Apresentação ¹

O presente artigo tem por objetivo descrever, de forma sucinta, os impactos causados pela Lei Geral de Proteção de Dados (“LGPD”) na área da saúde. Este material não esgota todas as mudanças que precisam ser realizadas pelas instituições e pelos profissionais de saúde para adaptação à legislação, já que a realidade de cada empresa ou indivíduo é que define o nível de sua adequação à LGPD e o caminho necessário para estar em compliance com a lei e evitar a aplicação das penalidades nela previstas.

Entendendo a LGPD e seus principais aspectos.

A promulgação da LGPD em 2018², inseriu o Brasil no movimento global de respeito à privacidade e proteção de dados. Nossa legislação se inspirou no “GDPR” (sigla em inglês que significa Regulamento Geral de Proteção de Dados), como ficou conhecida a lei vigente na União Europeia.

Recentes vazamentos de informações pessoais causados por empresas de grande notoriedade comprovaram a importância dessa proteção. Além disso, dados pessoais são ativos relevantes para qualquer empresa, pois quanto maior o conhecimento de seu público, mais oportunidades para oferecer produtos e serviços e, consequentemente, lucrar com vendas convertidas e fidelização, por exemplo. Nesse contexto, busca-se com a LGPD a criação de um ambiente seguro, transparente e eficiente para o compartilhamento de dados pessoais, o que beneficia os titulares de dados e as empresas ou profissionais autônomos. Vale ressaltar que o prazo máximo para adequação à lei é agosto de 2020³.

A LGPD se aplica a todas as pessoas físicas e jurídicas, dos setores público e privado, que tratem dados pessoais, por meio físico ou digital, no território nacional. Na prática, empresas ou indivíduos que coletam, tratam e armazenam dados pessoais, chamados “controladores”, devem se adequar às diretrizes da LGPD. No âmbito da saúde, estamos falando de inúmeros atores que participam da cadeia de prestação de serviços de assistência à saúde e que lidam com dados de pacientes, tais como hospitais, clínicas, consultórios, laboratórios, operadoras de saúde, médicos, dentistas, enfermeiros e fornecedores de equipamentos e medicamentos.

¹ Este documento foi produzido por Renata Rodrigues e destina-se aos clientes e integrantes do Renata Rodrigues Advocacia. O presente material tem caráter meramente informativo e não busca orientar qualquer pessoa para fins legais, não podendo ser utilizado como opinião legal.

² Lei n. 13.709, de 14 de agosto de 2018.

³ Encontra-se em tramitação na Câmara dos Deputados o Projeto de Lei 5762/19, que prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da LGPD. Quando da edição deste material, em fevereiro/2020, o PL ainda não havia sido votado.

O dever de confidencialidade quanto aos dados pessoais de pacientes não é novidade, por exemplo, na área médica, pois o Conselho Federal de Medicina possui normas rigorosas sobre uso e arquivamento de prontuários. E, além de a privacidade ser um direito constitucional desde 1988, já existiam outras legislações que tratavam do assunto, como o Código de Defesa do Consumidor e o Marco Civil da Internet. Contudo, tais regulamentações eram consideradas esparsas, ou seja, não apresentavam critérios objetivos para determinar se os dados eram tratados com a devida segurança.

Com a LGPD, novas orientações precisam ser observadas para considerarmos correta e segura a gestão de dados dos pacientes, funcionários e fornecedores. Essa gestão abrange não só a coleta e o armazenamento de dados de pacientes, mas também outras ações, tais como envio de amostras para laboratórios, checagem de dados do plano de saúde, placas de identificação nos quartos e compartilhamento de laudos de exames. Vale reforçar que o objetivo principal da lei é coibir o uso indiscriminado de dados pessoais fornecidos por meio de cadastros ou relações profissionais, resguardando às pessoas físicas o direito de conhecer a finalidade e a forma de utilização das informações por elas fornecidas.

