Dados de saúde, privacidade e consentimento: a autonomia que se perde quando os dados começam a circular

A discussão contemporânea sobre dados de saúde começa quase sempre no lugar certo: a privacidade. Mas termina, muitas vezes, no lugar errado: a autorização formal. O problema já não é apenas saber se o paciente assinou, clicou ou consentiu. O problema é saber se continua a existir uma relação moral inteligível entre a pessoa, os seus dados, os sistemas que os reutilizam e os benefícios ou riscos que deles resultam.

O artigo de Robert Panadés e Oriol Yuguero, “Cyber-bioethics: the new ethical discipline for digital health”, é particularmente útil porque reconhece que a digitalização da saúde não acrescenta apenas novos instrumentos à medicina; acrescenta uma nova camada moral à própria relação clínica. Para os autores, a saúde digital obriga a expandir os princípios clássicos da bioética — autonomia, beneficência, não-maleficência e justiça — para incluir proteção de dados, cibersegurança, transparência, explicabilidade, equidade, não-discriminação e responsabilidade (Panadés and Yuguero, 2025).

A tese é convincente. A medicina digital não é simplesmente medicina com computadores. É medicina mediada por infraestruturas de dados. E, quando a infraestrutura passa a participar na decisão, na triagem, no diagnóstico, na previsão de risco, na investigação e na gestão de recursos, a bioética tem de deixar de pensar apenas na consulta, no hospital ou no laboratório. Tem de pensar também no circuito: quem recolhe, quem estrutura, quem acede, quem reutiliza, quem treina modelos, quem audita, quem beneficia e quem fica exposto.

A principal contribuição do artigo de Panadés e Yuguero é precisamente essa: mostrar que a privacidade e a confidencialidade dos dados dos pacientes se tornam um dos desafios centrais da IA em medicina, porque a IA depende da recolha e análise de grandes volumes de informação clínica, frequentemente difícil de explicar aos próprios titulares dos dados (Panadés and Yuguero, 2025).  A sua limitação é também clara: o artigo identifica bem o problema, mas não desenvolve suficientemente os modelos operacionais de consentimento, governação e reutilização secundária de dados que hoje estão no centro da transformação europeia da saúde digital.

É aí que a literatura complementar se torna decisiva.

Do consentimento como assinatura ao consentimento como relação contínua

O consentimento informado nasceu para proteger a pessoa contra a intervenção indevida sobre o seu corpo. Mas os dados de saúde colocam uma dificuldade diferente: podem ser reutilizados muito depois da consulta, combinados com outros dados, analisados por terceiros, exportados para projetos de investigação, usados para treinar modelos de IA ou integrados em políticas públicas. Por isso, a pergunta “o paciente consentiu?” já não basta. É necessário perguntar: consentiu para quê, durante quanto tempo, com que possibilidade de revogação, com que conhecimento real e com que garantias de controlo?

Jane Kaye e colaboradores foram pioneiros ao propor o consentimento dinâmico como uma interface digital entre participantes e investigadores, precisamente porque os modelos tradicionais de consentimento permaneciam estáticos, em papel e presos a fronteiras institucionais ou nacionais, enquanto a investigação biomédica se tornava cada vez mais global, digital e baseada em redes de dados (Kaye et al., 2015).  Esta proposta continua relevante porque desloca o consentimento de um momento isolado para uma relação continuada.

O consentimento dinâmico permite ao titular dos dados atualizar preferências, aceitar ou recusar determinados usos, receber informação sobre novos projetos e, em princípio, recuperar uma forma de participação ativa (Kaye et al., 2015; Teare, Prictor and Kaye, 2021).  Mas a sua virtude é também o seu risco: quanto mais pedidos de consentimento forem apresentados, maior a probabilidade de fadiga, desatenção ou decisão automática. O consentimento dinâmico pode tornar-se uma nova burocracia digital se não for desenhado com parcimónia, literacia e respeito pela carga cognitiva da pessoa.

