Resumo: O surgimento da Lei 13.709/2018, intitulada Lei Geral de Proteção de Dados, busca regulamentar uma conhecida “terra sem lei”, que é o ambiente digital, onde dados pessoais são facilmente expostos sem consentimento dos cidadãos, empresas, órgãos governamentais, hospitais e clínicas, dentre outras entidades. Nesse tocante, o presente artigo busca demonstrar a importância da adaptação do ambiente hospitalar aos moldes estabelecidos na referida lei que, alinhada com as normas de compliance, certamente dará maior segurança quanto aos dados pessoais relacionados principalmente à saúde. Importante destacar que os dados tratados dentro do ambiente hospitalar são, pela Lei Geral de Proteção de Dados, dados sensíveis, englobando resultados de exames, prescrições médicas, dentre outros dados que são coletados dentro do nosocômio. Ainda, não se pode deixar de atentar para a severidade das sanções legais em caso de descumprimento dos ditames expostos na Legislação Geral de Proteção de Dados que, dependendo da gravidade da infração, pode acarretar a interdição dos serviços hospitalares.
Palavras chave: Saúde. Dados. Compliance. Proteção. Hospitais.
1 Introdução
A finalidade do presente artigo é de demonstrar a importância das práticas de compliance, bem como a necessidade de se ter um setor de compliance alinhado com os critérios impostos pela Lei de Proteção de Dados, que entra em vigor a partir do mês de agosto do ano de 2020.
Os dados pessoais são extremamente valiosos e o seu vazamento pode acarretar inúmeros prejuízos aos cidadãos, tanto na esfera pessoal, quanto patrimonial do titular, principalmente por afrontar um direito fundamental, qual seja, o direito de não ter a sua intimidade e vida privada violadas, conforme dispõe o artigo 5º, predominantemente nos incisos X e XII da nossa Carta Magna. (BRASIL, 1988).
Uma das formas de demonstrar o quão valiosos são os dados pessoais, cito como exemplo a esfera da relação de consumo, onde as empresas violam a privacidade dos cidadãos para otimizar o marketing e melhorar as vendas. Hoje facilmente se sabe sobre os hábitos de consumo de uma pessoa através de um estudo de suas redes sociais.
Os dados pessoais dos consumidores sempre foram atraentes para o mercado. Com dados precisos sobre os consumidores é possível, por exemplo, organizar um planejamento de produtos e vendas mais eficiente, ou mesmo uma publicidade voltada às reais características dos consumidores, entre diversas outras possibilidades. Há pouco tempo atrás, o custo para se obter tais dados pessoais costumava restringir severamente a quantidade destas informações que eram efetivamente coletadas e utilizadas. (BRASIL, 2010)
A Comissária Europeia do consumo, Meglena Kuneva, em um discurso proferido, disse algo que impactou a todos, que sintetizou o entendimento sobre o quão valiosos são os dados pessoais. Ela disse, de forma bastante clara, que “os dados pessoais são o novo óleo da internet e a nova moeda do mundo digital” . (KUNEVA, 2009)
Em um passado recente, mais precisamente no mês de julho do ano de 2019, estourou um escândalo no Brasil, onde a Empresa Ypê, marca bastante conhecida, foi responsável pelo vazamento de dados pessoais de 1,2 milhões de brasileiros que se cadastraram em uma promoção da marca, expondo dados como, nome completo, RG, CPF, ID de participação, data de nascimento, sexo, cidade, e-mail, senha, telefone, idade cadastro, dentre outros. (PAYÃO, 2019)
A posse desses dados em mãos erradas pode ocasionar prejuízos, pois é cediço que um cibercrimonoso pode, além de acessar suas finanças, até roubar outros dados pessoais, e ainda, proceder a instalação de vírus nos computadores.
Mas, para que fique clara a importância desses institutos para o ambiente hospitalar, inicialmente devemos conceituar compliance, também, na famigerada Lei Geral de Proteção de Dados.
