saúde: conforme os registros médicos ficam cada dia mais digitalizados, os dispositivos vestíveis se tornam mais comuns e aplicativos de saúde e bem-estar se integram ao nosso dia a dia, a segurança das nossas informações de saúde passa a ser uma das maiores preocupações atuais. Segundo o relatório Data Age, da IDC, cerca de 30% de todo o volume de dados do mundo vem do setor de saúde, e esse número cresce 36% ao ano.

Essa mudança em direção aos registros digitais, sem dúvida, deixou o acesso aos serviços de saúde mais prático e eficiente. Hoje, já é possível monitorar métricas de saúde em tempo real, acessar prontuários médicos de qualquer lugar e se comunicar melhor com médicos e especialistas. No meu caso, por exemplo, consigo exportar o histórico do meu ciclo menstrual diretamente no app Saúde do iPhone em formato PDF e levar ao ginecologista, que consegue analisar os dados em poucos segundos.

Mas toda essa praticidade também traz uma enorme responsabilidade. Empresas de tecnologia, prestadores de serviços de saúde e pacientes precisam estar comprometidos com a proteção dessas informações sensíveis. Os dados de saúde são extremamente pessoais, com detalhes que muitas vezes não dividimos nem com quem está próximo. Se caírem nas mãos erradas, podem resultar em invasão de privacidade, roubo de identidade ou até discriminação no trabalho e em contratos de seguro.

É por isso que o consentimento fica ainda mais importante nesse contexto. Nossas informações só devem ser compartilhadas e utilizadas quando damos permissão de forma clara e direta.

Na era digital, o consentimento virou um dos pilares da privacidade e da proteção de dados. Dentro do GDPR, ele não é apenas uma formalidade burocrática. É uma ferramenta legal que devolve ao indivíduo o controle sobre seus próprios dados.

Withings ScanWatch 2 é um verdadeiro exemplo de inovação, com capacidade para identificar sinais precoces de doenças. É possível aproveitar esse gadget de última geração sem abrir mão da privacidade, mostrando que o monitoramento avançado da saúde pode coexistir com a proteção dos dados pessoais. / © nextpit

O consentimento precisa ser fornecido de forma livre, específica, informada e sem deixar dúvidas. Isso significa que a pessoa deve aceitar ativamente que seus dados sejam processados. A intenção é eliminar qualquer ambiguidade, garantindo que o consentimento seja uma ação clara e afirmativa, que não pode ser presumida a partir do silêncio, de caixas pré-marcadas ou da simples inatividade.

Além disso, o GDPR reforça que o consentimento pode ser retirado com a mesma facilidade que foi dado. Isso mostra que ele não é algo fixo ou definitivo, mas uma escolha contínua, que pode ser revista a qualquer momento.

Essa abordagem coloca mais controle nas mãos do usuário, transformando o ato de consentir em uma decisão real. Ao mesmo tempo, obriga as empresas a adotarem práticas mais transparentes e fáceis de entender, representando um avanço importante na proteção de dados e na privacidade digital.

Na prática, isso quer dizer que uma empresa não pode simplesmente esconder várias permissões dentro de um parágrafo longo e confuso, que mal explica por que os dados estão sendo coletados, compartilhados ou armazenados. As informações precisam ser apresentadas de forma clara, com opções simples e objetivas, permitindo que você responda com um "sim" ou "não" direto.

Mesmo assim, como alerta Vincent Chartier, é justamente nesse ponto que muitas empresas acabam esticando os limites. Para evitar problemas no futuro, ele recomenda investigar o histórico da companhia e entender qual é o chamado "interesse legítimo" por trás da coleta de dados. No caso da Meta, por exemplo, esse interesse está no seu modelo de negócios, baseado em publicidade.

Há várias bases legais aplicáveis aos dados pessoais. O interesse legítimo representa outra base legal que permite que as empresas processem dados sem obter consentimento. É um caminho desafiador porque, de alguma forma, contorna a necessidade de consentimento. Infelizmente, as empresas costumam explorar isso porque preveem pouca ou nenhuma resistência das autoridades regulatórias, dado o grande número de empresas envolvidas. Portanto, para proteger sua privacidade, é fundamental compreender e lidar habilmente com questões como o uso indevido de interesse legítimo. Por exemplo, parece bastante injusto que as empresas compartilhem meus dados com base em interesses legítimos.

Exemplo 2: entender onde o conteúdo está sendo processado

Considere as regras que se aplicam aos seus dados: você pode estar usando um serviço de uma empresa alemã, mas os dados podem estar sendo armazenados por uma empresa dos Estados Unidos, como a AWS, principal provedora de nuvem da Amazon. Nesse caso, quem está realmente hospedando seus dados?

