No exercício das atividades dos profissionais da saúde, existe a realização de inúmeras atividades que envolvem o tratamento de dados pessoais, como por exemplo: o preenchimento de cadastros; o prontuário do paciente; a realização de exames e o arquivamento dos resultados; o envio de e-mails, trocas de mensagens (WhatsApp) e ligações telefônicas; a liberação de guias junto aos planos de saúde; cadastro de dados de crianças e adolescentes; e a elaboração de termo de consentimento informado.
Além disso, são mantidos dados de seus colaboradores que são utilizados para a execução do contrato de trabalho. Em todos os casos há tratamento de dados pessoais, sendo aplicável a LGPD (Lei Geral de Proteção de Dados Pessoais) aos serviços de saúde. Para saber como a LGPD impacta as atividades da área de saúde, confira abaixo treze perguntas e respostas que ajudarão a entender melhor a aplicação da lei a este setor tão importante.
O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) tem como objetivo a proteção dos dados pessoais, tutelando os direitos fundamentais da liberdade e privacidade da pessoa natural (pessoa física). Dado pessoal é qualquer informação que possa identificar o seu titular, como por exemplo, nome, CPF, apelido, biometria, DNA, etc. Assim, através de normas e princípios, a LGPD procura trazer ao titular dos dados pessoais a possibilidade de ter efetivo conhecimento de como eles são tratados, impondo às empresas uma série de obrigações legais e técnicas para adequação à lei.
Por que hospitais, clínicas, consultórios e laboratórios devem se adequar imediatamente à LGPD?
O tratamento de dados pessoais, seja de empregados ou pacientes, já implica na obrigatoriedade de atendimento à LGPD. Contudo, esses estabelecimentos tratam grande volume de dados sensíveis, os quais possuem uma regulação própria na lei. Logo, a adequação à LGPD (Lei Geral de Proteção de Dados Pessoais) é mandatória, sob penas de sofrerem as consequências negativas dos desrespeitos às normas e princípios previstos, como será mais bem detalhado em post futuro.
O que são dados sensíveis?
A LGPD traz o conceito de dados pessoais sensíveis, como sendo aqueles passíveis de gerar discriminação, estando aqui incluídos os dados relativos à saúde, à vida sexual, dado genético ou biométrico, origem racial ou étnica, convicção religiosa. Os dados sensíveis possuem regras especiais de tratamento, o que exige o cumprimento de obrigações específicas pelo serviço de saúde, dentre elas, o consentimento do titular como regra.
O tratamento de dados sensíveis e o consentimento do titular?
A LGPD traz como regra o consentimento do titular para o tratamento dos dados pessoais sensíveis. Este consentimento deve ser livre, informado e inequívoco. Isso significa que os serviços de saúde deverão informar ao titular, na ocasião da coleta dos dados pessoais, os motivos e finalidades pelas quais estão sendo coletados aqueles dados, de modo que o titular tenha total liberdade em fornecê-los ou não. Ademais, deve haver uma autorização inequívoca comprovando que o titular compreendeu as finalidades informadas, sendo vedado obter autorizações genéricas que englobem várias finalidades. O consentimento, portanto, não pode ser genérico, devendo ser específico para a finalidade que demanda seu processamento. O estabelecimento deve ter condições de comprovar que obteve o consentimento, por isso ele deve ser escrito ou em outro formato que demonstre a manifestação de vontade do titular. O titular pode negar o consentimento, mas deverá ser devidamente informado das consequências dessa negativa.
É possível o tratamento de dados sensíveis sem o consentimento do titular?
Como visto no parágrafo anterior, o consentimento é a regra no tratamento de dados sensíveis. No entanto, a ausência de consentimento não obsta o tratamento de dados pessoais sensíveis, quando este tratamento for indispensável para atingir as outras hipóteses legais. Assim, o consentimento será dispensado quando o tratamento visar o cumprimento de obrigação legal ou regulatória, a proteção da vida do titular ou de terceiros, exercício regular de direitos, inclusive em contrato e em processo judicial e tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Desse modo, devem ser mapeados e identificados os casos de tratamentos de dados sensíveis que não exigem o consentimento do titular.
Como deve ser feita a coleta de dados pessoais?
Além da necessidade de informação clara, inequívoca e livre sobre o consentimento do titular (quando ele for necessário), a coleta de dados pessoais deve ser feita sempre da forma menos invasiva possível, coletando-se apenas os dados essenciais ao atendimento da finalidade pretendida. A coleta de dados deve ser mínima, evitando-se o tratamento de dados pessoais desnecessários. Todos os contratos, formulários e termos de consentimento informado já utilizados deverão ser revisados e adequados se for o caso.
Quais os cuidados no uso e armazenamento dos dados pessoais?
