A LGPD e os cuidados na área da saúde
Ana Paula Muggiati
Heloisa Carvalho Budag
A Lei Geral de Proteção de Dados (LGPD – Lei n.º 13.709/18), inspirada na GDPR (General Data Protection Regulation), entrou em vigor em setembro de 2020. O movimento ocorreu em plena crise sanitária causada pelo vírus SARS-CoV-2.
Em meio a essa confusão, as empresas brasileiras tiveram que dar início a procedimentos de adequação à LGPD. A Lei, atualmente, contempla proteção à riqueza considerada mais valiosa do que o petróleo: os dados pessoais.
Como tal, exige procedimentos rigorosos para o seu tratamento. Ademais, acarreta severas penalidades, que podem inclusive inviabilizar atividades de infratores.
Na área de saúde, que envolve informações altamente sigilosas, a LGPD estabelece diretrizes importantes para a proteção dos dados pessoais. Elas serão abordadas, de forma bastante singela, neste artigo.
NATUREZA DOS DADOS TRATADOS NA ÁREA DE SAÚDE
A LGPD tem por objetivo a proteção ao tratamento de dados pessoais. Neste caso, considera-se qualquer atividade que envolva o manuseio de dados, seja em ambiente digital ou físico. São exemplos de manuseios a coleta, o armazenamento, a classificação, o compartilhamento e o descarte.
Para tanto, a lei divide os dados pessoais em:
- simples (lato sensu);
- sensíveis (artigo 5.º);
- relativos a crianças e adolescentes (artigo 14).
Dado pessoal sensível é aquele que envolve informações que podem levar à discriminação da pessoa. Por isso essa denominação e o cuidado que a lei dispensa a ele. Nesse sentido, são sensíveis os dados, quando vinculados a uma pessoa natural, sobre: origem racial ou étnica; convicção religiosa; opinião política; preferência sexual; dado genético ou biométrico (artigo 5.º, II).
É nessa categoria que se inserem os dados tratados na área de saúde. Logo, devem gozar de cuidados extremos pelos profissionais que os manuseiam.
A legislação brasileira, além da Constituição Federal, no artigo 5.º, X, através de algumas normas setoriais, já contemplava regramento a respeito de informações compartilhadas na área de saúde, expedidas pela Agência Nacional de Saúde (ANS), pelo Conselho Federal de Medicina (CFM), pela Agência Nacional de Vigilância Sanitária (ANVISA) e pelo Conselho Nacional de Saúde (CNS).
Hipóteses taxativas de consentimento
A LGPD dedica um artigo inteiro (artigo 11) às hipóteses taxativas de consentimento para o compartilhamento de dados pessoais sensíveis com terceiros. Isso interfere diretamente no dia a dia dos profissionais de saúde, na medida em que o próprio atendimento ao paciente envolve o tratamento de dados pessoais, já que grande parte dos profissionais acessa o computador nessa circunstância.
O prontuário médico dos pacientes [1], por exemplo, em regime hospitalar, é acessado por diferentes profissionais (médicos, enfermeiros, fisioterapeutas, psicólogos) e se trata de documento sigiloso, não podendo ser compartilhado com pessoa alguma, sem que haja o consentimento esclarecido do paciente.
A LGPD estabeleceu regras específicas para a utilização adequada desses documentos e de outras informações de saúde dos pacientes que, se violadas, acarretam severas penalidades para profissionais, clínicas, laboratórios, empresas de assistência à saúde e até mesmo farmácias.
Ainda que as normas tenham passado a vigorar somente a partir de agosto de 2021, os tribunais regionais já têm aplicado penalidades com base na LGPD em decorrência do vazamento de dados sensíveis.
COMO DEVEM SER TRATADOS OS DADOS DOS PACIENTES COM A LGPD
Devido ao grande fluxo de informações que circulam na área de saúde, o tratamento dos dados pessoais deve ser feito de forma muito rigorosa.
O Brasil conta com 48 milhões de usuários de saúde suplementar, que realizaram em torno de 1,3 bilhão de procedimentos médicos em 2020. Isso sem contar a circulação de dados pessoais envolvendo o Sistema Único de Saúde (SUS), uma vez que a LGPD também se aplica ao Poder Público [2].
Apenas por essas informações, é possível dimensionar a vultuosidade e recorrência do tratamento de dados sensíveis no âmbito da saúde.
Além disso, o setor de saúde tem se utilizado do emprego de novas tecnologias, que também demandam grande manuseio de dados (sensíveis). Por exemplo, a utilização de inteligência artificial, visando a novos tratamentos; à melhoria e redução de custos de procedimentos médicos; e à prevenção de epidemias.
Assim, a despeito de já existirem normas regulatórias e setoriais impondo sigilo e confidencialidade às informações dos pacientes, a LGPD prevê hipóteses específicas e taxativas para a sua utilização mediante consentimento expresso do titular (artigo 11) e imputa o ônus da prova da permissão ao controlador desses dados (artigo 8.º §2°).
A leitura atenta da lei revela o cuidado e a especificidade com que os dados pessoais sensíveis devem ser tratados no setor.
Quando se trata do manuseio de dados pessoais na área da saúde, verifica-se que a amplitude desse procedimento é muito maior que o simples acesso às informações do prontuário médico de um paciente pelo médico-assistente.
Amplitude do procedimento
Inserem-se nesse procedimento, por exemplo, as informações de saúde e histórico familiar que o contratante presta, por ocasião da contratação de um plano de saúde, no formulário denominado de Declaração Pessoal de Saúde (DPS). Essas informações referem-se a dados pessoais sensíveis, na medida em que dizem respeito à saúde do titular e de dependentes do plano de saúde. A esse respeito, inclusive, cuidou a LGPD de limitar a utilização desses dados para a aceitação de riscos e exclusão de beneficiários pelas operadoras de planos de saúde (artigo 11, §5.º).
