Símbolo do Jus.com.br Jus.com.br

Lei Geral de Proteção de Dados e os profissionais da área da saúde

O presente artigo busca esclarecer qual será a influência da Lei Geral de Proteção de Dados para os profissionais da área da saúde, principalmente clínicas e hospitais.

Neste ano de 2019 muito se falou sobre a Lei Geral de Proteção de Dados, que começará a vigorar no país em agosto de 2020 – portanto daqui a oito meses.

As notícias veiculadas em diversas fontes de informações chamam atenção dos empresários acerca da responsabilidade com a coleta e armazenamento de dados dos clientes. Na área da saúde essa nova lei deve chamar ainda mais atenção.

Isto porque a normativa versa sobre a proteção dos dados pessoais e sensíveis do indivíduo, desde nome, data de nascimento e endereço à questões como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Como se vê, a relação entre profissionais da área da saúde (especialmente os médicos)  e paciente costuma acessar, senão todos, grande parte dos dados citados na lei.

A preocupação se dá principalmente porque quando um profissional conhece uma doença em que o paciente é portador, pode inferir, por exemplo, acerca da sexualidade da pessoa, tendo acesso, indiscutivelmente, à esfera privada da sua vida. Esse acesso à privacidade, se não for bem controlado, pode causar danos ao paciente, como interferir nas suas relações familiares ou em sua vida profissional.

Um empregador, tendo acesso a dados de saúde de seus empregados, pode utilizar-se da informação para demitir funcionários que tenham hábitos pouco saudáveis acreditando que este não trará toda a dedicação que o cargo exige.

O impacto das informações relativas à saúde de um indivíduo pode ser estigmatizante e trazer prejuízos em questões sociais e de trabalho, razão pela qual a área da saúde apresenta repercussão especial na LGPD, diante da relevância que o tratamento dos dados sensíveis possui.

Cabe ressaltar que a lei também protege dados não sensíveis, uma vez que um simples cruzamento de informações pode acabar acessando uma informação privada do paciente. Pode-se dar o exemplo de acesso ao histórico de navegação na internet do indivíduo. A partir dos sites acessados é possível descobrir se a pessoa é portadora de alguma doença, qual ideologia política possui ou se está grávida.

Por essas questões, a lei determinou que a proteção do tratamento de dados deve ser ampla, alcançando todos os tipos de dados, desde que possibilitem a identificação da pessoa.

O termo “tratamento de dados” utilizado pela nova normativa quer dizer toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A lei determina que o tratamento desses dados deve ser dado por meio de termo de consentimento por escrito ou por outro meio hábil de demonstrar a concordância do titular dos dados, seja pelo seu titular ou pelo seu representante legal, em caso de incapazes.

Ressalta-se que a normativa alcança o tratamento de dados por meio digital ou físico.

Verifica-se que a LGPD se preocupou com a ponderação de interesses constitucionais, como o dever de informação e a proteção da privacidade, direitos tidos inclusive como conflitantes.

Espera-se que haja a elaboração de normas específicas pela Autoridade Nacional de Proteção de Dados – ANPD para a área da saúde, uma vez que não faria sentido, por exemplo, solicitar consentimento do paciente para coleta de um dado necessário para um atendimento de emergência. O que fica claro na normativa é que, caso haja interesse da clínica/hospital em utilizar os dados do paciente para outro fim que não o seu atendimento, deverá requisitar o seu consentimento prévio.

Neste sentido, também em casos de atendimentos eletivos, há necessidade de coleta do consentimento para o tratamento de dados e o documento que dispuser acerca desse consentimento deve conter cláusula específica e destacada sobre a questão.

Isso porque quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço – que é o caso da saúde – a lei determina que o titular deve ser informado com destaque sobre esse fato.

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

Salienta-se que o consentimento dado pelo paciente pode ser revogado a qualquer momento.

A legislação determina ainda que o paciente deve ter acesso facilitado às informações sobre o tratamento de seus dados, que devem ser disponibilizadas de forma clara, adequada e ostensiva acerca de sua finalidade, de sua forma, devendo informar quem é o controlador dos dados do titular e permitir o contato com essa pessoa, entre outras questões.

