LGPD – Saúde
Entrou em vigor a Lei denominada LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS- LGPD com importantes impactos na área saúde notadamente com relação aos procedimentos administrativos para proteger as informações sensíveis dos pacientes, colaboradores e partes relacionadas.
O que é dado pessoal?
O dado pessoal é entendido como um conjunto de informações que individualiza e identifica a pessoa natural e deverá, a partir da entrada em vigor da lei, ser objeto de tratamento em conformidade com regras claras de proteção, sigilo e armazenamento de dados, utilizando-se novos instrumentos tecnológicos para que este patrimônio imaterial não seja exposto, compartilhado sem autorização ou utilizado indevidamente.
Neste sentido a coleta de dados pelo Hospital ou pela clínica médica precisa apresentar um propósito específico e útil, além de ser compatível com a finalidade do serviço médico, excluindo-se as informações suplementares com objetivos abusivos, ou seja, deve-se prestigiar a ideia da coleta mínima para se obter as informações que realmente são necessárias e de acordo com a relação médico x paciente.
Direitos do paciente
A partir de agora o paciente e as pessoas relacionadas com o Hospital e médicos passam a ter os seguintes direitos previstos:
- Direito à confirmação da existência de tratamento, entende-se tratamento como toda a operação realizada com dados pessoais a exemplo de: coleta, produção, recepção, utilização, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, comunicação, transferência, difusão, dentre outros.
- Direito ao acesso e correção aos seus dados armazenados;
- anonimização (o dado anonimizado é relativo ao titular que não possa ser identificado);
- portabilidade;
- Eliminação dos dados após o término do tratamento;
- Informação a respeito do compartilhamento de dados;
- Possibilidade de receber informação sobre não fornecer o consentimento e suas consequências;
- Revogação do consentimento;
Obrigações de Hospitais, Planos de Saúde e Clínicas Médicas
Os hospitais, planos de saúde e clínicas médicas, por sua vez, deverão adotar medidas jurídicas em seus arranjos contratuais e procedimentos internos aliados às ferramentas de tecnologia para prova de consentimento pelo titular para uso de seus dados pessoais:
- Autorização para tratamento das informações para uma finalidade determinada; dever de proteger os dados coletados, transparência e prazo de armazenamento;
- Política restritiva de compartilhamento de dados;
- Nomeação da pessoa responsável na companhia pelo tratamento dos dados pessoais (DPO).
Por fim, deverão estabelecer medidas de controle e segurança do banco dados, assim como a sistematização da proteção como instrumentos para mitigar riscos de violação.
Preocupação do legislador com a área da saúde
O legislador se preocupou especificamente com a área da saúde, tanto que tratou no Art. 7º e respectivos incisos desta lei sobre a hipótese de autorização no tratamento de dados pessoais independentemente da vontade do titular para “proteção da vida ou da incolumidade física do titular ou de terceiro” e para a “tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias”.
Os dados do paciente, que são o coração do hospital, e suas informações estão disponíveis desde o agendamento de consultas e procedimentos, até as informações laboratoriais e farmacêuticas presentes em diversos setores dentro do hospital.
É dever dos operadores garantir o sigilo dos dados dos pacientes, cujas informações por meio da inteligência artificial e utilização de algoritmos podem produzir relatórios estratégicos originados pelo fluxo de informações médicas e hospitalares seja para fins comerciais ou identificação de falhas administrativas.
Fiscalização e multas
Haverá fiscalização das empresas pela Agência Nacional de Proteção de Dados (ANPD) a ser instituída pelo Governo, além da atuação do próprio Poder Judiciário que julgará as questões litigiosas que forem objeto de processos judiciais tendo como norte a presente Lei da LGPD que já se encontra em vigor.
As penalidades aplicáveis pela inobservância da lei vão desde a advertência até a multa simples e diária que pode atingir o limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, ou ainda bloqueio e a eliminação dos dados pessoais. Além disto, o prejuízo reputacional dos Hospitais e empresas de saúde, que incorrerão em algum tipo de condenação, poderá causar danos ainda mais gravosos diante da rapidez digital com que as notícias são difundidas atualmente.
Mas na prática o que o setor da saúde deve fazer em relação a Lei Geral de Proteção de Dados?
- Estudo interno para revisar as rotinas na coleta de dados e implementar instrumentos de proteção dos dados, inclusive com programas de computador, bem como adoção de medidas de segurança para:
a.1) controle de acessos às informações;
a2) salvaguarda dos bancos de dados;
a3) combate contra invasão, perda ou vazamento de informações; - Avaliação jurídica das responsabilidades sobre as informações de saúde coletadas, com elaboração de contratos e documentos legais para proteção da empresa, além de orientação jurídica para adequação à lei (compliance);
- Desenvolvimento de projeto de proteção de dados com sistema de mitigação de riscos, emissão de relatórios e práticas de governança corporativa;
- Designação de um líder para organização de todas as atividades da empresa ligada aos dados pessoais dos clientes e de terceiros, responsável inclusive pela gestão e acompanhamento deste segmento dentro da corporação.
- Revisão da forma de comunicação e troca de informações entre a empresa e os titulares de dados pessoais fornecidos (transparência).
- Treinamento da equipe de colaboradores para divulgação das novas práticas, implicações jurídicas e responsabilizações pessoais.
Boas práticas e segurança jurídica
Em suma, este avanço legislativo é salutar, pois eleva o Brasil a um patamar de boas práticas e de segurança jurídica neste assunto, favorecendo as relações comerciais e institucionais com outros países. A divulgação e esclarecimento sobre esta lei é de suma importância para conhecimento geral e observância das regras.
Publicação também veiculada nos portal de notícias: Agência O GLOBO.
Advogado, com atuação na área do direito médico-hospitalar, sócio fundador do Battaglia & Pedrosa advogados, possui larga experiência na condução de negociações e litígios empresariais de alta complexidade. Mestrando em Direito dos Negócios pela FGV, Remo também é pós-graduado em Direito Tributário pela PUC/SP, instituição na qual cursou também a Pós-Graduação em Processo Civil. Nos EUA participou do “Program on negotiation na Harvard University”, além de possuir em seu currículo diversos outros cursos voltados à área negocial e empresarial, como Gestão de Projetos pelo Insper, Direito Imobiliário pelo CEA e Direito Societário pela FGV. Remo é também palestrante e possui diversos artigos publicados.
Contato: remo@bpadvogados.com.br
Publicado no dia 20 de outubro na Agência O GLOBO
Vale observar que na Europa os primeiros afetados pelas multas foram justamente do setor hospitalar!