A LGPD na Área da Saúde. Por que devo entender?

A privacidade e a confidencialidade de dados pessoais é tema recorrente e de longas discussões no setor de saúde. Setor este que inclui:  clínicas médicas, centros de radiologia, hospitais, planos de saúde, indústria farmacêutica, clínicas odontológicas, clínicas de fisioterapia, clínicas de psicologia e todos aqueles profissionais que atuam no atendimento a pacientes. 

Utilizemos a medicina como exemplo. Considerando a grande quantidade de dados sensíveis manipulados, normas e resoluções específicas regulamentam as atividades de tratamento, como a Resolução CFM n. 1.605/2009, que estabelece as regras de revelação de ficha ou prontuário médico, e a Resolução CFM n. 1.821/2007, que dispõe sobre normas técnicas referentes à digitalização e uso dos sistemas informatizados para a guarda, manuseio, eliminação e troca de informação dos prontuários dos pacientes.

Com a entrada em vigor, em setembro de 2020, da Lei Federal nº 13.709/18 – Lei Geral de Proteção de Dados (LGPD), o Setor da Saúde também foi impactado, sendo necessária a adequação de seus profissionais e instituições à essa nova realidade, revisitando conceitos, inclusive sobre a segurança da informação e segurança nos fluxos de coleta, manuseio, gestão, armazenamento e eliminação dos dados pessoais.

Considerando que o setor trata de forma constante dados pessoais sensíveis, pois processa dados de saúde de pacientes, há que se ter uma atenção ainda maior no processo de adequação à LGPD.

Lembrando que o objetivo da LGPD é delimitar regras para utilização de dados pessoais ao redor de atividades empresariais e governamentais, garantindo aos titulares o pleno controle sobre seus dados pessoais e, permitindo que esses sejam tratados exclusivamente com uma finalidade previamente definida e legalmente permitida.

Nesse contexto, destacam-se alguns pontos: 

• Nem sempre a coleta e o armazenamento dos dados requerem a autorização dos pacientes. No estrito exercício das suas atividades profissionais, os profissionais da saúde podem tratar dados pessoais de seus pacientes tendo como base legal a tutela à saúde (Art. 11, II, “f”, da LGPD);
• Os documentos e prontuários físicos também são abarcados pela lei, não apenas os registros eletrônicos. Assim, devem ser adotadas medidas organizacionais e técnicas para garantir a segurança da informação em todos os seus meios;
• A troca de mensagens entre profissionais e pacientes deve ser preferencialmente por ferramenta criptografada e com caixas de mensagens devidamente protegidas;
• Todas as pessoas com acesso a dados pessoais devem receber o devido treinamento sobre a necessidade e as ferramentas de proteção;
• Até que a Autoridade Nacional não se manifeste em contrário, todos os estabelecimentos deverão ter seu Encarregado de Proteção de Dados ou Data Protection Officer (DPO);
• Todos aqueles que tratam dados pessoais, seja o Controlador, seja o Operador, têm responsabilidade pelo tratamento, e respondem por eventuais incidentes de vazamento ou tratamento indevido;
• Devem ser disponibilizadas aos pacientes, titulares dos dados, as informações sobre as situações de tratamento dos seus dados, incluindo: quais dados são tratados, a sua finalidade, se haverá necessidade de compartilhamento, dentre outras;
• Os dados deverão ser eliminados assim que cumprirem com a sua finalidade, lembrando dos prazos legais que obrigam a sua guarda;
• O tratamento dos dados pessoais deve estar pautado em bases legais, conforme dispõem os artigos 7º e 11 da Lei Federal nº 13.709/18.

Por fim, a plena adequação do estabelecimento e dos profissionais da saúde à LGPD é necessária e urgente. Para além da questão legal, o mercado exige que seus participantes estejam em conformidade com as regras em vigor.

A exemplo do que já ocorre em outras cadeias de valor, a implementação de programas de privacidade e proteção de dados deverá ter um efeito cascata sobre todos os seus elos. De forma ilustrativa, uma operadora de planos de saúde somente estará plenamente conforme com as regras da LGPD se todos os seus conveniados, fornecedores e prestadores de serviços também o estiverem.

O descumprimento das determinações previstas, podem acarretar sanções, multas e outras penalidades. As sanções administrativas entrarão em vigor em agosto de 2021, mas as buscas judiciais pelos direitos dos titulares já são plenamente possíveis.

Por fim, entender e atender à LGPD é fator crucial para que instituições e profissionais do Setor da Saúde diminuam a sua exposição aos riscos de responsabilização tanto na esfera administrativa, quanto judicial; bem como, torna-se fator relevante para a sua manutenção em um mercado que exige cada vez mais a conformidade como requisito de negócio.