Por: Renato de Assis Pinheiro*
A chegada da Lei Geral de Proteção de Dados (LGPD), Lei 13.709/18, apresentou às organizações brasileiras uma visão que, até então, pouquíssimas estavam preparadas para lidar: o enorme fluxo de dados pessoais e de natureza sensível que manipulam diariamente. Nesse imenso rol de empresas despreparadas para esta nova realidade, o setor da saúde se destaca, por ser um dos mais complexos, em diversos aspectos. Pois além de possuir uma ampla legislação e regulamentação aplicáveis, lida diariamente com dados supersensíveis de pacientes, tais como: informações privadas sobre a saúde individual, características físicas, fotos, imagens, dentre outros.
Logo, a guarda adequada desses dados deve ser extremamente responsável, cautelosa e profissional. Infelizmente, muitos profissionais e empresas no setor da saúde estão engatinhando quando o assunto é a LGPD, não tendo se adequado e modernizado sua atuação neste sentido, mesmo após a vigência da lei. É preciso dar ao tema a relevância que ele merece, focando no tratamento e armazenamento de dados com a atenção que essa nova realidade demanda.
Mas, afinal, o que é a LGPD? O que são dados pessoais sensíveis? Por que o setor de saúde e, principalmente, médicos e empresas da área (sobretudo clínicas e hospitais) devem se preocupar?
O que é a LGPD, como ela foi criada e quem vai fiscalizar
Aprovada em maio de 2018, a LGPD entrou em vigor em setembro de 2020. A lei adota critérios baseados nos direitos fundamentais de liberdade e de privacidade, para estabelecer regras a respeito de coleta, tratamento e armazenamento de dados pessoais (que são todas as informações relativas a uma pessoa viva, identificada ou identificável), bem como o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
A LGPD coloca o Brasil na linha de uma tendência mundial de tratamento de dados. Nossa lei foi baseada na legislação europeia, a General Data Protection Regulation (GDPR), regulamento aprovado pela UE em maio de 2018. Com a vigência da LGPD, nos tornamos um dos 120 países do mundo que possuem legislação específica para a proteção de dados.
O órgão responsável pela fiscalização da nova legislação é a Autoridade Nacional de Proteção de Dados (ANPD), que é ligada ao Ministério da Justiça e conta com administração pública federal indireta e orçamento próprio, tendo como objetivo a fiscalização de como os setores público e privado estão aplicando as regras previstas na lei. Ou seja: é à ANPD que você deverá responder, em casos relacionados à violação da LGPD.
Dados pessoais e sensíveis na LGPD
Dados pessoais são informações como nome e endereço, endereço de correio eletrônico, contas em mídias sociais, telefone, números de documentos, dados de localização e endereço de IP (protocolo de internet); são dados relacionados à pessoa natural identificada ou identificável de forma inequívoca. Já o dado pessoal sensível diz sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, e também dados referentes à saúde ou à vida sexual, genética, fotos, vídeos e biometria. Não são dados pessoais o Cadastro Nacional de Pessoa Jurídica (CNPJ) e endereços de correio eletrônico profissional, como nomedapessoa@empresa.com.br.
Como fica o setor de saúde?
A coleta, guarda e uso de dados pessoais e de dados pessoais sensíveis são feitos de diferentes formas nos diversos setores econômicos. No entanto, em alguns deles, o tratamento de dados sensíveis é feito de forma massiva e intensa, sendo a área da saúde um exemplo legítimo desse cenário. Este setor também contempla uma parcela expressiva dos ambientes que estão sujeitos aos desafios de adequação à LGPD e seus impactos – que são as clínicas médicas, odontológicas e os hospitais, em sua maioria. Aqui, é importante salientar que não importa se esses dados são armazenados em meio físico ou digital. A LGPD protege os dados pessoais independentemente da tecnologia utilizada para seu tratamento.