A própria lei estabelece as hipóteses em que o tratamento de dados pessoais é permitido. São as chamadas bases legais e, em linhas gerais, consistem em:

  1. Consentimento: autorização dada pelo titular, por escrito ou outro meio que demonstre a sua vontade em permitir o tratamento de seus dados. Esta permissão é específica e o titular de dados precisa ser alertado sobre o fim a que se destina;
  2. Cumprimento de obrigação legal ou regulatória do controlador: o controlador poderá tratar dados quando tiver de cumprir, por lei ou por normativos de órgãos reguladores, alguma obrigação;
  3. Execução de políticas públicas: base legal para o tratamento de dados por órgãos públicos. Tais políticas precisam estar previstas em leis, regulamentos, contratos ou convênios;
  4. Realização de estudos por órgãos de pesquisa: sempre que possível deve ser utilizada a anonimização dos dados pessoais;
  5. Execução de contrato: o titular precisa ser parte do contrato e pedir o seu cumprimento;
  6. Exercício de direitos em processo judicial, administrativo ou arbitral;
  7. Proteção da vida: do titular ou de terceiros para que seja prestado socorro;
  8. Tutela da saúde: para realização de procedimentos por profissionais de saúde ou autoridade sanitária;
  9. Proteção ao crédito: para mitigar o risco de inadimplência;
  10. Legítimo interesse do controlador: assim entendido o apoio à promoção das atividades do controlador. Não é uma base legal genérica, pois deve ser utilizada apenas para tratar os dados pessoais estritamente necessários para a finalidade pretendida, bem como tem de ser realizada a validação de sua utilização.

Então, para definir a base legal que justifique o tratamento de dados, é preciso verificar a origem do dado, sua categoria (geral, sensível, de criança ou de adolescente) e a finalidade para a qual o dado será tratado. Para a categoria “geral” de dados pessoais, a LGPD determina que se verifique a base legal mais adequada para a finalidade de tratamento, enquanto os dados sensíveis podem ser tratados mediante o consentimento do titular. Usar outra base legal para o tratamento de dados sensíveis é exceção. Importante destacar que a LGPD considera como “sensível” o dado pessoal referente à saúde ou vida sexual, dados genéticos e dados biométricos. Portanto, os dados dos pacientes podem ser tratados, sem o devido consentimento, apenas quando for indispensável para a proteção da vida ou da incolumidade física do titular ou de terceiro ou na tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

Além de definir a base legal que legitima o tratamento dos dados pessoais, a lei assegura diversos direitos aos titulares, os quais devem ser permanentemente observados. A seguir, listamos alguns desses direitos:

  • o titular escolhe como seus dados são tratados e autoriza, ou não, seu uso e compartilhamento;
  • deve ser informado ao titular quais dados são coletados e a finalidade específica de cada coleta, uso e armazenamento;
  • caso o titular solicite a interrupção da coleta de seus dados, a exclusão desses ou qualquer outra ação relacionada aos dados, a empresa deve respeitar e executar;
  • deve ser assegurado ao titular o acesso aos dados, sua cópia ou transferência para outras empresas;
  • toda comunicação com o titular deve ser transparente e utilizar linguagem simples, clara e objetiva para que qualquer pessoa compreenda a mensagem.

A LGPD ainda prevê princípios que precisam ser respeitados no tratamento de dados pessoais e gostaríamos de destacar 03 (três):

  1. Finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular;
  2. Adequação: o tratamento deve ser compatível com a finalidade que foi apresentada ao titular; e
  3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos.

Para conhecer os principais aspectos da LGPD de forma mais detalhada e se aprofundar na matéria, acompanhe nossas publicações no site renata@renatarodriguesadv.com.br. Além de artigos, temos e-books como “Lei Geral de Proteção de Dados – Em 5 minutos”, “Lei Geral de Proteção de Dados – Q&A” e “Lei Geral de Proteção de Dados – Como Adequar Seu Negócio?”.

O que muda na rotina?