Cumpre destacar que a Lei Geral de Proteção de Dados trata os dados relacionados à saúde como sendo dados sensíveis. Portanto, possui uma importância maior do que os outros, e, nesse prisma, dada a grande manipulação desses dados pelos ambientes hospitalares, é que se faz necessário o presente estudo e adequação.
Por fim, restará demonstrada a importância do ambiente hospitalar possuir uma política de compliance devidamente alinhada aos termos da Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, para que se evite sansões administrativas e judiciais, e, também, que os cidadãos, usuários desses sistemas, possam ter a certeza de que seus dados estão protegidos sob políticas rígidas de proteção.
A metodologia utilizada para elaboração do presente estudo foi a dedutiva, por meio da revisão bibliográfica de doutrinadores, bem como de artigos específicos no tema em questão, voltados para a área da Administração, do Direito Empresarial e do Direito Digital.
2 Contextualização
É importante frisar que este trabalho está direcionado para o ambiente hospitalar, sendo este o foco. Todas as empresas têm devidamente caracterizadas quais são as suas missões, visão e valores, inclusive uma casa hospitalar. Sendo assim, o compliance está diretamente ligado às ferramentas que buscam a realização dessas premissas, as quais não devem ser colocada apenas no papel, mas sim, ser um objetivo concreto da empresa.
Na língua inglesa, a palavra compliance significa “estar em conformidade”, portanto, uma instituição hospitalar não pode se ater apenas ao cumprimento de regras para poder dizer que a sua governança se dá com excelência; mas sim, a definição de compliance é muito ampla, e, dentre alguns conceitos, “é um conjunto de regras, padrões, procedimentos éticos e legais, que, uma vez definido e implantado, será a linha mestra que orientará o comportamento da instituição no mercado em que atua, bem como, a atitude dos seus funcionários” (CANDELORO; RIZZO; PINHO, 2012, p. 30).
Portanto, como se vê, o conceito de compliance vai muito além do que o mero cumprimento de regras formais ou informais: se trata de uma política de gerenciamento de riscos, se preocupa com a reputação da empresa perante a sociedade e parceiros diretos, exige condutas éticas e dentro da lei, permitindo que, paralelamente, os ambientes hospitalares possam perseguir sua lucratividade de forma sustentável, buscando alinhar o desenvolvimento socioambiental e econômico nas diretrizes de seu negócio.
“no cenário mundial, casos como os atos terroristas nos Estados Unidos, em 2001, os escândalos de governança, como, por exemplo, os relacionados ao Banco Barings, Enron, WordCom e Parmalat e a mais recente crise financeira mundial, além da divulgação de casos de corrupção envolvendo autoridades públicas e também desvios de recursos em entidades do terceiro setor, acentuaram a necessidade de maior conformidade a padrões legais e éticos de conduta. O aumento da pobreza, dos problemas sociais, ambientais, e neste último caso, a chamada crise ambiental ampliou a abrangência do Compliance para novos padrões desejáveis de comportamento” (COIMBRA; MANZI; 2010, p. 1-2)
Como se vê, o compliance compreende, dentre outras diretrizes, o gerenciamento e controle de riscos de uma empresa, sendo independente, tendo acesso direto ao Conselho Administrativo, além de exigir o cumprimento de atitudes éticas e de acordo com a Legislação, e essa última é onde se encaixa o dever legal de cumprir com os requisitos da Legislação de Proteção de Dados, que entra em vigor no mês de agosto do ano de 2020.
Conforme restou demonstrado que as políticas de compliance exigem o cumprimento da lei, é nesse ponto que devemos alinhar os critérios da Lei 13.709/2018 às normas de compliance já existentes dentro do ambiente hospitalar. Mas, antes de entrarmos especificadamente nesse ponto, é importante entender o contexto e o que dispõe a referida legislação.
Nós temos dois paralelos que se encontram, e, desse encontro, resultam as preocupações, quais sejam, os dados pessoais e a tecnologia de informação. Essa última, utiliza a internet como uma das ferramentas. No tópico 1 deste artigo, falei sobre a internet como sendo “uma terra sem lei”, pelo fato de que nesse ambiente não é respeitado a imagem, honra e nome das pessoas.