A literatura recente procura resolver esta tensão através de modelos híbridos. Welzel e colaboradores defendem que o consentimento em saúde digital deve combinar confiança, rastreabilidade e controlo individual, recorrendo a plataformas de gestão de consentimento, identidade digital, tokens desidentificados e, em certos contextos, blockchain ou modelos de identidade soberana (Welzel et al., 2025).  A ideia não é transformar todos os pacientes em gestores técnicos dos seus dados, mas garantir que a autorização não desaparece dentro de uma infraestrutura opaca.

A perspetiva mais interessante, para o nosso trabalho, é esta: o consentimento deixa de ser apenas um ato jurídico e passa a ser uma interface de governação moral. A pessoa não deve apenas consentir; deve poder compreender, acompanhar, corrigir, limitar e, em certos casos, retirar-se. Sem isso, a autonomia transforma-se numa formalidade preservada à superfície e dissolvida na prática.

O erro de pensar que privacidade é apenas segredo

A privacidade em saúde é muitas vezes tratada como sinónimo de confidencialidade. Mas esta equivalência é incompleta. A confidencialidade protege contra a divulgação indevida. A privacidade protege também contra usos inadequados, inferências abusivas, recombinações inesperadas e alterações de contexto.

Helen Nissenbaum desenvolveu a ideia de “integridade contextual” para mostrar que a privacidade depende das normas que regulam o fluxo apropriado de informação num dado contexto social (Nissenbaum, 2010). Aplicada à saúde, esta perspetiva é extremamente poderosa: um dado pode ter sido legitimamente recolhido numa consulta, mas tornar-se moralmente problemático quando passa a circular noutro contexto — por exemplo, investigação comercial, seguros, emprego, publicidade comportamental, modelos preditivos de risco ou treino de IA.

Esta é uma das dimensões que mais facilmente passa despercebida aos profissionais da área. O problema ético não está apenas na identificação direta da pessoa. Está também na deslocação de contexto. Um dado recolhido para cuidar pode ser reutilizado para classificar. Um dado recolhido para investigar pode ser utilizado para excluir. Um dado aparentemente neutro pode, quando agregado, produzir inferências sobre vulnerabilidade, adesão terapêutica, risco genético, saúde mental ou comportamento futuro.

Mittelstadt e Floridi já tinham alertado que o big data biomédico cria problemas específicos de consentimento, privacidade, propriedade, objetividade, poder e desigualdade, sobretudo porque a agregação e reutilização de grandes volumes de dados altera a relação entre indivíduo, ciência e instituições (Mittelstadt and Floridi, 2016).  O ponto central é que a proteção de dados não pode limitar-se à pergunta “o nome foi removido?”. Em saúde, mesmo dados pseudonimizados podem continuar a ser eticamente sensíveis, porque a sua recombinação pode produzir conhecimento sobre pessoas, grupos ou comunidades.

A consequência é simples, mas exigente: anonimização e pseudonimização são necessárias, mas insuficientes. Precisamos de uma ética do percurso dos dados.

O uso secundário como bem comum — e como risco de assimetria

O uso secundário de dados de saúde tem enorme valor público. Pode melhorar políticas de saúde, otimizar recursos, identificar desigualdades, acelerar investigação, desenvolver terapias, treinar modelos de diagnóstico e responder a emergências sanitárias. A Organização Mundial da Saúde define o uso secundário como o tratamento de dados para finalidades diferentes daquelas para que foram inicialmente recolhidos, incluindo planeamento, investigação, inovação e melhoria dos serviços de saúde (WHO Regional Office for Europe, 2024).

Seria, portanto, eticamente pobre defender uma visão absoluta segundo a qual os dados de saúde nunca devem ser reutilizados. Essa posição protegeria a autonomia individual de forma estreita, mas poderia prejudicar a solidariedade, a justiça e a melhoria coletiva da saúde. Prainsack e Buyx ajudam precisamente a corrigir este excesso individualista ao defenderem que a solidariedade pode oferecer uma forma diferente de pensar os problemas biomédicos, incluindo bases de dados de saúde, medicina personalizada e governação coletiva (Prainsack and Buyx, 2017).