Quando se analisa o tratamento de dados pessoais no âmbito da área da saúde, faz-se necessário lembrar que a proteção não está limitada aos dados pessoais de pacientes, inclusive dados pessoais de crianças e de adolescentes, os quais também recebem tratamento diferenciado na LGPD. Ela também engloba os dados pessoais de colaboradores e a transferência de dados com fornecedores e prestadores de serviços (ex. contratação de nuvens e parceiros da área de Tecnologia da Informação e até compartilhamento de laudos e envios de amostras para exames).

A seguir abordaremos, de maneira genérica, algumas medidas que devem ser adotadas pelos controladores de dados para adequação à LGPD. Contudo, não serão detalhados os diversos fatores que devem ser considerados para estabelecer as etapas necessárias para referida adaptação, uma vez que o processo de adequação de um hospital é totalmente diferente daquela necessária para uma operadora de saúde ou para um profissional autônomo.

Uma das primeiras medidas é fazer um mapeamento de todos os dados que rotineiramente transitam pela instituição ou que são tratados pelo profissional autônomo, seja por meio físico ou digital, seguindo-se a análise de como esses dados são coletados, armazenados, compartilhados e eliminados. Uma auditoria verificará a existência do consentimento e informará quando será necessário buscá-lo, caso a empresa ou o profissional ainda não o possua. Ou seja, os controladores deverão revisar toda a cadeia de coleta, armazenamento, processamento e eliminação de quaisquer dados que por eles transitam. Conceitos como ciclo de vida do dado e embasamento legal para realizar o tratamento precisam ser bem entendidos pelos gestores dos dados para facilitar o cumprimento das diretrizes legais.

Nesse momento também é imprescindível enxugar a base de dados para que haja certeza de que são tratados apenas os dados necessários e devidamente atualizados. Os pacientes precisarão conhecer os dados em poder dos controladores e poderão pedir a exclusão daqueles que considerarem excessivos.

Outra medida a ser adotada na fase inicial é definir as bases legais que legitimam o tratamento de dados, uma vez que algumas informações pessoais dos pacientes devem ser armazenadas para cumprimento de obrigação legal, dispensando-se o consentimento. Sugere-se, então, estabelecer uma política de retenção de dados para definir os dados, tipos e prazos de armazenamento, finalidade da coleta e respectiva base legal. Tal política também pode definir quem poderá acessar, controlar e processar os dados pessoais coletados.

Diversos documentos precisam ser revisados, tais como ficha de anamnese, cadastros de dados de seguro-saúde, contrato de trabalho e políticas de privacidade. Idealmente, o consentimento deve estar previsto na ficha cadastral e ser concedido no primeiro atendimento ao paciente e na contratação do colaborador.

Os controladores também precisam assegurar que existem medidas eficazes para a proteção dos dados pessoais, bem como ter definido um plano de ação, de contenção e contingência para hipóteses de vazamento. Considerando que as informações precisam ser arquivadas em ambientes comprovadamente seguros, sugerimos o investimento em proteção física e virtual, o que pode incluir a implantação de soluções de segurança, como redes criptografadas e softwares de monitoramento.

Vale lembrar outra mudança legislativa ocorrida em 2018, a qual afeta a rotina da área de saúde e demonstra a importância da proteção de dados: a promulgação da Lei n. 13.787, de 27 de dezembro de 2018, que trata da digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente. Sem dúvida os prontuários eletrônicos são um grande avanço para a rotina médica e ainda que existam pontos em aberto, como o regulamento do sistema de gerenciamento eletrônico de documentos, a Lei n. 13.787/2018 é explícita acerca da aplicação da LGPD para os prontuários eletrônicos.

Quais os desafios mais comuns enfrentados na área da saúde?