Basta uma rápida verificação online para saber de suas preferências musicais, hábitos de vida, operações financeiras, orientação sexual, dentre outros, e, segundo preceitua a doutrina de Pérez Luño, o cruzamento destes dados pode resultar na “síndrome do aquário”, porque os cidadãos vivem em uma casa de cristal, que pode ser constantemente observada e controlada (PÉREZ LUÑO, 2004, p. 96).
Hoje as coisas acontecem muito rápido, existe “[...] gama crescente de dados consultados diretamente, o que lhes conferiu maior autonomia de escolha, pois a informática permitiu digitalizar as informações, armazená-las, trata-las automaticamente, transportá-las e colocá-las à disposição do usuário final, o que antes não acontecia” (SILVA, 2010, p. 3907).
Com relação ao Brasil, não podemos deixar de lembrar o grande escândalo de espionagem norte-americano, conhecido como o “caso Snowden”, onde houve o vazamento de dados sobre o país, demonstrando a fragilidade que o Brasil possui quando o assunto é a proteção de dados.
A presidente Dilma Rousseff, em seu discurso durante a 68ª Assembleia Geral das Nações Unidas, disse o seguinte; “Imiscuir-se dessa forma na vida dos outros países fere o direito internacional e afronta os princípios que devem reger as relações entre eles, sobretudo, entre nações amigas” (PASSARINHO, 2013).
Diante do ocorrido, conforme noticiário, inclusive, a Polícia Federal foi acionada para investigar os vazamentos apontados por Snowden, que ferem a soberania nacional, violando a privacidade de cidadãos brasileiros. (NÉRI, 2013).
A preocupação com os dados pessoais, principalmente diante da fragilidade aqui apresentada - sendo que a internet torna a veiculação desses dados de forma imediata -vários países criaram normas regulamentadoras. No Brasil, cumpre destacar a Lei 12.965/2014, conhecida como o Marco Civil da Internet, criada no Governo da Presidente Dilma Rousseff, que estabelece princípios, garantias, direitos e deveres que norteiam o uso da internet em nosso país.
Contudo, a legislação citada, em que pese constar a proteção de dados como princípio, até por regulamentar questões gerais com relação ao uso da internet, acabou por não atender a todos os anseios com relação a proteção dos dados pessoais, deixando lacunas, dentre elas, a questão dos dados pessoais no âmbito digital.
O Governo Brasileiro, diante dos escândalos citados, e observando que o mundo inteiro está preocupado com a proteção de dados, lançou o Projeto de Lei nº 5.276/16 por meio do qual formulou o regulamento que busca centralizar as diretrizes de proteção de dados em uma única legislação.
Vale destacar que o projeto de Lei nº 5.276/16 foi baseado no regulamento 679/2016 da União Europeia, inclusive com artigos que possuem redação muito próxima. Pode-se dizer que as legislações aqui citadas foram o estopim para a criação e aprovação da Lei Geral de Proteção de Dados.
Ainda, não se pode deixar de citar que, com o advento da legislação de proteção de dados aos países da União Europeia, a esses países restou vedado realizar negócios comerciais com países que não possuam uma regulamentação rígida no que tange a proteção de dados. Portanto, a ausência de regulamentação por parte do Brasil certamente afetaria a sua economia, motivo pelo qual houve a necessidade de criação da referida LGPD.
Conforme dito, a referida legislação está em seu período de vacatio legis, pois entra em vigor somente no mês de agosto do ano de 2020. Contudo, as Empresas vivem em um momento de adaptação, pois quando a lei entrar vigor, a política de proteção de dados já deve estar devidamente instalada e em pleno funcionamento.
A Lei nº 13.709/2018, em seu artigo 1º, caput, aduz que “Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” Brasil (2018).
Para que possamos compreender qual a finalidade desta norma, é imprescindível compreender o que são dados pessoais, pelo viés da legislação aqui estudada. Pois bem, nesse tocante, segundo o artigo 5º da referida norma, existem alguns tipos de dados, o dado pessoal, dado anonimizado, dado pessoal sensível.
