A Lei Geral de Proteção de Dados na Saúde

A Lei Geral de Proteção de Dados na saúde traz várias regras e obrigações relacionadas à proteção de dados de pessoas identificadas ou identificáveis.

Por Leonardo Vieira

1. Introdução

A lei Geral de Proteção de Dados – LGPD (Lei n. 13.709/2018), vigente desde o dia 18/09/2020, traz várias regras e obrigações relacionadas à proteção de dados de pessoas identificadas ou identificáveis.

A referida Lei é aplicável a qualquer organização, seja da esfera pública ou privada, e prevê uma proteção especial aos dados pessoais denominados sensíveis, que são aqueles exemplificados no art. 5º, II da LGPD, onde os dados referentes à saúde estão incluídos.

Desta forma, será abordado a seguir alguns aspectos da LGDP sobre o universo da saúde, além dos direitos dos pacientes e pessoas relacionadas com os hospitais, clínicas e profissionais da área, e o que estes sujeitos precisam fazer para se adequarem à referida Lei.

Cabe salientar que este texto não tem o objetivo de esgotar o tema, mas tem o intuito de apresentar a importância para que empresas e profissionais que atuam na área da saúde se adequem a estas regras de proteção para evitar futuros prejuízos e garantir o direito de proteção de dados de cada Titular. Como será abordado a seguir, adequar-se à LGPD significa que a organização se preocupa com a privacidade de seus pacientes ou clientes, sendo que o uso adequado de dados pessoais traz benefícios à imagem e reputação da empresa.

2. O que a LGPD traz sobre o tema da saúde?

De acordo com a LGPD, o tratamento de dados tem como um de seus objetivos tutelar a saúde, exclusivamente, em procedimento realizado por profissionais de saúde e serviços de saúde[1].

Com relação ao tratamento dos dados sensíveis, estes poderão ocorrer, em regra, apenas com o consentimento do titular, com o fim de evitar que empresas possam utilizar estes dados com finalidade econômica, bem como estes dados possam ser vazados e acarretarem prejuízos aos Titulares.

No entanto, a LGPD traz exceções à obrigatoriedade do consentimento dos dados sensíveis, como por exemplo, para o cumprimento de obrigações legais, compartilhamento com a administração público e políticas públicas, estudos científicos, proteção da vida e tutela da saúde, dentre outros[2].

Além disso, é vedado comunicar ou compartilhar dados sensíveis com o objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados. Com relação aos serviços de saúde realizado pelas operadoras de planos privados de assistência à saúde, é vedado o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Portanto, estes são alguns aspectos que a LGPD traz sobre o tratamento de dados na área da saúde, o que demonstra a importância de hospitais, clínicas e profissionais da área se adequarem para garantir os direitos das pessoas naturais detentoras destes dados sensíveis.

3. Quais são os direitos dos pacientes e pessoas relacionadas com os hospitais, clínicas e profissionais da saúde?

A LGPD traz inúmeros direitos aos titulares de dados pessoais, tanto sensíveis quanto os que não se enquadram a esta categoria, os quais podem se resumir nos seguintes: - Direito à confirmação da existência de tratamento; - Direito ao acesso e correção aos seus dados armazenados; - Anonimização; - Revogação do consentimento; - Possibilidade de receber informações sobre não fornecer o consentimento e suas consequências; - Informação a respeito do compartilhamento de dados; - Eliminação dos dados após o término do tratamento e; - Portabilidade. Por isso, diante das particularidades da LGPD, a assessoria de um advogado é essencial para as organizações se adequarem de forma efetiva às normas de proteção de dados com segurança e em conformidade com a lei.

4. Como se adequar à LGPD?

A LGPD não traz um manual de como os hospitais, clínicas ou profissionais da saúde devem se preparar para seguir suas normas, mas exige que estes adotem todas as medidas cabíveis, sejam preventivas ou corretivas, para evitar ou mitigar possíveis danos aos dados pessoais dos Titulares, em razão da previsão de responsabilidade civil objetiva e solidária das organizações, além dos riscos regulatórios envolvidos[3].

Para tanto, estas organizações devem elaborar políticas internas que atendam os princípios previstos na LGPD, tais como (i) finalidade, (ii) adequação, (ii) necessidade, (iv) livre acesso; (v) qualidade dos dados, (vi) transparência, (vii) segurança, (viii) prevenção, (ix) não discriminação, (x) responsabilização e prestação de contas.

Assim, como sugestão, os hospitais e clínicas médicas precisam realizar o seguinte: - Estudo interno para revisar as rotinas de coleta de dados; - Implementar instrumentos de proteção de dados que visam o (i) controle de acesso às informações, (ii) salvaguarda dos bancos de dados e (iii) combate contra a invasão, perda ou vazamento de informações; - Avaliação Jurídica das responsabilidades sobre as informações de saúde coletadas com a (i) elaboração de contratos e documentos legais e (ii) orientação jurídica para adequação à lei. - Desenvolvimento de projeto de proteção de dados com (i) sistema de mitigação de riscos, (ii) emissão de relatórios e (iii) práticas de governança corporativa; - Nomear um Encarregado de Dados – DPO (Data Protection Officer); - Revisar a forma de comunicação e troca de informações entre a empresa e os titulares de dados pessoais fornecidos; - Treinamento da Equipe de Colaboradores para a Divulgação das novas práticas, implicações jurídicas e responsabilizações pessoais.

Além disso, devem atentar para que os dados pessoais sejam tratados mediante o fornecimento de consentimento do titular, o qual tem o direito ao acesso facilitado às suas informações, que deverão ser disponibilizadas de forma clara, adequada e ostensiva dentre outras características.

Assim, é importante que diversos documentos, como termos de uso e contratos, devem estar em consonância com a LGPD, além da realização de ações internas já mencionadas para trazer mais segurança jurídica e prevenir intempéries como multas e demandas judiciais relacionadas à proteção de dados, cuja prevenção pode ser realizada através da assessoria de um advogado com o auxílio de um profissional da área da tecnologia da informação.

5. Considerações Finais

A LGPD veio trazer mais segurança jurídica na relação entre o cidadão e as organizações públicas e privadas, em especial, hospitais, clínicas e profissionais da saúde, pois o tema envolve um direito fundamental que é a proteção de dados pessoais, sejam eles físicos ou digitais.

O que antes era opcional, agora passa ser obrigatório para estas empresas realizarem tratamentos de dados pessoais de acordo com a legalidade, sendo que, na esfera privada é primordial que as empresas tenham segurança na hora de elaborar um planejamento de adequação à LGPD.

Portanto, adequar-se à LGPD, além de uma obrigação legal, agrega valor ao negócio, pois quando um cliente sabe que seus dados estão protegidos, aumenta a confiança e a fidelidade desta relação, o que pode proporcionar um diferencial competitivo. _______________________________________________________ Referências BRASIL. Lei n. 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados, Brasília, DF, ago 2018. Disponível em < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. REMO, Higashi Battaglia. Os impactos da Lei Geral de Proteção de Dados na área da Saúde – LGPD. Migalhas. 23 de outubro de 2020. Disponível em < https://www.migalhas.com.br/depeso/335388/os-impactos-da-lei-geral-de-protecao-de-dados-na-area-da-saude---lgpd>. [1] Art. 7º, Inciso VIII da Lei n. 13.709/2018 – LGPD. [2] Art. 11, Inciso II da Lei n. 13.709/2018 – LGPD [3] A LGPD prevê diversas penalidades às organizações no caso de uso ilegal ou inadequado de dados, as quais vão desde advertências até multas de 2% do faturamento anual, cujo limite é de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.