Nos serviços de saúde circulam dados em ambiente digital e físico. Em ambos os casos devem ser adotadas regras e procedimentos para o uso e armazenamento adequados dos dados pessoais. A LGPD é clara no sentido que os controladores (como os serviços de saúde) e operadores (empresas que tratam os dados a mando do controlador) devem adotar medidas de segurança, técnicas e administrativas, em ambiente virtual e físico, visando a proteção dos dados pessoais contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação e compartilhamento, que possam causar danos aos titulares, o que implica não só investimentos na parte de Segurança da Informação, mas também no treinamento e conscientização dos empregados quanto aos cuidados no exercícios de suas atividades.
Para concretizar essas medidas, deverá ser criado um programa de privacidade e proteção de dados pessoais onde os processos sejam todos mapeados, indicando detalhadamente quem pode ter acesso a determinados dados pessoais, como eles serão manuseados e utilizados, atendendo as finalidades consentidas pelo titular. Aqui, destaca-se ainda a publicação da lei nº a lei 13.787/18 (Prontuário eletrônico de paciente) que dispõe sobre a digitalização e utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuários de paciente, adotando-se meios de protegê-los do acesso, uso, alteração, reprodução e destruição não autorizados.
Os dados pessoais podem ser compartilhados?
Os dados pessoais dos pacientes e clientes podem ser compartilhados com outras empresas. No entanto, é importante que exista uma justificativa para essa transferência e ela esteja relacionada à finalidade informada ao titular. Tratando-se de dados sensíveis, em regra deverá existir o consentimento do titular para esse compartilhamento, ressalvas as hipóteses legais onde o consentimento é desnecessário, como já visto em post anterior.
Em que momento os dados pessoais podem ser eliminados?
A LGPD prevê que os dados pessoais serão ser eliminados após o término do seu tratamento. Porém, existem hipóteses em que a sua conservação é autorizada, mesmo quando a finalidade do tratamento já foi alcançada ou quando o titular requer sua eliminação. Desse modo, é importante identificar em quais situações os dados pessoais deverão ser armazenados pelo serviço de saúde. Como exemplo, podemos citar o período de armazenamento do prontuário pelo médico. Ainda que o paciente/titular dos dados solicite sua eliminação, o médico tem por obrigação legal conservá-lo pelo período de mínimo de 20 (vinte) anos.
Como fica o tratamento de dados de crianças e adolescentes?
Serviços de saúde comumente tratam dados de crianças e adolescentes. Nesses casos, a lei prevê que o tratamento dos dados pessoais seja feito no melhor interesse do menor. Em se tratando de dados de crianças, é necessário o consentimento específico e em destaque por pelos menos um dos pais ou responsável legal, devendo o serviço de saúde manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para assegurar os direitos dos titulares. Portanto, será necessário obter o consentimento dos responsáveis, confirmando essa qualidade de quem assinará o documento. Tratando-se de consentimento, o serviço de saúde deverá ter condições de comprovar o momento em que ele foi fornecido.
Quais são os direitos dos titulares sobre os seus dados pessoais?
A LGPD assegura vários direitos aos titulares dos dados pessoais, os quais poderão ser exercidos a qualquer momento, mediante requisição e a título gratuito. Dentre os direitos, podemos citar o direito de acesso aos dados, correção, anonimização, portabilidade, eliminação, informação e revogação do consentimento. Logo, o serviço de saúde deve ter um canal para atendimento das demandas ou justificar a impossibilidade de atendê-las. O desatendimento às solicitações do titular pode implicar em reclamação do titular à Autoridade Nacional de Proteção de Dados (ANPD), gerando risco de multas administrativas, ou então justificar uma ação judicial movida pelo titular.
Quais as consequências pelo descumprimento da LGPD?
O desatendimento à LGPD pode implicar em várias situações. Administrativamente, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções, desde advertência, publicização da infração e multa que pode chegar até 2% (dois por cento) do faturamento da pessoa jurídica no seu último exercício, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Estas sanções administrativas somente poderão ser aplicadas a partir de Agosto/2021. Judicialmente, poderá haver questionamentos e ações por parte dos titulares de dados que não tenham seus direitos respeitados ou tenham sido afetados por algum incidente de vazamento de dados pessoais, por exemplo. Além das questões administrativas e judiciais, os incidentes envolvendo dados pessoais podem causar relevante prejuízo reputacional ao serviço de saúde, pois demonstrará falta de zelo e cuidado no tratamento dos dados pessoais. Portanto, a correta adequação à lei busca minimizar esses riscos.
Quais os benefícios gerados pela adequação à LGPD?
A adequação à LGPD poderá trazer vantagem competitiva aos serviços de saúde, pois demonstrará a intenção de tratamento ético e transparente dos dados de seus pacientes e clientes, inclusive no atendimento de eventuais solicitações feitas por estes, bem como pelo fato de que as empresas em conformidade com a lei buscarão parceiros (prestadores de serviços) igualmente adequados.
Se você trabalha com serviços de saúde e tem mais dúvidas sobre como se adequar a LGPD, entre em contato com nosso escritório: 41. 99825 0828 (WhatsApp)