Dados pessoais, segundo a lei, é uma informação relacionada à pessoa natural identificada ou identificável, o que implica em dizer que: “[...] Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da internet) e cookies, entre outros” (SERPRO, 2019). Como se vê, o conceito é amplo, e ao analisa-lo se observa facilmente a fragilidade em que vivemos, pois é incontroverso que dados pessoais vazam a todo momento, ou ainda, são manipulados sem qualquer consentimento do verdadeiro dono.
Por outro lado, não há como vedar plenamente o tratamento de dados pessoais, pois tais dados são essenciais, por exemplo, para o desenvolvimento da inteligência artificial, melhorias na segurança pública, pois podem ser tratados pelos governos para otimizar a segurança, no auxílio para analises comportamentais, contudo, tais dados devem ser anonimizados, mas o que isso quer dizer. Dados anonimizados, segundo a lei 13.709/2018, são aqueles onde o titular desse dado não pode ser identificado, e isso se dá através de meios técnicos para tratamento deste dado.
Em suma, o dado anonimizado, é um dado que foi tratado de tal forma que, mesmo utilizando meios eficazes de rastreamento, não é possível chegar ao seu titular, e é importante destacar que tal dado não é sancionado pela LGBT, contudo, se em algum momento esse dado for analisado e de alguma forma puder alcançar o seu titular, ai se trata de um dado falsamente anonimizado, podendo então, sofres as sansões estipuladas na Lei 13.709/2018. Ainda com relação aos dados anonimizados, é importante destacar que estes só podem ser tratados seguindo os critérios definidos pela lei.
Agora, o dado mais importante para o deslinde desse trabalho, sendo o foco do presente estudo, é o que a Lei chama de dado pessoal sensível, que são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, e dado genético ou biométrico, quando vinculado a uma pessoa natural.
Como se vê, o vazamento desses dados considerados sensíveis pode acarretar inúmeros prejuízos ao seu titular, desde uma discriminação, até a privação do seu direito à liberdade e quiçá, a sua vida. Uma vez entendida a classificação dos dados para a Lei 13.709/2018, vamos nos ater ao foco do estudo, que é o tratamento com relação aos dados sensíveis dentro do ambiente da saúde, com mais ênfase, no ambiente hospitalar.
2.1 Tratamento dos dados segundo a Lei 13.709/2018
Qualquer operação realizada com os dados pessoais se encaixa no conceito de tratamento, ou seja, o simples fato de você receber um dado pessoal já se encaixa em uma espécie de tratamento. O Artigo 5º da LGPD, em seu inciso X, deixa clarA a amplitude do significado de tratamento dos dados pessoais, destacando que é toda a operação realizada com os referidos dados. vale dizer que a regra constante nesse dispositivo legal não é taxativa.
Sem uma regulamentação legal, os possuidores dos dados pessoais, não importa a forma como foRAM obtidoS, se de boa ou má-fé, poderiam tratá-los como lhes fosse conveniente, sem se preocupar com eventual dano que poderia causar ao titular dos referidos dados.
A Lei Geral de Proteção de Dados (LGPD), além de delimitar em que consiste o tratamento de dados, também elencou os princípios que devem ser seguidos para quem irá efetuar o referido tratamento, e esses princípios estão consubstanciados no artigo 6º do referido diploma legal.
Existem princípios norteadores que dão o suporte para à Lei Geral de Proteção de Dados, devendo ser respeitados, sendo assim,
Podemos dizer que são 11 (onze) princípios que norteiam a utilização lícita dos dados pessoais, quais sejam, a finalidade, adequação, necessidade, acesso livre, qualidade dos dados, transparência, segurança, prevenção não discriminação, responsabilização e por fim, o consentimento. (SERPRO, 2019).
A finalidade, ou seja, o titular dos dados pessoais necessita saber de forma especifica e devidamente informada o que será feito com seus dados pessoais, assim como também a adequação, pois a finalidade informada deve ser compatível com o tratamento utilizado aos dados (o princípio da necessidade). Deve ser extraído do titular somente os dados pessoais necessários para a finalidade anteriormente informada. Por exemplo, uma casa hospitalar não precisa saber o número do PIS de um paciente, isso não tem relevância nenhuma para a finalidade que o titular busca nesse ambiente.
