Os impactos da Lei Geral de Proteção de Dados na área da Saúde - LGPD
Com a vigência da nova lei, os dados coletados pelo hospital ou pela clínica médica, precisam apresentar um propósito específico, útil e compatível com a finalidade do serviço médico.
sexta-feira, 23 de outubro de 2020
Atualizado às 13:35
Entrou em vigor a lei denominada Lei Geral de Proteção de Dados Pessoais com importantes impactos na área médico-hospitalar notadamente com relação aos procedimentos administrativos para proteger as informações sensíveis dos pacientes, colaboradores e partes relacionadas.
O dado pessoal é entendido como um conjunto de informações que individualiza e identifica a pessoa natural e deverá, a partir da entrada em vigor da lei, ser objeto de tratamento em conformidade com regras claras de proteção, sigilo e armazenamento de dados, utilizando-se novos instrumentos tecnológicos para que este patrimônio imaterial não seja exposto, compartilhado sem autorização ou utilizado indevidamente.
Neste sentido a coleta de dados pelo Hospital ou pela clínica médica precisa apresentar um propósito específico e útil, além de ser compatível com a finalidade do serviço médico, excluindo-se as informações suplementares com objetivos abusivos, ou seja, deve-se prestigiar a ideia da coleta mínima para se obter as informações que realmente são necessárias e de acordo com a relação médico x paciente.
A partir de agora o paciente e as pessoas relacionadas com o Hospital e médicos passam a ter os seguintes direitos previstos:
I. Ter direito à confirmação da existência de tratamento, entende-se tratamento como toda a operação realizada com dados pessoais a exemplo de: coleta, produção, recepção, utilização, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, comunicação, transferência, difusão, dentre outros.
II. Ter direito ao acesso e correção aos seus dados armazenados;
III. Anonimização (o dado anonimizado é relativo ao titular que não possa ser identificado);
IV. Portabilidade;
V. Eliminação dos dados após o término do tratamento;
VI. Informação a respeito do compartilhamento de dados;
VII. Possibilidade de receber informação sobre não fornecer o consentimento e suas consequências;
VIII. Revogação do consentimento;
Os hospitais, planos de saúde e clínicas médicas, por sua vez, deverão adotar medidas jurídicas em seus arranjos contratuais e procedimentos internos aliados às ferramentas de tecnologia para prova de consentimento pelo titular para uso de seus dados pessoais, autorização para tratamento das informações para uma finalidade determinada; dever de proteger os dados coletados, transparência e prazo de armazenamento; política restritiva de compartilhamento de dados; a nomeação da pessoa responsável na companhia pelo tratamento dos dados pessoais (DPO). Por fim, deverão ser estabelecidas as medidas de controle e segurança do banco dados, assim como a sistematização da proteção como instrumentos para mitigar riscos de violação.
O legislador se preocupou especificamente com a área da saúde, tanto que tratou no Art. 7º e respectivos incisos desta lei sobre a hipótese de autorização no tratamento de dados pessoais independentemente da vontade do titular para "proteção da vida ou da incolumidade física do titular ou de terceiro" e para a "tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias".
Os dados do paciente, que são o coração do hospital, e suas informações são encontrados desde o agendamento de consultas e procedimentos, até as informações laboratoriais e farmacêuticas presentes em diversos setores dentro do hospital.
É dever dos operadores garantir o sigilo dos dados dos pacientes, cujas informações por meio da inteligência artificial e utilização de algoritmos podem produzir relatórios estratégicos originados pelo fluxo de informações médicas e hospitalares seja para fins comerciais ou identificação de falhas administrativas.
Haverá fiscalização das empresas pela Agência Nacional de Proteção de Dados (ANPD) a ser instituída pelo Governo, além da atuação do próprio Poder Judiciário que julgará as questões litigiosas que forem objeto de processos judiciais tendo como norte a presente lei da LGPD que já se encontra em vigor.
As penalidades aplicáveis pela inobservância da lei vão desde a advertência até a multa simples e diária que pode atingir o limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, ou ainda bloqueio e a eliminação dos dados pessoais. Além disto, o prejuízo reputacional dos Hospitais e empresas de saúde, que incorrerão em algum tipo de condenação, poderá causar danos ainda mais gravosos diante da rapidez digital com que as notícias são difundidas atualmente.
Mas na prática o que os profissionais da área de saúde devem fazer?
a) Estudo interno para revisar as rotinas na coleta de dados e implementar instrumentos de proteção dos dados, inclusive com programas de computador, bem como adoção de medidas de segurança para: a.1) controle de acessos às informações; a2) salvaguarda dos bancos de dados; a3) combate contra invasão, perda ou vazamento de informações;
b) Avaliação jurídica das responsabilidades sobre as informações de saúde coletadas, com elaboração de contratos e documentos legais para proteção da empresa, além de orientação jurídica para adequação à lei (compliance);
c) Desenvolvimento de projeto de proteção de dados com sistema de mitigação de riscos, emissão de relatórios e práticas de governança corporativa;
d) Designação de um líder para organização de todas as atividades da empresa ligada aos dados pessoais dos clientes e de terceiros, responsável inclusive pela gestão e acompanhamento deste segmento dentro da corporação.
e) Revisão da forma de comunicação e troca de informações entre a empresa e os titulares de dados pessoais fornecidos (transparência).
f) Treinamento da equipe de colaboradores para divulgação das novas práticas, implicações jurídicas e responsabilizações pessoais.
Em suma, este avanço legislativo é salutar, pois eleva o Brasil a um patamar de boas práticas e de segurança jurídica neste assunto, favorecendo as relações comerciais e institucionais com outros países. A divulgação e esclarecimento sobre esta lei é de suma importância para conhecimento geral e possibilidade de adequação das empresas para observância das novas regras ainda neste ano de 2020.
_________
*Remo Higashi Battaglia é advogado com atuação na área do direito médico-hospitalar. Sócio fundador do escritório Battaglia & Pedrosa Advogados. Pós-graduado em Direito Tributário e em Direito Societário. Especialista em Gestão Estratégica de Projetos. Mestrando em Direito dos Negócios.