LGPD: Adequação para a área da saúde

Compartilhar

A Lei Geral de Proteção de Dados chegou com a complicada missão de impor uma mudança cultural sobre a importância da privacidade e a necessidade de manter o controle sobre os próprios dados.

Um dos principais objetivos da LGPD, sigla adotada para designar a lei, é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

Por isso, é fácil perceber que a norma afeta diversos setores, como o de vendas, tecnologia da informação, marketing, recursos humanos e até mesmo o jurídico.

A área de saúde, por sua vez, também não ficou de fora, demandando adequação.

A cada dia que passa, o setor da saúde passa a receber mais orientações com base em dados extraídos de sistemas, armazenamentos de exames em nuvem, softwares, aplicativos e até relógios de pulso.

Aliás, agora, também temos as consultas via telemedicina.

Nesse passo, é fácil ver que uma clínica médica costuma armazenar dados de pacientes, médicos e colaboradores. A título de exemplo, podemos citar: fichas de cadastro, prontuários médicos, receitas, exames, imagens e etc.

Mas, afinal, o que são dados pessoais?

A LGPD adota um conceito amplo, expansivo, sobre o que é considerado um dado pessoal. Veja:

Dado pessoal: é a informação relacionada a pessoa natural identificada ou identificável.

Nesse sentido, se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal. Veja os seguintes exemplos: nome, RG, CPF, data e local de nascimento, endereço residencial, localização de GPS, retrato de fotografia, hábitos de consumo, cookies, IP, placa de veículo automóvel.

Por outro lado, a lei cria a categoria do que chamamos de “dados pessoais sensíveis”, estes são tratados com maior frequência pelo setor da saúde. Confira:

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Os dados pessoais sensíveis exigem proteção especial, pois colocam em risco a privacidade de dados que podem tornar a pessoa vítima de discriminação ou tratamento de diferenciado. Ex.: portadores de doenças graves, infecciosas, patologias psiquiátricas ou até mesmo cirurgias plásticas feitas com a finalidade de promover o bem estar.

Aliás, o próprio Código de Ética Médica já protege a privacidade dos pacientes, valendo-se do sigilo profissional. O citado código prevê que o médico guardará sigilo a respeito das informações de que detenha conhecimento no desempenho de suas funções, com exceção dos casos previstos em lei.

O mesmo código também prevê, no artigo 73, que é vedado ao médico revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por motivo justo, dever legal ou consentimento, por escrito, do paciente.

Ocorre que, mesmo diante do que está previsto no Código de Ética, é necessário estar adequado à Lei Geral de Proteção de Dados.

Para casos de violação, a lei prevê penas de advertência, multa simples, multa diária, suspensão, eliminação dos dados pessoais a que se refere a infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, entre outras sanções, aplicáveis a partir de agosto de 2021.

Como ficar em conformidade com a LGPD?

Adequar à LGPD é mais do que revisar um website. Um projeto de adequação completo envolve palestras de conscientização, treinamentos, elaboração e revisão de contratos, entre outras medidas de governança que forem necessárias, de acordo com a particularidade de cada organização.

Aliás, um projeto de conformidade com a LGPD é dinâmico e precisa de revisão periódica, mediante acompanhamento legal e regulatório. Isso porque a lei aguarda definições, que deverão ser realizadas urgentemente pela Autoridade Nacional de Proteção de Dados.

Em síntese, de acordo com a LGPD, para coletar, processar, armazenar um dado pessoal, o controlador deverá:

(1) observar os princípios trazidos pela LGPD;

(2) ter uma base legal que justifique o processamento de dados pessoais e/ ou sensíveis de seus empregados; e

(3) cumprir com os direitos dos titulares de dados; dentre outras obrigações.

No tocante ao primeiro item, a lei exige que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios da finalidade, adequação, necessidade, qualidade dos dados, transparência, segurança e prevenção.

Vamos explicar resumidamente: O tratamento de dados pessoais deve ser feito com propósitos legítimos e específicos, sendo mantidos atualizados de forma fiel e exata. Além disso, os dados devem ser coletados e armazenados com segurança, limitando a coleta ao mínimo necessário para a realização das suas finalidades. Também é importante pensar em uma forma e prazo em que os dados serão descartados.  

No tocante ao segundo item, as bases legais são as hipóteses que permitem o tratamento desses dados a depender da categoria do dado e a finalidade do tratamento.

As bases legais são distintas a depender da categoria do dado. Nesse passo, a LGPD traz 10 hipóteses para o tratamento dos dados pessoais em geral e, também, 8 hipóteses para o tratamento de dados sensíveis.

As bases legais são distintas a depender da categoria do dado. Nesse passo, a LGPD traz 10 hipóteses para o tratamento dos dados pessoais em geral e 8 hipóteses para o tratamento de dados sensíveis.

No tocante ao setor da saúde, podemos citar as três principais bases legais, mas que, evidentemente, não são as únicas:

a) consentimento coletado forma específica e destacada, para finalidades específicas;

b) sem o consentimento: para cumprimento de obrigação legal ou regulatória pelo controlador, proteção da vida ou da incolumidade física do titular ou de terceiro;

c) sem o consentimento: para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Sobre o terceiro item, a lei prevê obrigações como a de nomear um encarregado (responsável pelo programa de governança), prever mecanismos de transparência, como uma política de privacidade e, também, garantir os direitos dos titulares dos dados.

Conclusão

As clínicas médicas e demais áreas da saúde cuidam de grande quantidade de dados pessoais e dados pessoais sensíveis, pertencentes aos próprios médicos, pacientes e colaboradores.

Embora a telemedicina esteja avançando, é importante garantir a privacidade e segurança dos dados do paciente.

Por isso, caso haja um “vazamento” de dados pessoais, em especial dos dados sensíveis (exames, diagnósticos, imagens, etc), o dano à reputação da clínica e do médico responsável pode ser grande.

Diante dessas considerações, ao falarmos sobre privacidade e proteção de dados, é fácil notar que estamos lidando com temas complexos e que demandam o acompanhamento de profissionais da área jurídica e segurança da informação, com a finalidade de proporcionar maior proteção à prestação de serviços médicos.

Precisa de ajuda? Entre em contato conosco!

E-book LGPD

Os dados pessoais coletados nesse formulário não serão repassados para terceiros. A única finalidade é a de contatar os cadastrados pra fins de divulgação de novos conteúdos ou serviços.

Mais artigos

É papel do advogado orientar e moldar negócios modernos, zelando pela atenção aos riscos jurídicos do empreendimento.

Márcio Pompeu

Advogado

Contato

Entre em contato conosco e tire suas dúvidas.
Atendendemos de segunda à sexta das 8h às 18h.

Confira nossa Política de Privacidade.
LGPD: Exerça os seus direitos por meio do formulário.

Nosso escritório fica em Bauru, mas atendemos em todo o Brasil!
Desenvolvido por Danilo Pontechelle