O armazenamento em nuvem vive seu auge. Para se ter uma ideia, o relatório Data Age, da IDC, prevê que em 2025 cerca de 49% de todos os dados armazenados no mundo estarão em ambientes de nuvem pública, como Google Cloud Platform, Amazon Web Services ou Microsoft Azure.

Vincent explica que, no fundo, computação em nuvem significa executar programas no computador de outra pessoa. Isso, por si só, já levanta questões sobre controle e segurança. Por esse motivo, existe uma preocupação crescente sobre o quanto esses serviços estão, de fato, em conformidade com as regulamentações.

Como destaca o especialista em segurança da Withings, o domínio das empresas americanas no setor de nuvem levanta dúvidas legais e de privacidade. Leis como o Cloud Act, dos EUA, permitem que autoridades americanas tenham acesso a dados armazenados por essas empresas, mesmo que os servidores estejam em outros países. Isso entra em conflito direto com os princípios de proteção de dados definidos pelo GDPR.

Diante disso, como navegar com segurança nesse cenário, principalmente no que diz respeito aos seus dados de saúde?

Quando se trata de proteger informações de saúde, a tecnologia tem um papel essencial. Ela ajuda a evitar acessos não autorizados, vazamentos e ataques cibernéticos. E aqui entra um conceito-chave: o processamento no dispositivo.

Ao processar dados sensíveis diretamente do próprio dispositivo, o Apple Watch Series 9 é um bom exemplo de tecnologia de ponta que fortalece a privacidade do usuário, reduzindo a necessidade de enviar informações pessoais para redes externas ou serviços de nuvem. / © nextpit

Quando falamos que os dados de saúde são processados no dispositivo, isso significa que todo o processo, desde a coleta até a análise das informações, acontece diretamente no seu smartphone ou smartwatch. Então, em vez de serem enviados para servidores distantes ou para a nuvem, os dados permanecem no próprio aparelho, o que oferece uma vantagem importante em termos de privacidade e segurança, já que as informações continuam sob seu controle e com menos risco de vazamentos ou uso indevido.

Além de proteger a privacidade, o processamento local também pode deixar os aplicativos mais rápidos e eficientes. Isso é bastante útil, principalmente, em apps que dependem de dados de saúde em tempo real. Mesmo quando não há uma boa conexão com a internet, esses aplicativos continuam funcionando normalmente.

Outra vantagem é a economia de bateria, já que os dados não precisam ser transmitidos constantemente pela rede. Por outro lado, esse tipo de processamento exige que o dispositivo tenha mais capacidade, o que pode ser um desafio em modelos menos potentes.

No fim das contas, basicamente, a segurança dos dados é essencial. Sem ela, a privacidade do usuário fica comprometida.

Dica nº 3: esteja ciente das leis de sua região

No desenvolvimento de um aplicativo de ciclo menstrual, Martha Dörfler destaca a importância de entender o conteúdo que você mesmo produz sobre sua saúde e, mais ainda, de compreender como essas informações podem ser usadas por empresas e instituições públicas. Para ela, o ponto central na proteção dos seus dados de saúde é se informar bem sobre as leis que se aplicam na sua região.

Isso depende muito do modelo de ameaça da pessoa. Por exemplo, se você reside em um país onde o aborto é altamente ilegal, precisa considerar diferentes alternativas para coletar e armazenar dados sobre si mesmos.

Como podemos perceber, as implicações vão além das leis de privacidade. Produzir conteúdo relacionado à sua saúde pode, em alguns contextos, ser interpretado como violação de leis mais sérias. Essa preocupação não se limita apenas ao aborto, que é permitido em alguns estados dos Estados Unidos, mas proibido em outros. Também se aplica ao uso de substâncias ilegais em contextos ligados à saúde ou ao desempenho físico, por exemplo.

Exemplo 3: coletar dados significa criar fatos

Polícia testando mulheres em busca de drogas abortivas: em 2023, o canal Tortoise Media revelou que a polícia britânica estava investigando o uso de medicamentos abortivos por mulheres e, em alguns casos, solicitando dados de aplicativos de rastreamento de menstruação após abortos espontâneos considerados suspeitos. Isso mostra que, dependendo do país em que você vive, até mesmo um gesto simples como registrar seu ciclo menstrual pode ser usado contra você.

