Neste ano de 2019 muito se falou sobre a Lei Geral de Proteção de Dados, que começará a vigorar no país em agosto de 2020 – portanto daqui a oito meses.
As notícias veiculadas em diversas fontes de informações chamam atenção dos empresários acerca da responsabilidade com a coleta e armazenamento de dados dos clientes. Na área da saúde essa nova lei deve chamar ainda mais atenção.
Isto porque a normativa versa sobre a proteção dos dados pessoais e sensíveis do indivíduo, desde nome, data de nascimento e endereço à questões como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Como se vê, a relação entre profissionais da área da saúde (especialmente os médicos) e paciente costuma acessar, senão todos, grande parte dos dados citados na lei.
A preocupação se dá principalmente porque quando um profissional conhece uma doença em que o paciente é portador, pode inferir, por exemplo, acerca da sexualidade da pessoa, tendo acesso, indiscutivelmente, à esfera privada da sua vida. Esse acesso à privacidade, se não for bem controlado, pode causar danos ao paciente, como interferir nas suas relações familiares ou em sua vida profissional.
Um empregador, tendo acesso a dados de saúde de seus empregados, pode utilizar-se da informação para demitir funcionários que tenham hábitos pouco saudáveis acreditando que este não trará toda a dedicação que o cargo exige.
O impacto das informações relativas à saúde de um indivíduo pode ser estigmatizante e trazer prejuízos em questões sociais e de trabalho, razão pela qual a área da saúde apresenta repercussão especial na LGPD, diante da relevância que o tratamento dos dados sensíveis possui.
Cabe ressaltar que a lei também protege dados não sensíveis, uma vez que um simples cruzamento de informações pode acabar acessando uma informação privada do paciente. Pode-se dar o exemplo de acesso ao histórico de navegação na internet do indivíduo. A partir dos sites acessados é possível descobrir se a pessoa é portadora de alguma doença, qual ideologia política possui ou se está grávida.
Por essas questões, a lei determinou que a proteção do tratamento de dados deve ser ampla, alcançando todos os tipos de dados, desde que possibilitem a identificação da pessoa.
O termo “tratamento de dados” utilizado pela nova normativa quer dizer toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A lei determina que o tratamento desses dados deve ser dado por meio de termo de consentimento por escrito ou por outro meio hábil de demonstrar a concordância do titular dos dados, seja pelo seu titular ou pelo seu representante legal, em caso de incapazes.
Ressalta-se que a normativa alcança o tratamento de dados por meio digital ou físico.
Verifica-se que a LGPD se preocupou com a ponderação de interesses constitucionais, como o dever de informação e a proteção da privacidade, direitos tidos inclusive como conflitantes.
Espera-se que haja a elaboração de normas específicas pela Autoridade Nacional de Proteção de Dados – ANPD para a área da saúde, uma vez que não faria sentido, por exemplo, solicitar consentimento do paciente para coleta de um dado necessário para um atendimento de emergência. O que fica claro na normativa é que, caso haja interesse da clínica/hospital em utilizar os dados do paciente para outro fim que não o seu atendimento, deverá requisitar o seu consentimento prévio.
Neste sentido, também em casos de atendimentos eletivos, há necessidade de coleta do consentimento para o tratamento de dados e o documento que dispuser acerca desse consentimento deve conter cláusula específica e destacada sobre a questão.
Isso porque quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço – que é o caso da saúde – a lei determina que o titular deve ser informado com destaque sobre esse fato.
Salienta-se que o consentimento dado pelo paciente pode ser revogado a qualquer momento.
A legislação determina ainda que o paciente deve ter acesso facilitado às informações sobre o tratamento de seus dados, que devem ser disponibilizadas de forma clara, adequada e ostensiva acerca de sua finalidade, de sua forma, devendo informar quem é o controlador dos dados do titular e permitir o contato com essa pessoa, entre outras questões.
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito dos dados.
Frisa-se que a lei destaca duas pessoas (que podem ser físicas ou jurídicas) responsáveis pelo tratamento de dados: o controlador e o operador. O controlador toma as decisões acerca do tratamento dos dados e o operador efetivamente os opera.
Nesse norte, as clínicas/hospitais deverão capacitar profissionais para realização específica dessas funções ou contratar empresas especializadas.
Esses agentes serão responsáveis pelo tratamento dos dados dos pacientes, podendo ser responsabilizados à reparação de danos caso causem dano patrimonial, moral, individual ou coletivo.
Além da indenização cível, em caso de descumprimento da nova legislação, o estabelecimento estará sujeito à multa administrativa de até 2% do faturamento da clínica, tendo o limite de 50 milhões de reais.
Além do operador e do controlador, há necessidade de capacitar um encarregado, que será responsável por realizar a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Pode-se constatar que para se enquadrarem à nova lei, tanto os profissionais de saúde quanto as clínicas (ou seja, pessoa física ou jurídica que tenham acesso a dados de pacientes) deverão implementar uma política de compliance digital para o tratamento dos dados dos seus pacientes. Faz-se necessária uma inovação estrutural e comportamental para garantir o cumprimento da lei.
O benefício maior para médicos e pacientes diz respeito ao tráfego de informações. Isso facilitará em muito o tratamento multidisciplinar de um enfermo.
Além de implantar soluções seguras, como a utilização de softwares de monitoramento e redes criptografadas, é fundamental habilitar as pessoas que terão acesso a esses dados, de forma a alterar a política da clínica/hospital e criar um ambiente inviolável tanto para o profissional que tem a responsabilidade de guarda dos dados, quanto para o paciente, que tem o direito de preservação de sua intimidade.
Na prática, a LGPD amplia a responsabilidade do profissional, necessitando a elaboração de novas políticas internas e digitais.
Atualmente, podemos destacar que a segurança dos dados dos pacientes na área da saúde está melhor exteriorizada pelos profissionais que utilizam o prontuário médico eletrônico, em razão de ser o instrumento que concretiza o dever do profissional com o sigilo e a guarda dos dados sensíveis do paciente.
Assim, os médicos que já se utilizam de prontuário eletrônico ou que pretendem implantá-lo devem observar se esse sistema apresenta:
- assinatura a partir de um certificado digital ICP-Brasil ou CRM digital e;
- “Nível de garantia de segurança 2 (NGS2)”, estabelecidos no Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (de fácil acesso no site do CFM). Esse NGS2 assegura a impossibilidade de alteração posterior de dados consignados no prontuário médico, apresenta controle de acesso, de autenticação, de comunicação, auditoria, entre outros.
Somente os sistemas em conformidade com o NGS2 e assinados com certificado digital ICP-Brasil ou CRM digital atendem plenamente a legislação brasileira.
A Lei Geral de Proteção de Dados tem muito a somar na área da saúde, garantindo tanto a proteção do paciente quanto a do profissional, desde que a sua implementação seja feita de forma detalhada e responsável, estabelecendo-se princípios e aprimorando-se sistemas de informação.
Autoras: Ana Beatriz Nieto Martins (OAB/SP 356.287) e Erika Evangelista Dantas (OAB/SP 434.502), sócias do escritório de advocacia Dantas & Martins Advogadas Associadas, especializado em Direito da Saúde (www.dantasemartins.com.br; Instagram: @adv.dantasemartins)