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito dos dados.

Frisa-se que a lei destaca duas pessoas (que podem ser físicas ou jurídicas) responsáveis pelo tratamento de dados: o controlador e o operador. O controlador toma as decisões acerca do tratamento dos dados e o operador efetivamente os opera.

Nesse norte, as clínicas/hospitais deverão capacitar profissionais para realização específica dessas funções ou contratar empresas especializadas.

Esses agentes serão responsáveis pelo tratamento dos dados dos pacientes, podendo ser responsabilizados à reparação de danos caso causem dano patrimonial, moral, individual ou coletivo.

Além da indenização cível, em caso de descumprimento da nova legislação, o estabelecimento estará sujeito à multa administrativa de até 2% do faturamento da clínica, tendo o limite de 50 milhões de reais.

Além do operador e do controlador, há necessidade de capacitar um encarregado, que será responsável por realizar a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Pode-se constatar que para se enquadrarem à nova lei, tanto os profissionais de saúde quanto as clínicas (ou seja, pessoa física ou jurídica que tenham acesso a dados de pacientes) deverão implementar uma política de compliance digital para o tratamento dos dados dos seus pacientes. Faz-se necessária uma inovação estrutural e comportamental para garantir o cumprimento da lei.

O benefício maior para médicos e pacientes diz respeito ao tráfego de informações. Isso facilitará em muito o tratamento multidisciplinar de um enfermo.

Além de implantar soluções seguras, como a utilização de softwares de monitoramento e redes criptografadas, é fundamental habilitar as pessoas que terão acesso a esses dados, de forma a alterar a política da clínica/hospital e criar um ambiente inviolável tanto para o profissional que tem a responsabilidade de guarda dos dados, quanto para o paciente, que tem o direito de preservação de sua intimidade.

Na prática, a LGPD amplia a responsabilidade do profissional, necessitando a elaboração de novas políticas internas e digitais.

Atualmente, podemos destacar que a segurança dos dados dos pacientes na área da saúde está melhor exteriorizada pelos profissionais que utilizam o prontuário médico eletrônico, em razão de ser o instrumento que concretiza o dever do profissional com o sigilo e a guarda dos dados sensíveis do paciente.

Assim, os médicos que já se utilizam de prontuário eletrônico ou que pretendem implantá-lo devem observar se esse sistema apresenta:

- assinatura a partir de um certificado digital ICP-Brasil ou CRM digital e;

- “Nível de garantia de segurança 2 (NGS2)”, estabelecidos no Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (de fácil acesso no site do CFM). Esse NGS2 assegura a impossibilidade de alteração posterior de dados consignados no prontuário médico, apresenta controle de acesso, de autenticação, de comunicação, auditoria, entre outros.

Somente os sistemas em conformidade com o NGS2 e assinados com certificado digital ICP-Brasil ou CRM digital atendem plenamente a legislação brasileira.

A Lei Geral de Proteção de Dados tem muito a somar na área da saúde, garantindo tanto a proteção do paciente quanto a do profissional, desde que a sua implementação seja feita de forma detalhada e responsável, estabelecendo-se princípios e aprimorando-se sistemas de informação.

 

Autoras: Ana Beatriz Nieto Martins (OAB/SP 356.287) e Erika Evangelista Dantas (OAB/SP 434.502), sócias do escritório de advocacia Dantas & Martins Advogadas Associadas, especializado em Direito da Saúde (www.dantasemartins.com.br; Instagram: @adv.dantasemartins)

Sobre as autoras
Ana Beatriz Nieto Martins

Advogada (OAB/SP 356.287), sócia no escritório Dantas & Martins Advogadas Associadas, voltado o atendimento de profissionais da saúde, realizando diagnóstico de riscos jurídicos e elaborando condutas preventivas que permitam uma atuação segura e tranquila.

Erika Evangelista Dantas

Advogada (OAB/SP 434.502), sócia do escritório de advocacia Dantas & Martins Advogadas Associadas, especializado em direito da saúde.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!