Impactos da Lei Geral de Proteção de Dados Pessoais na Prestação de Serviços Médicos

O setor da saúde é um dos mais regulados no Brasil. Em razão da sua natureza, é impossível seu funcionamento sem o tratamento de dados pessoais, como é o caso da prestação de serviços médicos.

A Lei Geral de Proteção de Dados Pessoais[1] (a LGPD) certamente impactará muito esse setor, especialmente porque suas atividades envolvem dados referentes à saúde, à vida sexual, assim como dados genéticos de pessoas naturais – aos olhos da LGPD, esses dados são considerados sensíveis.

E o que muda, com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais, para os profissionais da medicina?

A partir de agosto de 2020, todas as operações de tratamento de dados pessoais realizadas por pessoas físicas ou jurídicas, com fins econômicos, independentemente do meio (físico, eletrônico, digital, etc.), realizadas em território nacional, que objetivem a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados em território nacional, estarão sujeitas às disposições da LGPD.

Desta forma, os médicos, independentemente se atuam como pessoas físicas ou na forma de empresa, bem como da forma de guarda e processamento das informações coletadas de seus pacientes, funcionários, dentre outros, serão obrigados a se adequarem a esta nova lei.

Para começar, estas são algumas das principais definições trazidas pela LGPD:

(a) a pessoa natural a quem se referem os dados pessoais é chamada de titular – pode ser o paciente, o funcionário, etc.;

(b) o dado pessoal é qualquer informação que identifique ou que seja capaz de identificar seu titular. Pode ser nome, endereço, documentos, hábitos de consumo, histórico escolar, etc.;

(c) o dado pessoalsensível contemplará informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;

(d) o dado será anonimizado caso não seja possível identificar seu titular. A anonimização é o processo de desvinculação (direta ou indireta) do dado ao seu titular, realizada através de meios técnicos irreversíveis, razoáveis e disponíveis à época da operação;

(e) os agentes de tratamento são o controlador e o operador. Ambos podem ser pessoas físicas ou jurídicas (ou seja, não são só as empresas que estão sujeitas à LGPD), mas a principal diferença entre estes agentes é que o controlador tem o poder de decisão sobre o tratamento dos dados pessoais – aqui se enquadrariam os profissionais da área médica, enquanto o operador realiza o tratamento de dados pessoais em nome do controlador. Assim, caso o médico contrate algum prestador de serviços para delegar alguma de suas atividades que, porventura, envolva o tratamento de dados pessoais ou de dados pessoais sensíveis, este terceiro atuará como operador dos dados. É interessante destacar, ainda, que um mesmo agente de tratamento pode tanto ser controlador como operador em situações diferentes, pois esta qualificação dependerá das circunstâncias da operação de tratamento;

(f) o tratamento dos dados poderá ser coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É uma definição bastante ampla, pois visa abranger toda e qualquer operação possível.

O tratamento dos dados pessoais e dos dados pessoais sensíveis

A LGPD considera os dados referentes à saúde, à vida sexual e os dados genéticos de pessoas naturais como sensíveis. Esta categoria especial também está presente no Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679 (GDPR)[2]da União Europeia. O que ambas as normas têm em comum é que, via de regra, é proibido o tratamento dos dados pertencentes a esta categoria especial. No entanto, cada uma trouxe exceções à esta vedação[3].

Considerando as normas éticas da profissão da medicina, os dados dos pacientes, sensíveis ou não, já são tratados sob sigilo. Independentemente de outras regulações específicas da categoria, o que vai mudar com a entrada em vigor da LGPD é que todo tratamento de dados precisará observar uma das permissões legais dispostas por essa lei. Ou seja, a proibição de tratamento será considerada uma regra, e as bases legais serão as exceções que permitirão o tratamento dos dados pessoais.

No Brasil, as permissões legais serão as seguintes:

O enquadramento em uma das bases acima é suficiente para garantir ao profissional da medicina a adequação de suas operações de tratamento à Lei Geral de Proteção de Dados Pessoais.

Destaca-se que, para cada dado pessoal sensível de seu paciente, deverá ser realizado um enquadramento. Isto porque o tratamento de dados pessoais deverá observar os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Quanto ao compartilhamento dos dados pessoais sensíveis, a LGPD estabelece que sua vedação poderá ser determinada pela Autoridade Nacional de Proteção de Dados (ANPD), que ainda está em formação. No caso dos dados especificadamente relativos à saúde, a LGPD já veda o compartilhamento entre controladores quando realizado com o objetivo de obter vantagem econômica, salvo se em caso de prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados e para permitira portabilidade de dados quando solicitada pelo titular, ouas transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo, desde que não sejam utilizados os dados para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Os direitos dos titulares dos dados

Os profissionais da medicina também precisam estar preparados para atender às demandas dos titulares dos dados pessoais e dados pessoais sensíveis a partir de agosto de 2020, a seguir listadas:

Destaca-se que o direito à eliminação dos dados é limitado pela permissão legal de manutenção dos dados para uma das seguintes finalidades: (a) cumprimento de obrigação legal ou regulatória pelo controlador; (b) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (c) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou (d) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Principais riscos

Os descumprimentos, pelos médicos, das disposições previstas na LGPD, podem tanto expô-los às sanções administrativas previstas na lei – desde advertência à aplicação de multa de até 2%do faturamento, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração – como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.

Como se adequar?

Será fundamental que os profissionais da saúde observem o enquadramento dos tratamentos de dados às hipóteses legais e a prevenção a incidentes de segurança. Abaixo, apresenta-se um fluxograma com um exemplo de etapas a serem cumpridas para garantir a adequação à LGPD, mas deve-se considerar que cada solução será particular e levará em conta a situação real da clínica.

Quer saber mais sobre a LGPD e assuntos correlatos à privacidade e proteção de dados? Acompanhe as próximas publicações! Comentários e sugestões são sempre bem-vindos 😉

[1]http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm (Lei Geral de Proteção de Dados Pessoais – LGPD)

[2]https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.POR&toc=OJ:L:2016:119:FULL

[3]Para saber mais sobre a regulação europeia, vide artigo 9º do GPDR. Em resumo, são as exceções: (a) a concessão de consentimento explícito; (b) o cumprimento de obrigação legal; (c) a proteção dos interesses vitais do titular dos dados ou de outra pessoa singular, quando física ou legalmente estiver incapacitado de dar o seu consentimento; (d) o tratamento efetuado (por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais) no âmbito das suas atividades legítimas e mediante garantias adequadas; (e) o tratamento de dados que tenham sido manifestamente tornados públicos pelo seu titular; (f) o tratamento necessário à declaração, ao exercício ou à defesa de um direito perante os tribunais; (g) o interesse público proporcional ao objetivo visado; (h) o tratamento para efeitos de segurança e medicina preventiva ou do trabalho; (i) o interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos; (j) o arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.

Deixe um comentário!

Sobre nós!

Acreditamos que com trabalho duro e estudo dedicado é possível aprimorar o que já existe, e principalmente criar o que ainda não existe.

Leia Mais!

Curta a nossa FanPage!

SIGA AS NOSSAS REDES SOCIAIS

RECEBA NOSSOS CONTEÚDOS

Copyright 2020 © Todos os direitos reservados