Artigo por Andreia Atinco Soares
A Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/18) já vigora no Brasil e tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo.
Segundo a legislação, dados pessoais são compreendidos como toda informação relacionada a pessoa natural identificada ou identificável e caracteriza como “sensível” toda informação pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, ou ainda, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Para tanto, a lei disciplina a forma pelo qual deve ser realizado o tratamento dos dados pessoais, desde a coleta, o armazenamento, a classificação, o compartilhamento e o descarte.
Para o setor de saúde, as exigências introduzidas pela LGPD são mais acentuadas, demandando um maior cuidado em sua implantação e monitoramento. Isso porque, a área da saúde controla e ou opera dados sensíveis e, por tal razão, a LGPD determina regras mais rígidas para o tratamento desses dados a fim de garantir maior segurança e transparências aos pacientes (titulares de dados). Afinal, clínicas, hospitais, operadoras, laboratórios e consultórios mantém banco de dados com CPF, endereço completo, histórico de saúde e plano de saúde com o qual o paciente está vinculado a depender de cada caso.
Convém lembrar que a Lei nº 13.787/2018 já estabelece diversas diretrizes importantes para a proteção dos dados pessoais dos titulares enquanto pacientes, dispondo sobre procedimentos de digitalização, utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de tais prontuários e documentos médicos em geral.
O prontuário do paciente pode ser físico ou digital e é um documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo, nos termos da Resolução nº 1.638/2002 Conselho Federal de Medicina (CFM). Nesse caso, considera-se, sobretudo, que as instituições de saúde têm que realizar as necessárias adequações para garantir a segurança e a privacidade dos dados de pacientes, garantindo supervisão permanente dos documentos em geral e prontuários sob sua guarda, visando manter a qualidade e a preservação das informações neles contidas.
A partir de agora, todos os dados pessoais de pacientes apenas poderão ser coletados de forma presencial ou digital e administrados pelos sistemas da empresa com prévia autorização expressa dos usuários ou ainda se a empresa apresentar outras bases legais que possam fundamentar o procedimento de tratamento utilizado.
É importante considerar que os pacientes têm direito de ser informados e notificados sobre o tratamento de suas informações pessoais e médicas, assim como proibir o seu uso ou fazer correções, sendo certo que a empresa deve estar preparada para atendê-lo nessas demandas. De igual forma, deve estar pronta para dar adequadas e imediatas respostas em caso de ocorrência de incidentes de vazamentos.
De igual forma, todos os dados deverão estar disponíveis para a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela edição de normas e fiscalização de procedimentos da LGPD.
A legislação é aplicável a todas as informações, tais como, prontuários, exames, diagnósticos, preenchimento de informações pessoais e telemedicina. Os gestores das plataformas digitais também devem observar o cumprimento da lei na cobrança de serviços via Troca de Informações em Saúde Suplementar (TISS), garantindo a privacidade de mensagens entre pacientes e médicos.
A partir de agosto de 2021, o descumprimento à legislação pode gerar multa diária de até 2% do faturamento da empresa, limitado a R$ 50 milhões, além de outras sanções administrativas relacionadas a publicização da infração e restrições de atividades.
Em casos análogos envolvendo vazamento dos dados ou acessos indevidos, já há aplicação de multas, conforme o caso do Hospital Barreiro Montijo, que recebeu uma multa no valor de 400 mil euros por: 1) violar o princípio da minimização, ao permitir acesso indiscriminado a um número excessivo de utilizadores; 2) violar a integridade e confidencialidade dos dados por falta de medidas de proteção; e 3) não implementar medidas técnicas e organizacionais para garantir um nível de segurança adequado à proteção dos pacientes.De tudo conclui-se que a LGPD exige dos profissionais da saúde uma adequação organizacional e uma mudança de cultura quanto ao uso dos dados pessoais dos pacientes, principalmente os que estão nos prontuários eletrônicos.É importante ressaltar que não basta contratar um sistema eletrônico para a gestão dos documentos pois é preciso analisar toda documentação utilizada, como por exemplo verificar como e por quanto tempo os prontuários ficam armazenados, quem tem o acesso e as medidas de segurança adotadas e devidamente documentadas.
Por isso, é importante que as empresas implantem um Plano de Adequação à LGPD adotando uma equipe formada por uma assessoria jurídica que atue juntamente com os demais gestores de segurança da informação e proteção de dados pessoais, de recursos humanos, de marketing, financeiro, dentre outros. O principal objetivo dessa ação é verificar a conformidade do sistema com a legislação para evitar violações aos direitos dos titulares, multas e sanções, bem como para promover boas práticas e, assim, gerar valor de mercado e prevenir danos a reputação empresarial.
Referências bibliográficas
BRASIL. Lei nº 13.709/18, Lei Geral de Proteção de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. BRASIL. Lei nº 13.787, dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13787.htm.
CONSELHO FEDERAL DE MEDICINA, Resolução CFM nº 1.638/2002. Disponível em: https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2002/1638.
RGPD: Centro Hospitalar Barreiro Montijo com multa de 400 mil euros. Disponível em: https://pplware.sapo.pt/informacao/violacao-do-rgpd-centro-hospitalar-barreiro-montijo-com-multa-de-400-mil-euros/.
Andrea Antico Soares é Assessoria Jurídica
Advogada e Docente Mestre em Direito
Especialista em Direito Digital e Compliance.
Especialista em Direito do Trabalho e Previdenciário