No entanto, o argumento solidário também pode ser abusado. A invocação do “bem comum” não deve funcionar como autorização genérica para extrair valor de dados pessoais. A solidariedade só é eticamente robusta quando há reciprocidade, transparência, distribuição justa dos benefícios e proteção contra usos prejudiciais. Caso contrário, o uso secundário torna-se uma forma elegante de transferência de valor: os cidadãos fornecem os dados; instituições públicas, empresas ou investigadores extraem benefícios; e os titulares raramente sabem o que aconteceu, que resultados foram obtidos ou quem lucrou.

A OCDE reconhece esta tensão ao defender que o uso secundário transfronteiriço de dados de saúde exige convergência de bases legais, harmonização de procedimentos nacionais e atenção à perceção pública sobre o uso de dados (OECD, 2025).  O ponto é decisivo: sem confiança pública, mesmo projetos tecnicamente corretos podem tornar-se socialmente ilegítimos.

O Espaço Europeu de Dados de Saúde: oportunidade e teste moral

O European Health Data Space representa um dos momentos mais importantes para a bioética europeia contemporânea. A Comissão Europeia apresenta o EHDS como instrumento para capacitar os cidadãos no acesso e controlo dos seus dados eletrónicos de saúde, permitir a reutilização segura desses dados para investigação, inovação, elaboração de políticas e regulação, e criar um mercado único para sistemas de registo eletrónico de saúde (European Commission, 2025).

Esta ambição é correta. Mas traz uma pergunta difícil: será possível criar uma infraestrutura europeia de reutilização de dados de saúde que seja simultaneamente útil, segura, justa, compreensível e respeitadora da autonomia?

Van Drumpt e colaboradores mostram que o EHDS procura responder à fragmentação europeia do ecossistema de dados, promovendo reutilização ética e responsável, mas enfrenta riscos de privacidade, segurança, consentimento, acesso equitativo e potenciais desequilíbrios estruturais na economia dos dados de saúde (van Drumpt et al., 2025).  O seu contributo mais relevante é mostrar que os riscos não podem ser resolvidos apenas por normas jurídicas nem apenas por tecnologia. São necessários modelos integrados de governação, tecnologias de proteção da privacidade, envolvimento público e regras claras de acesso.

A ideia de data permits, ambientes seguros de processamento e privacy-enhancing technologies é particularmente importante. O uso secundário de dados de saúde deve ocorrer em ambientes controlados, com autenticação forte, minimização de dados, rastreabilidade, limitação de finalidade e auditoria. A SPMS, no contexto português, também sublinha que a utilização secundária deve ocorrer com anonimização ou pseudonimização, finalidades específicas autorizadas e ambientes de tratamento seguro (SPMS, 2024).

A questão bioética, porém, não é apenas saber se o ambiente é seguro. É saber se o ambiente é governado. Segurança sem governação cria confiança técnica, mas não legitimidade moral.

A falsa solução técnica: aprendizagem federada, privacidade diferencial e os novos riscos invisíveis

A aprendizagem federada é frequentemente apresentada como uma solução elegante: os dados permanecem nos hospitais ou instituições de origem, e os modelos são treinados localmente, partilhando-se apenas parâmetros ou resultados. Eden e colaboradores descrevem a federated learning como uma metodologia que permite analisar grandes conjuntos de dados distribuídos, mantendo soberania nos respetivos detentores, mas alertam que a tecnologia não elimina riscos éticos, de privacidade, enviesamento, uso malicioso ou dano (Eden et al., 2025).

Este aviso é essencial. A aprendizagem federada reduz a circulação de dados brutos, mas não elimina a circulação de valor, inferência ou poder. Um modelo treinado sobre dados de múltiplas instituições pode continuar a incorporar enviesamentos, revelar informação por ataques indiretos, reforçar desigualdades ou ser utilizado para fins distintos dos inicialmente previstos. Por isso, Eden e colaboradores defendem que a aprendizagem federada exige mecanismos procedimentais, relacionais e estruturais de governação, incluindo acordos, auditorias, supervisão, responsabilidade e envolvimento institucional (Eden et al., 2025).

O mesmo se aplica à privacidade diferencial, à encriptação homomórfica, ao secure multi-party computation ou aos zero-knowledge proofs. Estas tecnologias são importantes, mas não substituem a ética. Uma tecnologia pode proteger o dado e, ainda assim, permitir uma finalidade injusta. Pode impedir a reidentificação direta e, ainda assim, produzir discriminação estatística. Pode cumprir a lei e, ainda assim, corroer a confiança.