Ainda, temos o princípio do acesso livre, sendo que o cidadão tem o direito de saber e acessar a forma como seus dados estão sendo tratados, e quais dados estão sendo efetivamente utilizados.
Um outro princípio é o da qualidade dos dados, deixando-os exatos e atualizados, atendendo a real necessidade do tratamento, ademais, não se pode deixar de citar o importantíssimo princípio da transparência, pois o titular deve saber de forma clara o agente que está realizando o tratamento, ressalvado nesses casos os segredos comerciais e industriais, pois esse não é o objetivo da lei.
Temos também o princípio da segurança, para que possamos evitar atos acidentais ou condutas ilícitas como por exemplo, um vazamento indevido dos dados, invasão, perda ou ainda, difusão dos referidos dados, o princípio da prevenção, que se tratam de condutas que visam a evitar danos ao titular dos dados pessoais, ou a demais envolvidos; o princípio da não discriminação, não podendo ser a finalidade do tratamento dos dados o uso para atos discriminatórios e abusivos; e, por fim, o princípio da responsabilização, onde o agente do tratamento é obrigado a demonstrar que fez o tratamento adequado para a finalidade proposta, adotando as medidas corretas e em observância a Lei Geral de Proteção de Dados.
Agora, a premissa maior que está demonstrada na LGPD, sendo a sua base, é o consentimento. Este deve ser dado de forma explicita e inequívoca, o que implica em dizer que o autor dos dados deve autorizar o uso e, o mais importante: essa autorização deve ser dada antes de qualquer tratamento. Contudo, se faz necessário destacar que existem algumas exceções na lei que dispensam o consentimento, como por exemplo, quando é necessário proteger a vida e a incolumidade física do titular ou de terceiros, mas é necessário destacar que o fato de poder usar os dados sem consentimento, não exime o agente de cumprir com os princípios e demais critérios estabelecidos na LGPD.
Ainda, referente ao consentimento, vale frisar que a finalidade pela qual se exige o tratamento dos dados pessoais não pode ser genérica, mas sim, específica, caso o consentimento seja obtido para uma finalidade genérica, a autorização é nula.
2.2 O Alinhamento da LGPD às normas de Compliance
Antes de adentrarmos especificamente no ambiente hospitalar, cabe demonstrar como a Lei Geral de Proteção de Dados deve ser alinhada as práticas de compliance de uma empresa, ou seja, delimitar a importância do trabalho em conjunto destes dois institutos.
A importância é tão evidente, que a própria Lei 13.709/2018, trouxe uma seção chamada de “Das Boas Práticas de Governança”, e governança atuando em conjunto com as políticas de compliance asseguram uma boa gestão e reputação da empresa.
Nos dias de hoje, conforme já dito em tópicos anteriores, para que se tenha uma boa gestão, é imprescindível a implantação de uma política de compliance, o que implica em dizer que a governança está intimamente ligada há uma boa política de compliance.
Partindo desse pressuposto, assim como a governança atua em conjunto com a política de compliance da empresa, a Lei Geral de Proteção de Dados deve estar alinhada a essa política de compliance, para que, em conjunto se crie diretrizes que visem a adequar as empresas aos requisitos legais exigidos pela LGPD.
Nesse ponto, destaco o que diz o artigo 50, caput, parágrafos e incisos, da Lei 13.709/2018, sendo que, ao interpretar o referido dispositivo, está claro que se trata de condutas amparadas em regras de compliance, pois a boa prática de governança vai melhorar a reputação da empresa, dando mais credibilidade ao usuários, passando segurança para quem fornece os dados pessoais, minimizando os riscos de danos.
2.3 Das sanções administrativas impostas pela LGPD
O estudo sobre o tema apresentado nesse trabalho é de fundamental importância, pois as sanções impostas pela LGPD são severas, podendo variar de uma advertência com a determinação de prazo para que se adote as medidas corretivas, até uma multa pecuniária, que varia de 2% (dois por cento) do faturamento da empresa, até o limite de R$ 50.000.000,00 (cinquenta milhões de reais), conforme dispõe o artigo 52 da Lei 13.709/2018. Brasil (2018).
Além das sanções citadas acima, uma empresa que se preocupa com sua reputação acaba por não perder só na esfera patrimonial, mas a sua credibilidade e reputação são colocadas em “cheque”, pois as advertências e multas serão publicadas pela ANPD (autoridade nacional de proteção de dados), órgão governamental criado para fiscalizar e determinar as diretrizes referente a Lei Geral de Proteção de Dados.
Agora, nesse tópico, vemos mais uma vez a importância de a LGPD estar devidamente alinhada com as regras de Compliance, pois umas das medidas atenuantes do valor da multa é a adoção de política e de boas práticas de governança, conforme preceitua o artigo 52, parágrafo 1º, inciso IX, da referida lei.
Como dito nesse estudo, tanto as políticas de proteção de dados, quanto as regras de compliance devem atuar em conjunto, para que se tenha a excelência em governança.
2.4 Ambiente Hospitalar e o tratamento dos Dados Sensíveis
Conforme já destacado, os dados sensíveis são aqueles que demandam um pouco mais de atenção, pois qualquer problema relacionado a esses dados podem causar danos catastróficos, prejuízos imensuráveis, por conseguinte, uma responsabilização mais severa ao causador do dano.
Dentre os considerados dados pessoais sensíveis, estão os dados sobre a saúde, conforme dispõe o artigo 5º, inciso II da Lei 13.709/2018, e é incontroverso que os hospitais fazem tratamento diário desses dados, e muitas vezes não se atentam aos eventuais danos que possam ser causados.
Com o surgimento da LGPD, as casas hospitalares deverão fazer uma “força tarefa” para adequação das suas rotinas aos moldes legais, pois existem várias fragilidades que devem ser sanadas, riscos devem ser diminuídos, tudo para que a segurança dos dados pessoais sensíveis seja aprimorada.
É cediço que os hospitais usam sistemas de informação para fazerem a gestão de seus serviços, dentre esses sistemas, o mais conhecido é o software TASY, lançado pela empresa PHILIPS, que é uma solução completa de informática em saúde que integra todas as áreas da instituição, conectando os pontos de cuidado dos pacientes e otimizando os processos. Evita desperdício e retrabalho e aumenta a produtividade independente do seu porte e da complexidade dos seus processos. Aderente às mais variadas realidades de negócios o Tasy atende a: prestadores de serviços: hospital, clínica, banco de sangue, home care entre outros. O Tasy possibilita gerenciamento eficiente das atividades administrativas, financeiras, assistenciais e operacionais. Isso ajuda você a acompanhar as mudanças e enfrentar os desafios da instituição, dos profissionais e do paciente. (KONINKLIJKE PHILIPS N.V., 2019).
Esses sistemas para gestão hospitalar estão interligados por uma rede de computadores e, em alguns casos, dispõem de acesso remoto para profissionais que estão fora do ambiente hospitalar.
Os hospitais deverão rever suas políticas de proteção de dados, para que se evite o vazamento, difusão ou ainda, eliminação destes, também, restringindo acesso a colaboradores que não estão diretamente ligados aqueles dados, como exemplo, um funcionário do setor administrativo do hospital não precisa ter acesso a evolução médica do paciente, aos medicamentos que esse paciente irá receber, aos laudos de exames que esse paciente realiza, pois essas informações são médicas, sigilosas.
Mas por que restringir o acesso a dados pessoais sensíveis? Conforme analisamos anteriormente, dentre os princípios de tratamento de dados está a segurança e prevenção, ou seja, permitir o acesso de um colaborador administrativo aos dados de evolução médica de um paciente, certamente se cria um risco desnecessário de vazamento, destruição, perda, comunicação, alteração ou difusão de tais dados, ainda que acidentalmente. Dessa forma, é preciso restringir o acesso, para que somente pessoas autorizadas possam tratar os dados sensíveis, com isso, mitigar os riscos de danos, ou até eliminá-los.