Dependendo do estágio que se encontre o processo de adequação à LGPD, o tempo pode ser um fator determinante para o sucesso da adaptação. Ainda é possível estabelecer um cronograma factível, mas, em razão do curto prazo até agosto/2020 e das complexidades a serem enfrentadas, a implantação das diretrizes da LGPD devem ser prioridade, caso ainda não seja. Vale lembrar que a LGPD reforça a necessidade de registrar detalhadamente tudo o que é feito com os dados de um indivíduo, incluindo as medidas de segurança tomadas para protegê-los. Documentar e registrar todo o processo é imprescindível para mitigar a exposição a penalidades.

Uma mudança imprescindível é o estabelecimento de uma cultura de proteção de dados. Todos os envolvidos precisam se conscientizar da importância de cumprir a LGPD, além de conhecer seu conteúdo e manter o compromisso com a privacidade e a proteção de informações pessoais. Colaboradores de hospitais, clínicas e consultórios que tiverem acesso a dados pessoais precisam conhecer o dever de sigilo e o que pode ser feito com cada um dos dados fornecidos pelos pacientes. Aqueles que mantém contato com pacientes deverão ter capacidade de esclarecer suas dúvidas como, por exemplo, explicar a finalidade de ser requisitada determinada informação pessoal. A percepção do bom atendimento também passará pelo sólido conhecimento que deverá ser demonstrado na elucidação de perguntas seja pelo corpo clínico ou quadro administrativo.

A realização de treinamentos, oficinas e palestras colaboradores é uma boa prática e pode contribuir para a disseminação dessa cultura. O encarregado, mais conhecido como Data Protection Officer (“DPO”), pode liderar essas iniciativas, pois é o responsável direto pelo assunto nas empresas.

Outros desafios surgem a partir de questões que ainda não foram elucidadas em relação a determinados pontos da LGPD, como sua fiscalização, uma vez que não foi concluída, até a presente data, a implantação da Autoridade Nacional de Proteção de Dados (“ANPD”). E para a área de saúde, ainda permanecem algumas discussões e questionamentos específicos. São exemplos:

  1. a vedação ao compartilhamento de dados para fins econômicos. Como interpretar essa restrição quando a operadora de saúde transmite os dados sensíveis para a sua rede credenciada de prestadores?
  2. a transferência de dados por operadoras de saúde para fins de portabilidade, pois não se especificam quais dados poderão ser fornecidos;
  3. a falta de clareza sobre as situações em que o consentimento é obrigatório em vista da base legal da “tutela da saúde”, que, por ser genérica, traz incerteza para o controle de dados.

Conclusão.

A LGPD foi criada com base em tendências mundiais e trouxe um novo capítulo para a proteção de dados no Brasil. Mais do que uma obrigação, a lei é uma oportunidade de crescimento para as instituições e os profissionais que “saírem na frente”. Aquele que conseguir demonstrar concretamente o uso ético e seguro de dados pessoais terá uma vantagem competitiva.

Outro benefício econômico é que a lei privilegia a empresa que constrói uma cultura de proteção. Ou seja, a existência de um programa de adequação e os esforços para cumprir com as obrigações legais serão considerados no momento da aplicação da penalidade pela ANPD. Então, na hipótese de ocorrer um incidente relacionado aos dados pessoais, a adoção comprovada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados é um mitigador da penalidade a ser aplicada. Ou seja, você poderá evitar prejuízos financeiros futuros e desgaste à sua imagem no mercado, o que, às vezes, é até mais danoso que as próprias multas previstas na lei.

Apesar dos desafios existentes, o momento não é para desespero. É preciso enxergar a LGPD como uma oportunidade de crescimento e de melhoria no atendimento. Aquele que encarar positivamente os desafios e se adequar à lei ganhará destaque em relação a seus competidores, será reconhecimento no mercado, tornando-se referência em seu segmento.

Por fim, cumpre lembrar que as empresas e os profissionais não precisam cuidar sozinhas do processo de adaptação à LGPD. Buscar consultoria especializada, como advogados e especialistas em tecnologia da informação, pode acelerar o cumprimento da lei e contribuir para uma melhor adequação do negócio.

BAIXE ESTE ARTIGO EM PDF