Esta é uma das perspetivas originais que devemos sublinhar no artigo: a privacidade técnica protege contra exposição; a bioética protege contra traição. E a traição, em saúde, pode ocorrer mesmo sem fuga de dados, quando a pessoa descobre que a informação fornecida num contexto de cuidado foi transformada em instrumento de vigilância, classificação, lucro ou exclusão.

Data trusts e dever fiduciário: talvez a questão não seja propriedade, mas lealdade

A discussão sobre dados de saúde é frequentemente formulada em termos de propriedade: a quem pertencem os dados? Ao paciente? Ao hospital? Ao Estado? À plataforma? Ao investigador? À empresa que os organiza?

Esta pergunta é importante, mas talvez não seja a mais fecunda. Em muitos casos, os dados de saúde são relacionais: resultam da interação entre pessoa, profissional, instituição, tecnologia, financiamento público, conhecimento clínico e contexto social. Reduzi-los a propriedade individual pode dificultar a investigação; entregá-los ao Estado ou às empresas pode dissolver a autonomia.

A alternativa mais promissora é pensar em termos fiduciários. Burns e colaboradores analisam o conceito de data trust como uma estrutura de governação independente, em que um trustee assume deveres fiduciários perante os beneficiários dos dados, procurando responder à falta de confiança pública em programas de partilha de dados de saúde (Burns et al., 2024).

A força desta abordagem está na mudança de linguagem: de posse para cuidado; de acesso para lealdade; de autorização para administração responsável. Um data trust não resolve todos os problemas, mas introduz uma ideia poderosa: quem gere dados de saúde deve agir com dever de lealdade perante os titulares e comunidades de origem, não apenas com dever de conformidade perante reguladores.

Para o Centro de Estudos de Bioética, esta pode ser uma linha de reflexão distintiva: os dados de saúde não são apenas recursos informacionais; são fragmentos fiduciários da pessoa. Não porque contenham a pessoa inteira, mas porque podem representá-la, classificá-la, prever o seu futuro, afetar a sua dignidade e influenciar oportunidades de cuidado.

A perspetiva que costuma escapar: a autonomia pós-consentimento

O ponto mais esquecido neste debate é a autonomia depois do consentimento.

A bioética tem dedicado enorme atenção ao momento da autorização. Mas, nos sistemas digitais, a maior parte dos acontecimentos moralmente relevantes ocorre depois: transformação, agregação, inferência, treino, partilha, auditoria, publicação, monetização, reutilização, arquivamento e eventual reinterpretação futura dos dados. O consentimento é apenas a porta de entrada. A vida ética dos dados começa depois.

Por isso, uma bioética adequada ao uso secundário de dados de saúde deve propor o conceito de autonomia pós-consentimento. Esta autonomia não significa que cada pessoa deva aprovar manualmente cada uso técnico dos seus dados. Isso seria impraticável. Significa, antes, que o sistema deve preservar formas reais de controlo, transparência, contestação, benefício e retirada ao longo do ciclo de vida dos dados.

A autonomia pós-consentimento exige cinco condições. Primeiro, rastreabilidade: saber que tipos de usos foram autorizados e realizados. Segundo, inteligibilidade: explicar as categorias de uso em linguagem compreensível. Terceiro, contestabilidade: permitir oposição, revogação ou limitação quando apropriado. Quarto, reciprocidade: devolver à sociedade informação sobre benefícios, descobertas e impactos. Quinto, governação fiduciária: assegurar que quem gere os dados atua em nome do interesse legítimo dos titulares, dos pacientes e do bem público.

Esta perspetiva permite superar a falsa oposição entre consentimento individual e interesse público. O problema não é escolher entre autonomia e solidariedade. O problema é construir instituições em que a solidariedade não exija a invisibilização da pessoa.

Aplicação operacional para o trabalho do Centro de Estudos de Bioética

Para efeitos operacionais, o tema pode ser transformado numa linha de trabalho do Centro assente em seis propostas concretas.

