Atuação do encarregado pelo Tratamento de Dados Pessoais (DPO) nas instituições de saúde
A importância de ter um DPO nas instituições de saúde não é justificada apenas pelo cumprimento da LGPD, mas também, por questões organizacionais, de governança e econômicas.
terça-feira, 12 de janeiro de 2021
Atualizado às 08:10
Todas as áreas precisam estar atentas ao cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) - lei 13.709/18, mas a área de saúde tem uma preocupação especial: os dados sensíveis.
Dispõe a LGPD, que dados sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (artigo 5º, inciso II).
Quando a atuação prática entra em cena, há a necessidade de aplicar medidas e controles de segurança, bem como de conseguir demonstrar conformidade e cumprir o princípio da responsabilização e prestação de contas (artigo 5º, inciso X, da LGPD). Ainda que o artigo 41 da LGPD, elenque as atividades do DPO (Data Protection Officer, também conhecido como Encarregado pelo Tratamento de Dados Pessoais), é sabido que suas responsabilidades irão muito além do que ali foi indicado, trabalhando com a minúcia necessária junto com o Controlador a fim de garantir a proteção dos dados pessoais objeto do tratamento.
A importância de ter um DPO nas instituições de saúde não é justificada apenas pelo cumprimento da LGPD, mas também, por questões organizacionais, de governança e econômicas. Além desse profissional ser o elo entre agentes de tratamento, titulares de dados pessoais e ANPD (Autoridade Nacional de Proteção de Dados), atividades de extrema relevância, ele conseguirá perceber quais as relações comerciais mais seguras para a instituição, em termos de proteção de dados, como por exemplo, empresas que já estejam se adequando à Lei e a utilização de serviços e produtos que já envolvam privacy by design e privacy by default.
Além de verificar processos que envolvam dados pessoais e conscientizar as pessoas, levando em consideração a complexidade de se tratar dados pessoais sensíveis, o DPO terá como objetivo a busca e garantia da conformidade com a LGPD, evitando, assim, sanções administrativas e judiciais, perda de competitividade e até prejuízos.
Ter um DPO impacta não somente na nova forma de tratar fluxos e processos internos da área de saúde, mas também, na continuidade de negócios das instituições. Ter um DPO traz um senso maior de responsabilidade com relação aos dados pessoais e dados pessoais sensíveis dos titulares, organiza melhor a estrutura de gestão interna, com classificação de informações com base em sua sensibilidade, possibilita a escolha de fornecedores preparados para lidar com as questões que envolvam privacidade e proteção de dados pessoais, avalia a melhor forma de fechar contratos, dentre outras ações.
A LGPD não obriga que o DPO seja certificado ou tenha exercido determinada função, apenas, em seu artigo 41, no § 1º, dispõe que as informações do DPO deverão ser divulgadas publicamente. Já o GDPR (Regulamento Geral Europeu de Proteção de Dados), em ser artigo 37, dispõe que o responsável pela proteção de dados será designado com base em qualidades profissionais e, em particular, conhecimento especialista da lei de proteção de dados, bem como as práticas e a capacidade de realizar as tarefas referidas no artigo 39 (artigo que elenca as atividades do DPO, no GDPR). Logo, fica clara a importância desse profissional dentro da instituição, o qual pode ser terceirizado para se obter esta especialização e independência.
Atender às solicitações dos titulares de dados pessoais, elaborar estruturas para portabilidade de dados pessoais e criar plano de governança são tarefas do cotidiano. A LGPD, em seu artigo 50, dispõe sobre a possibilidade, por parte de Controladores e Operadores, regras de boas práticas e governança. No entanto, para chegar neste ponto, há diversas fases a serem cumpridas previamente.
Mapear processos e analisar riscos de uma instituição de saúde é uma das tarefas mais complexas para os profissionais de privacidade. O data mapping de um hospital, a título de exemplo, é um dos mais difíceis de ser elaborado. E como definir uma base legal (artigo 7º da LGPD)? Ainda que o consentimento não seja a resposta para tudo (como muitos pensam, erroneamente), quando se fala em dados sensíveis, sua força é notória. Ainda, é salutar a compreensão de que aqui serão tratados, documentos como prontuários médicos, exames e receitas. Haverá a necessidade de criar fluxos e processos para atendimentos de pacientes e seus acompanhantes, agendamento de consultas, elaboração e entrega de exames, acompanhamento de cirurgias, armazenamento e administração de medicações, atendimento aos planos de saúde, revisão de contratos com terceiros e etc.
Inclusive, ocorrerão situações que envolverão o tema transferência internacional de dados (artigo 33 da LGPD): como tratar, por exemplo, dados de pacientes estrangeiros? Como será a tratativa com um plano de saúde em outro país? Fluxos e processos deverão ser adaptados com base no disposto na Lei.
O artigo 46 da LGPD, estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Reflitamos: Como controlar acessos aos prontuários dentro de um hospital, sejam eles físicos ou eletrônicos, por exemplo? Como supervisionar a utilização de crachás, para que somente pessoas autorizadas tenham acesso à determinados setores? Como organizar um cronograma de treinamentos, considerando as extensas horas de trabalho?
Além das situações mencionadas anteriormente, salienta-se, ainda, que além da LGPD, outras leis e regulamentos deverão ser considerados, tais como o Código de Ética de Medicina, as Resoluções da ANVISA, Resoluções do Ministério da Saúde, normas da Agência Nacional de Saúde Suplementar (ANS), dentre outros, aumentando a essencialidade de análises e estruturas organizadas com prudência e atenção.
E as referências não são apenas dados de saúde, dados genéticos e dados biométricos (artigo 11 da LGPD), mas também, dados pessoais de crianças e adolescentes (artigo 14 da LGPD). Como coletar e fazer a gestão dos consentimentos dos pais e/ou responsáveis legais? Como serão os fluxos de dados com as assistências sociais e os planos de saúde?
Elaborar um ROPA (Record of Processing Activities) e criar um plano de ações e de governança, por exemplo, são responsabilidades primordiais, no entanto, deve-se pensar nas seguintes etapas: revisar fluxos, processos, políticas e demais documentos de privacidade, estabelecer um canal de comunicação com o DPO, criar comitês de privacidade e/ou riscos, criar workflow para atendimento aos titulares de dados pessoais, elaborar um plano de resposta a incidentes, dentre outros, sempre levando em consideração a sensibilidade das situações e dos dados pessoais que serão tratados.
Diante do exposto, no que tange às instituições de saúde, fica clara a necessidade de que o DPO conheça não somente a matéria de proteção de dados pessoais, gestão de pessoas, processos e de segurança da informação, mas também, domine o segmento da área em que vai atuar. A área de saúde é intensa e peculiar, primando por profissionais não somente experientes e conhecedores dos processos internos, mas também, capacitados a atuar com sua complexidade e sensibilidade.
Mariana Sbaite Gonçalves
Advogada e sócia da Lee, Brock, Camargo Advogados (LBCA).