Usar a tecnologia para acompanhar o ciclo menstrual exige um equilíbrio delicado. É preciso aproveitar os benefícios desses recursos sem abrir mão da privacidade e da segurança, principalmente quando se trata de um dos aspectos mais pessoais dos dados de saúde. / © nextpit

Como mencionamos no início, as normas de privacidade variam bastante entre a Europa e os Estados Unidos. Na Europa, há uma desconfiança maior em relação às empresas, e nos Estados Unidos, a principal preocupação costuma ser a interferência do governo na privacidade dos cidadãos. Por isso, como destaca Martha, o que você compartilha também deve ser avaliado levando em conta a cultura da qual faz parte e a região onde está.

Nos Estados Unidos, a HIPAA é a base da legislação voltada à segurança de dados de saúde. Ela estabelece padrões rigorosos de privacidade e proteção para as chamadas informações de saúde protegidas, ou PHI. Essa lei afeta diretamente prestadores de serviços médicos, empresas de tecnologia como Apple e Google, e também os próprios usuários. Qualquer entidade que lide com PHI precisa estar em conformidade com a HIPAA, incluindo em áreas como registros médicos e dados de faturamento.

Para empresas de tecnologia que estão entrando no setor de saúde com o uso de dispositivos vestíveis, aplicativos ou soluções de gerenciamento de dados, seguir as exigências da HIPAA é essencial. Isso significa proteger a privacidade do usuário e garantir a confidencialidade, integridade e disponibilidade dessas informações em todas as etapas do processo.

A Apple, por exemplo, tem investido fortemente em saúde com o app Saúde, o Apple Watch e outros produtos e serviços. O mesmo acontece com o Google, que desenvolveu o Health Connect, o Google Pixel Watch e o Fitbit. Todos esses recursos são criados com foco em segurança e privacidade, sempre reforçando o compromisso das empresas com a proteção do usuário, o que está alinhado com os princípios da HIPAA.

Sempre que produtos ou serviços da Apple ou do Google lidam com PHI, eles devem garantir conformidade com a HIPAA para evitar vazamentos e acessos não autorizados. No caso de cidadãos europeus, a obrigação é parecida, mas o que se aplica é o GDPR.

E se você não estiver coberto pela HIPAA ou pelo GDPR? Nesse caso, uma boa forma de entender como seus dados são tratados na sua região é consultando a Biblioteca de Privacidade da Morrison Foerster. Essa ferramenta abrangente oferece acesso a legislações, normas, relatórios, acordos multilaterais e informações sobre autoridades governamentais de mais de 150 países ao redor do mundo.

Por que devo me preocupar?

De acordo com a lei de privacidade do local onde moro, que segue o GDPR, não existe uma hierarquia entre os tipos de dados de saúde. Mesmo assim, a proteção dessas informações é tratada com extrema seriedade devido à sua natureza altamente pessoal. Afinal, a União Europeia criou essas regras para garantir a proteção dos detalhes mais íntimos da nossa vida.

À medida que começo a levar a saúde digital mais a sério, tanto na vida pessoal quanto profissional, minha preocupação com a quantidade de dados que produzo sobre mim mesma, e a ideia de que outras pessoas façam o mesmo, atingiu um ponto que me motivou a escrever este artigo.

Quero ter acesso e entender minhas informações de saúde para tomar decisões melhores, mas também desejo manter esses dados privados. Não quero que eles sejam usados para anúncios, segmentação de produtos, treinamento de inteligência artificial, como modelos de linguagem, nem que fiquem vulneráveis a ataques cibernéticos. Esses são meus direitos, e acredito que deveriam ser os seus também.

A boa notícia é que a maioria das empresas do setor de saúde e bem-estar, principalmente as que mencionamos por aqui, entende a importância da proteção de dados e segue as normas regulatórias. Quando falham, organizações de privacidade responsabilizam essas empresas.

O Drip, por exemplo, é um aplicativo de código aberto que tem a privacidade como princípio fundamental, como fica claro em sua política de privacidade. Empresas como a Withings escolhem seus parceiros com cuidado para garantir que o processamento dos dados esteja em conformidade com as leis europeias.

Nos Estados Unidos, companhias como a Apple focam no processamento dos dados diretamente no dispositivo, uma prática também adotada pelo Google, ainda que o modelo de negócios deste último seja mais complexo. Marcas como a Amazfit também processam dados no aparelho e, na Alemanha, onde moro, mantém seus servidores localizados no país para aumentar a proteção da privacidade.

Por fim, a proteção dos nossos dados de saúde contra usos indevidos começa pela compreensão do valor dessas informações e pela escolha consciente de com quem compartilhá-las. É fundamental cobrar responsabilidade das empresas pelo uso dos nossos dados. Se não fizermos isso, nossas informações podem se perder no vasto mercado global de dados, algo que ninguém quer e que lembra o que poderia acontecer com algo aparentemente inocente, como a compra de um View-Master.

O artigo foi publicado originalmente em 10 de abril de 2024.