Primeiro, criar um modelo de avaliação bioética do uso secundário de dados de saúde, com perguntas obrigatórias sobre finalidade, base legal, minimização, risco de reidentificação, risco de discriminação, benefício público, retorno social e mecanismos de contestação.

Segundo, desenvolver um guia de consentimento em camadas, distinguindo consentimento clínico, consentimento para investigação, consentimento para uso secundário, consentimento dinâmico, consentimento amplo e situações em que a base ética não é o consentimento individual, mas o interesse público com salvaguardas reforçadas.

Terceiro, propor um modelo de autonomia pós-consentimento, aplicável a hospitais, biobancos, plataformas digitais e projetos de IA médica. Este modelo deve exigir informação contínua, registos de utilização, possibilidade de revogação quando aplicável, relatórios públicos de impacto e auditoria independente.

Quarto, recomendar ambientes seguros de processamento, com controlo de acessos, autenticação forte, logs, pseudonimização, minimização, análise em sandbox, exportação limitada de resultados e avaliação de risco de reidentificação.

Quinto, estudar a viabilidade de estruturas fiduciárias de governação de dados, como data trusts, conselhos de pacientes, comités independentes de acesso a dados ou modelos de intermediação pública/sem fins lucrativos.

Sexto, defender que os projetos de IA em saúde sejam avaliados não apenas por segurança técnica, mas também por justiça informacional, isto é, pela forma como distribuem riscos, benefícios, poder analítico e capacidade de influência entre pacientes, instituições públicas, empresas e investigadores.

Conclusão

O uso secundário de dados de saúde é uma das grandes promessas da medicina contemporânea. Pode permitir investigação mais rápida, políticas públicas mais inteligentes, prevenção mais eficaz, medicina personalizada e melhor gestão dos sistemas de saúde. Mas também pode criar uma nova assimetria: a pessoa torna-se fonte permanente de dados, enquanto perde visibilidade sobre o destino, valor e consequências desses dados.

Panadés e Yuguero têm razão ao defender que a saúde digital exige uma cyber-bioethics capaz de expandir os princípios clássicos da bioética para os desafios da IA, da privacidade, da cibersegurança e da justiça digital (Panadés and Yuguero, 2025).  Mas o próximo passo é mais exigente: precisamos de uma bioética que não se contente com consentimentos formais, tecnologias protetoras ou regulamentos abstratos.

A pergunta decisiva deixa de ser apenas: “os dados estão protegidos?”. Passa a ser: “a pessoa continua moralmente presente no modo como os seus dados são utilizados?”.

Se a resposta for negativa, então a privacidade pode estar tecnicamente preservada, mas a autonomia já foi eticamente perdida.

Referências

Burns, E. et al. (2024) sobre data trusts e governação fiduciária de dados de saúde.

Eden, R. et al. (2025) “A scoping review of the governance of federated learning in healthcare”, npj Digital Medicine.

European Commission (2025) “European Health Data Space Regulation”.

Kaye, J. et al. (2015) “Dynamic consent: a patient interface for twenty-first century research networks”, European Journal of Human Genetics.

Mittelstadt, B.D. and Floridi, L. (2016) “The Ethics of Big Data: Current and Foreseeable Issues in Biomedical Contexts”, Science and Engineering Ethics.

OECD (2025) “Facilitating the secondary use of health data for public interest purposes across borders”.

Panadés, R. and Yuguero, O. (2025) “Cyber-bioethics: the new ethical discipline for digital health”, Frontiers in Digital Health.

Prainsack, B. and Buyx, A. (2017) Solidarity in Biomedicine and Beyond.

Teare, H.J.A., Prictor, M. and Kaye, J. (2021) “Reflections on dynamic consent in biomedical research: the story so far”, European Journal of Human Genetics.

van Drumpt, S. et al. (2025) “Secondary use under the European Health Data Space: setting the scene and towards a research agenda on privacy-enhancing technologies”, Frontiers in Digital Health.

Welzel, C. et al. (2025) “Enabling secure and self determined health data sharing and consent management”, npj Digital Medicine.

WHO Regional Office for Europe (2024) “Improving health-care delivery and innovation through secondary use of health data”.