A Proteção de Dados Pessoais de Saúde
A Lei Geral de Proteção de Dados - LGPD, nº 13.709 segue a tendência europeia GPDR - regulamento aprovado pela União Europeia em maio de 2018, e surge com o propósito de garantir a privacidade de dados pessoais e regular maior controle sobre eles. A Nova Lei entra em vigor em agosto de 2020, e chega em uma época propícia, marcada por grandes vazamentos de informações e escândalos que envolvem o uso indevido de informações pessoais.
A finalidade da Nova Lei é de proteger Direitos Fundamentais de Liberdade, Personalidade e de Privacidade, regulamentando e consolidando direitos e princípios já previstos na Constituição, Código Civil e do Consumidor e em regras de guarda de sigilo profissional de códigos deontológicos.
O setor da Saúde certamente é o setor que mais trata os dados pessoais considerados sensíveis pela LGPD e, inevitavelmente, trará grandes desafios aos profissionais e organizações de saúde, e afetará sensivelmente a rotina de administradores e gestores hospitalares, uma vez que cria a figura do operador e controlador de dados, que ficarão responsáveis pela guarda e sigilo de informação dos pacientes e pela implementação de medidas que garantam essa privacidade.
A Finalidade da LGPD para o Setor de Saúde
No contexto social contemporâneo, de abundantes relações de consumo e de inúmeras experiências digitais diárias, a LGPD surge com a finalidade de proporcionar maior segurança informacional dos dados de consumidores de produtos e serviços. Embora seja elaborada para a realidade digital, a lei alcança os meios não digitais - registros e prontuários físicos.
Na prática, o que deverá ser implementado por profissionais e organizações de saúde é a adequação e conformidade, o que significa dizer que deverão ser implementados registros, procedimentos, protocolos, sistemas e rotinas capazes de assegurar o devido cumprimento da Lei.
Diferença Entre Dado Pessoal e Dado Pessoal Sensível de Saúde
Dados pessoais para a LGPD são aqueles relativos a uma pessoa, ou seja, o conjunto de atributos que são próprios da personalidade de cada um - nome, endereço, telefone e outros. Os quais, ao serem colhidos, tratados ou transmitidos, sejam capazes de individualizar e identificar seu titular.
Além dos dados pessoais, há ainda, no que tange à prestação dos serviços de saúde, os dados considerados sensíveis - dados pessoais de origem racial ou étnica, convicção religiosa, referente à saúde ou à vida sexual, genético ou biométrico, vinculados ou capazes de serem vinculados a uma pessoa - que são revelados pelo próprio paciente ou por familiares, ou advêm da observação clínica do profissional ou de exame diagnóstico e decorre diretamente da relação de natureza profissional estabelecida.
O tratamento dos dados pessoais e o tratamento dos dados pessoais sensíveis na assistência de saúde são abordados de maneiras diferentes pela Lei.
A medicina, a enfermagem e a gama multidisciplinar de profissionais, juntamente com as organizações de saúde (públicas ou privadas) lidam diariamente com um conjunto enorme de dados sensíveis de pacientes. Sendo assim, toda informação, seja de natureza diagnóstica ou terapêutica, desde que colhida nesses contextos, são consideradas dados de saúde, cabendo aos profissionais e organizações do setor zelar pelos dados de seus pacientes e buscar a conformidade necessária para o adequado tratamento desses dados.
A Titularidade dos Dados de Saúde
É importante ressaltar que tais dados são revelados por seu titular - que busca cuidados de saúde - aos profissionais e organizações, em razão da busca por uma solução terapêutica, ou seja, em busca de assistência o paciente permite/autoriza a intromissão na sua privacidade. Deste modo, os dados de saúde são propriedade de seu titular, o paciente e, diferentemente do que se entendia no passado, a titularidade da informação de saúde não é do profissional ou da organização de saúde. A obtenção, tratamento, transmissão e descarte dos dados pessoais de saúde dos pacientes, trata-se apenas de uma autorização legal de acesso justificado que decorre do dever de prestação de assistência e, é limitado pela obrigação de guarda e sigilo.
A Obrigatoriedade do Consentimento Informacional
O consentimento do paciente em relação aos dados pessoais - nome, endereço, telefone e outros - deve ser obtido obrigatoriamente por escrito e, deve constar no termo para qual finalidade se presta, principalmente quando existe o compartilhamento de informações comerciais com outras redes e parceiros (outros hospitais, ou hospitais do mesmo grupo, planos de saúde, seguradoras, etc.). A regra geral é a de vedação do tratamento de dados pessoais sem o expresso consentimento do titular ou de seu responsável, sendo assim, o profissional e/ou organização deve formalizar por escrito o Termo de Consentimento Informacional a fim de se evitar erros e vícios da manifestação de vontade.
Não obstante e levando em conta a ampla gama de profissionais em atuação no setor de saúde (Recepção, segurança, administradores, gestores hospitalares), é importante definir no termo assinado pelo paciente, por exemplo, se a permissão concedida é referente exclusivamente a procedimentos realizados por médicos e auxiliares da saúde, ou se por demais prestadores de serviços envolvidos nas atividades, como funcionários administrativos e terceirizados.