Nesse tocante, cumpre esclarecer que esse trabalho demanda um comprometimento de vários setores da casa hospitalar, principalmente, o setor de compliance, jurídico e o de TI (Tecnologia de Informação), esse último é fundamental para prover a segurança e forma de tratamento dos dados sensíveis.
Nos dias de hoje, sabemos que os dados pessoais veiculam de uma forma rápida e, em poucos segundos podem atravessar o mundo, portanto, deve se ater à forma e à finalidade de compartilhamento desses dados, para que não caia em mãos erradas.
Nesse sentido destaco que, em notícias recentes, houve investigação do Ministério Público em face de grandes redes farmacêuticas tendo em vista os indícios de que as referidas redes estariam vendendo dados pessoais de seus consumidores para planos de saúde. Com isso, os planos de saúde poderiam cobrar taxas mais caras para quem faz compras de determinado medicamento. Enfim, com base nesses dados o plano de saúde pode tomar atitude para obter ganho econômico e prejudicar o consumidor.
A notícia publicada pela Veja (2018) destaca a intervenção do Ministério Público, o qual busca esclarecimentos junto as redes farmacêuticas, e ainda assevera que, caso as redes de farmácia não respondam ao seu questionamento, deverão assinar um TAC (termo de ajuste de conduta), se comprometendo a eliminar o que foi armazenado, explicando quais dados coletam e para qual finalidade, sempre mediante o consentimento inequívoco do consumidor.
Com base nas informações acima, resta claro que, se existe indícios de que as grandes redes de farmácia estão agindo dessa maneira, certo é que os hospitais também poderiam, pois dispõe de dados mais sensíveis dos coletados pelas redes farmacêuticas.
Desde o momento em que você dá entrada na qualidade de paciente em um ambiente hospitalar, ali já começa a veiculação dos dados pessoais, inclusive, dados sensíveis, motivo pelo qual desperta a importância de uma boa prática de proteção de dados.
Possivelmente, em breve, a Autoridade Nacional de Proteção de Dados, irá criar regras mais especificas para estes entes da saúde, buscando evitar práticas como as noticiadas nesse trabalho. Enquanto regras mais específicas não são criadas, os hospitais precisam se adequar aos moldes da LGPD, o que já demanda muito trabalho.
É preciso que os hospitais, em termos de segurança dos dados pessoais sensíveis, criem níveis de acesso para usuários, de modo que somente pessoas que precisam usar os referidos dados tenham o devido acesso, além disso, se faz necessário obter toda a proteção possível dos dados pessoais, investindo em novos software e hardware, em um trabalho constante e conjunto com o setor de Tecnologia de Informação.
Conforme se extra da nova legislação de proteção de dados, criou-se a necessidade de contratação de um DPO (Data Protection Officer), e sua função “[...] consiste em atuar como o canal de comunicação perante os usuários titulares dos dados pessoais e autoridades governamentais controladoras, e de forma geral, prestar assistência sobre as práticas de tratamento de dados, bem como, verificar se estas estão em conformidade com a legislação e políticas internas”(ASSIS E MENDES DIREITO DIGITAL....), ou seja, o DPO é indispensável para a política de proteção de dados a ser implantada nos hospitais.
Dentre algumas responsabilidades, o DPO é quem recebe as reclamações e comunicações dos titulares dos dados pessoais, presta os devidos esclarecimentos, orientando os usuários sobre as providencias a serem tomadas, é o canal de comunicação entre as autoridades governamentais e a empresa, responsável por orientar os funcionários sobre as políticas de proteção de dados, bem como, deve manter o registro de todas as práticas de proteção de dados.
Conforme dito, a Lei Geral de Proteção de Dados está em seu período de vacatio legis, entrará em vigor em agosto do ano de 2020. Contudo, as Empresas estão preocupadas, desde já, com a implantação de políticas que se adequam a essa legislação, e tal preocupação se agrava quando falamos de um Hospital, sendo que nesse ambiente é inevitável a coleta e tratamento de dados pessoais sensíveis.