A adequação à LGPD impõe, portanto, grandes mudanças na rotina das empresas, e isso se dá também – e principalmente – no setor de saúde. Por isso, é preciso avaliar o quanto antes se a sua empresa de saúde, clínica ou hospital está em conformidade com a LGPD. Para esse trabalho, é indispensável a orientação de uma equipe jurídica especializada em LGPD no setor de saúde. E o escritório Renato Assis Advogados Associados conta com especialistas em Direito da Saúde para te orientar e dar segurança jurídica ao seu negócio.
O que devo fazer para adequar minha clínica ou empresa de saúde à LGPD?
A depender da realidade de cada empresa do setor da saúde, as medidas para adequação à LGPD podem ser as mais variadas. Além disso, é importante salientar que tais medidas passam inevitavelmente por todos os setores e níveis hierárquicos das organizações, da recepção à diretoria, demandando de fato uma imersão completa da organização acerca do tema.
Podemos exemplificar os impactos da LGPD retratando uma situação extremamente simples: Caso no contrato firmado pelo paciente com a clínica não haja a autorização expressa para o armazenamento do seu número de telefone, e ainda assim a clínica o registrar, ela pode ser punida. Percebe-se, pois, que o menor deslize por parte da clínica pode ocasionar uma punição.
Embora existam especificidades salutares a cada organização, podemos apontar algumas medidas básicas e genéricas para a adequação das entidades do setor da saúde: Criar políticas de privacidade e tratamento de dados dos pacientes; promover o treinamento da equipe clínica para que todos saibam como devem garantir a segurança dessas informações; modernizar e padronizar o prontuário (preferencialmente eletrônico) de forma a garantir maior segurança; e pedir autorização formal para uso e armazenamento de dados de clientes.
Contudo, medidas simples como as apontadas mais acima não bastam para uma perfeita adequação, dada a alta complexidade da lei, devendo o assunto ser tratado por um especialista para que não hajam falhas. Exemplificando: Caso os pacientes sejam menores de idade, os responsáveis pelos dados são seus pais ou responsáveis legais. No entanto, ao completarem 18 anos, as autorizações devem ser atualizadas.
É preciso se adequar o quanto antes
Em vigor desde janeiro de 2021, a aplicação das penalidades previstas em caso de infração terá início em agosto 2021. Contudo, a LGPD não deve ser vista com temor pelas organizações, visto que a implantação das medidas acautelatórias é perfeitamente possível, desde que conduzida pelos profissionais adequados. Portanto, o tratamento de dados não deve ser visto como uma mera exigência regulatória ou um “pequeno projeto de TI”, até porque os dados pessoais não são exclusivamente eletrônicos, mas também se encontram em meio físico.
Engajamento, mudança cultural e boa gestão são elementos fundamentais para a estruturação de um programa efetivo e eficaz de governança, que reflete positivamente em toda e qualquer organização. E a pandemia provou, mais uma vez, que o setor de saúde só aponta para um caminho: O da evolução. No entanto, tal evolução depende de uma gestão moderna e eficiente, e do engajamento de todos os níveis hierárquicos das instituições.
Os médicos e gestores de clínicas e hospitais devem enxergar a lei como uma grande oportunidade para reforçar o controle e o fluxo das informações que alimentam suas operações, alinhando suas rotinas às exigências legais. Esta mudança de hábitos certamente possibilitará a construção de um ambiente de inteligência de dados mais robusto, organizado e preparado, fornecendo mais segurança jurídica e, até mesmo, melhores resultados para seus negócios.
*Renato de Assis Pinheiro é advogado sócio do escritório Renato Assis Advogados Associados. É especialista em Direito da Saúde; pós-graduado em Direito Médico pela Universidade de Araraquara (SP), conselheiro jurídico e científico da ANADEM (Sociedade Brasileira de Direito Médico e Bioética).
Gostou do artigo? Então, continue acompanhando nosso blog para mais informações ou entre em contato para saber mais sobre nossos serviços de consultoria para profissionais da saúde.