Nos laboratórios de análises clínicas, as informações sobre exames realizados por pacientes também envolvem o tratamento de dados sensíveis, assim como a divulgação dos resultados, o que implica adequação à LGPD.
As clínicas e consultórios médicos lidam rotineiramente com dados pessoais sensíveis, através do manuseio de informações a respeito de tratamentos médicos e exames realizados, bem como acerca da intimidade do paciente, tais como vida sexual e uso de medicamentos ou substâncias ilícitas, o que, por si só, demanda ampla confidencialidade e necessidade de armazenamento em local acessível apenas aos profissionais que efetivamente necessitem dessas informações.
Apesar de já existir regulamentação, no setor de saúde, tratando do manuseio de dados dos titulares, a privacidade e a confidencialidade que esses dados exigem foi acolhida pela LGPD, prevendo num único dispositivo legal as hipóteses em que eles podem ser tratados (artigo 11).
Desse modo, o setor de saúde deve se atentar e se adequar às normas legais da LGPD. Uma das formas é restringindo a utilização de dados sensíveis aos profissionais e circunstâncias expressamente contempladas pela lei. Caso contrário, estarão sujeitos às sanções que a lei prevê, que consistem desde a advertência até a eliminação dos dados, o que, em alguns casos, pode até inviabilizar as atividades do infrator (artigo 52).
POR QUE AS EMPRESAS DEVEM SE ADEQUAR À LGPD?
Todas as empresas que lidam com dados pessoais devem se adequar à LGPD. Afinal, é uma exigência legal, cujo descumprimento pode implicar diversas sanções. Por sua vez, as penalidades vão desde advertências até multas de 2% do faturamento anual, limitadas a R$ 50 milhões por infração. Enfim, as empresas devem se adequar à LGPD por questões como:
- Conhecer os dados que tratam;
- Evitar o tratamento inadequado de dados;
- Diminuir a exposição a incidentes e vazamentos de dados;
- Reduzir e gerir riscos;
- Rever os processos internos de modo a torná-los menos custosos e mais eficientes;
- Agregar valor aos serviços;
- Desenvolver novos projetos;
- Construir uma relação de confiança e transparência com clientes, fornecedores e parceiros;
- Melhorar a imagem e a reputação da empresa perante o mercado;
- Obter vantagens no processo de integração com o mercado internacional;
- Evitar penalidades.
Um projeto de adequação à LGPD, além de reduzir os riscos de violação aos preceitos legais que conduzem a penalidades, é a melhor maneira de garantir a segurança dos trabalhos e de demonstrar ao mercado que a empresa se importa com o uso e a proteção dos dados sensíveis e com os direitos dos seus clientes.
SANÇÕES PREVISTAS PARA OS CASOS DE DESCUMPRIMENTO DA LGPD
Eventual descumprimento da LGPD pode implicar as seguintes sanções administrativas:
- Advertência;
- Multa simples de até 2% do faturamento, limitada, no total, a R$ 50 milhões por infração;
- Multa diária;
- Publicização da infração;
- Bloqueio dos dados pessoais a que se refere a infração;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração;
- Suspensão da atividade de tratamento dos dados pessoais;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Para a aplicação das referidas sanções, a ANPD (Autoridade Nacional de Proteção de Dados) levará em conta as peculiaridades de cada caso e considerará os seguintes parâmetros:
- Gravidade e natureza das infrações e dos direitos afetados;
- Boa fé, condição econômica e cooperação do infrator;
- Vantagem obtida ou pretendida;
- Reincidência e gravidade dos danos causados;
- Adoção de mecanismos e procedimentos internos capazes de minimizar o dano voltados ao tratamento seguro e adequado de dados;
- Adoção de políticas de boas práticas de governança
- Pronta adoção de medidas corretivas;
- Proporcionalidade entre a gravidade da falta e a intensidade da sanção;
As mencionadas sanções entraram em vigor, a partir de agosto de 2021; portanto, as empresas que lidam com dados pessoais no exercício de suas atividades devem se adaptar imediatamente à LGPD.
CONCLUSÃO
A tarefa de adequação à referida lei tem suma importância especialmente para profissionais/empresas que atuam na área da saúde. Profissionais/empresas que, por esse motivo, trabalham reiteradamente com dados pessoais sensíveis. Isso porque a adaptação à norma elimina o risco de eventuais sanções que podem inclusive inviabilizar as atividades de empresas.
Todavia, este não é o único benefício da busca pelo cumprimento da norma. Afinal, um projeto de adequação à LGPD permite que as empresas:
- agreguem valor aos seus serviços;
- fidelizem clientes, fornecedores e parceiros; e
- obtenham vantagens no processo de integração com o mercado internacional, que está priorizando cada vez mais o respeito à privacidade e à proteção de dados.
Além disso, a preocupação com a proteção de dados é, atualmente, considerada um diferencial no mercado. Em pouco tempo, representará uma questão de sobrevivência para as empresas. Especialmente porque, à medida que as empresas se enquadrem nessa legislação específica, garantem:
- maior confiabilidade no mercado;
- disposição de dados mais específicos; e, por consequência,
- melhor produto e/ou serviço oferecido.
Por fim, pela via de uma legislação rigorosa, o mercado brasileiro tem muito a ganhar com esse novo regramento legal.
- [1] “documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos, situações sobre saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo.” (Artigo 1.º da Resolução 1638/2002 do CFM)
- [2] Artigo 23 e seguintes.
Ana Paula Muggiati dos Santos
Heloísa Carvalho Budag