Hipótese de Dispensa do Consentimento Informacional
Contudo, com o objetivo de não inviabilizar o mercado de assistência à saúde, a Lei determinou exceções à obrigatoriedade da obtenção do consentimento. Podendo este ser dispensado em relação aos dados pessoais sensíveis para a Tutela da Saúde do titular, exclusivamente, em procedimento realizado pelos profissionais de saúde, serviços de saúde ou autoridade sanitária.
Significa dizer que, no âmbito da assistência em saúde, aquelas prestadas tão somente por profissionais da área, a assinatura do Consentimento do titular para o tratamento de seus dados pessoais de saúde não é essencial à prestação do serviço. Do ponto de vista constitucional e da LGPD, o direito à vida e à integridade física sobrepõe-se à vontade do titular consentir ou não. Logo, o profissional possui o dever de prestar a assistência, independentemente da assinatura do consentimento.
A Recusa de Assinatura do Termo de Consentimento Informacional Pelo Paciente
Do mesmo modo, não é raro que o paciente se recuse a assinar o Termo de Consentimento Informacional relativo ao tratamento de dados pessoais. Nesses casos, recomenda-se fortemente fazer constar por escrito nos registros a impossibilidade da obtenção do consentimento pela negativa do titular.
De qualquer modo, mesmo nos casos em que o consentimento não é necessário, clínicas e hospitais estão obrigadas a informar aos pacientes sobre a forma como os seus dados serão recolhidos e tratados. Recomenda-se que o profissional, hospital ou clínica, elabore uma declaração escrita, assinada pelo paciente que se limite a informar que tomou conhecimento das informações.
Sigilo Profissional, Regras Deontológicas e Códigos Jurídicos
O conceito de proteção à privacidade e sigilo dos pacientes não é novo e sempre esteve no núcleo central das regras deontológicas. Fazendo parte, inclusive, do juramento de Hipócrates para os médicos e de Nightingale, para enfermagem. Esses princípios também se encontram presentes na Constituição Federal, no Código Civil e de Defesa do Consumidor e em princípios éticos e da bioética.
A Lei Geral de Proteção de Dados regulamenta que profissionais e organizações de saúde estão obrigados a guardar as informações de seus pacientes em segredo, proibindo o uso e compartilhamento com o objetivo de obter vantagem econômica, prestigiando a natureza privada das informações pessoais e sua posse pelo titular. Estabelece ainda a necessidade da obtenção do Consentimento Informacional do tratamento de dados. Traz ainda, em seu texto, a possibilidade de revogação do consentimento pelo titular do dado, o uso de dados de saúde em pesquisa científica, prazos legais, sanções por violações e institui a criação da Autoridade de Proteção de Dados.
Sanções a Violação da LGPD
Avançando no tema, a violação à LGPD poderá resultar em responsabilização civil do profissional de saúde e gerar sanções administrativas às organizações aplicáveis pela Autoridade Nacional de Dados, tais como: advertência com indicação de prazo para adoção de medidas corretivas, multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, suspensão parcial do funcionamento do banco de dados, entre outras.
Embora complexa, a Lei Geral de Proteção de Dados é um marco positivo na conquista, preservação e proteção de direitos individuais na era pós-moderna da economia movida a dados. O processo de conformidade e implementação da LGPD é árduo. Contudo, aumentará consideravelmente os registros digitais de dados em saúde.
Vantagens da Adequação e Conformidade
O adequado registro dos dados produzirá um gigantesco arcabouço de informações e isso, devidamente organizado, torna-se um verdadeiro patrimônio de Big Data, possibilitando pesquisas, e a criação de políticas internas das organizações de saúde.
Outra característica positiva da lei é a mudança cultural no atual tratamento de dados pessoais no Brasil. A LGPD provê maior segurança jurídica e fomenta boas práticas empresariais, regulando as relações entre setores da economia, poder público e seus usuários. O objetivo é atribuir maior proteção à parte mais vulnerável da relação, o consumidor de bens e serviços. Os profissionais e empresas que se adequarem certamente estarão na vanguarda do desenvolvimento econômico e cultural.
REFERÊNCIAS BIBLIOGRÁFICAS
LOUREIRO João, PEREIRA André Dias, BARBOSA Carla. Segurança do Paciente e Consentimento Informado. Coimbra: Almedina S/A, 2016.
Baraúna Jr., Haroldo V. Documentos Médicos Eletrônicos: uma abordagem sobre seus efeitos jurídicos. Rio de Janeiro: Lumem Juris, 2019.
Agência Nacional de Saúde Suplementar, Nota Técnica 3/2019/GEPIN/DIRAD-DIDES/DIDES. Acesso em: 15/01/2020.Disponível em: https://www.sbac.org.br/wp-content/uploads/2019/12/Nota-Te%CC%81cnica-sobre-LGPD.pdf
DEODATO Sérgio, A Proteção de Dados Pessoais de Sáude. Lisboa: Universidade Católica Editora, 2017.
Cabral, Hildeliza Lacerda Tinoco Boechat. Consentimento Informado no Exercício da Medicina e Tutela dos Direitos Existenciais: Uma visão interdisciplinar direito e medicina. 2.ed. - Curutiba: Appris, 2018.
Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados, Diário Oficial da União: Brasília, DF, de 15.8.2018. Acesso em: 04/12/2019. Disponível em: .https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm