A IMPORTÂNCIA DA IMPLANTAÇÃO DA LGPD EM SEU ESTABELECIMENTO DE SAÚDE

A Lei 13.709/18, ou Lei Geral de Proteção de Dados (LGPD), já se encontra em vigor em todo o território nacional, fazendo com que as empresas e organizações com fins econômicos se adequem a esta nova realidade de tratamento de dados pessoais. E com os estabelecimentos de saúde não poderia ser diferente.

Nos dias atuais, dados são como chaves: exigem tutela especial, uma vez que, sendo violados, ameaçam a intimidade, a privacidade, podendo resultar também em importunações e prejuízos financeiros. A devida proteção de dados pessoais consiste em um direito fundamental, o que já explica a sua importância.

Por exemplo, você disponibilizaria a chave de sua casa para que qualquer pessoa pudesse adentrá-la? Não, uma vez que tal atitude revelaria de forma excessiva sua esfera particular, colocando-a em risco. O mesmo se aplica com os dados pessoais sensíveis (informações sobre a origem, religião, opinião política, saúde ou vida sexual de uma pessoa física), cuja proteção é imprescindível.

Porém, ainda se utilizando do mesmo exemplo das chaves, nos raros momentos em que você confia suas chaves a um terceiro (como entregar as chaves de seu carro a um manobrista), é esperado que elas sejam aproveitadas somente para o fim designado, evitando-se qualquer tipo de contratempo. As chaves, assim como os dados pessoais, são portais diretos para a intimidade de um indivíduo.

Devido a estes fatores, no momento em que uma pessoa natural confia a uma empresa seus dados pessoais, é esperado que eles sejam utilizados apenas para o fim consentido, protegendo estas informações fundamentais de quaisquer incidentes de violação de dados (como ataques cibernéticos, vazamento de dados que possam vir a gerar constrangimento e/ou discriminação, etc.).

Portanto, para que o devido tratamento de dados aconteça, a empresa obrigatoriamente deverá estar em conformidade com a LGPD. Caso seja identificado ainda certo despreparo por parte da organização em tratar dados pessoais, significa que um programa de adequação à Lei deverá ser iniciado o quanto antes. E estamos aqui para auxiliar nisso!

1. Por que adequar estabelecimentos de saúde à Lei Geral de Proteção de Dados?

 

A promoção de um programa de adequação à LGPD nos estabelecimentos de saúde é justificada, principalmente, pelo cuidado e respeito aos direitos dos titulares de dados (que podem englobar tanto pacientes, quanto funcionários, fornecedores, etc.).

Além disso, outros fatores também podem reforçar a necessidade de adequação à LGPD nos estabelecimentos de saúde:

• Competitividade empresarial, visto que um programa bem definido de governança de dados e compliance digital torna-se um grande diferencial do estabelecimento frente à concorrência;
• Existência de multas para quem descumprir as obrigações estipuladas nessa nova Lei.

 

Dados pessoais são extremamente comuns de serem tratados por estabelecimentos de saúde. Basta apenas ter registrado o nome e o CPF de um consumidor, fornecidos para a concessão de descontos em compras de fármacos, que já se inicia o processo de tratamento de dados.

Em clínicas, por exemplo, uma ficha cadastral de paciente, contendo seu nome, sobrenome, endereço residencial e data de nascimento, se encontra repleta de dados pessoais. Além disso, na relação com seus empregados, desde o momento da análise de currículos e contratação até o momento da rescisão contratual, muitos dados pessoais são constantemente acessados.

No setor da saúde em específico, as empresas possuem frequente contato com dados pessoais sensíveis de seus clientes, uma vez que constituem dados referentes, por exemplo, à origem racial ou étnica, à saúde, à vida sexual e à genética de uma pessoa natural.

A não adequação à LGPD por estabelecimentos de saúde pode ocasionar, além de penalidades cíveis e criminais, a aplicação de sanções administrativas, tais como:

• Advertência para adoção de medidas corretivas;
• Multa de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, conforme o faturamento da pessoa jurídica;
• Multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais).

 

Devido a estes sérios riscos, um estabelecimento de saúde deve estar em conformidade com a LGPD.

2. Principais questões

• Como ocorre a aplicação da Lei nas instituições de Saúde?

 

 

A LGPD regulamenta o tratamento de dados pessoais, a fim de proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da pessoa natural.

 

No contexto dos estabelecimentos de saúde, a implantação da LGPD afeta desde a elaboração de prontuários médicos, programas de fidelidade com consumidores, pesquisas clínicas e trocas de informações entre estabelecimentos (pedidos de exames laboratoriais requisitados por hospitais ou clínicas, por exemplo), uma vez que se tratam de procedimentos que envolvem muitos dados pessoais sensíveis.

Nesse sentido, é importante, primeiramente, ressaltar conceitos básicos sobre a Lei para melhor compreensão. A Lei Geral de Proteção de Dados protege, principalmente, os seguintes tipos de dados:

1. Dados Pessoais: Quaisquer tipos de dados que identifiquem uma pessoa, ou que a torne identificável. Exemplos de dados pessoais comuns em estabelecimentos de saúde: Nomes, números de telefone, endereços eletrônicos.
2. Dados Pessoais Sensíveis: Dados referentes a temas sensíveis de um indivíduo, tais como raça, etnia, religião, vida sexual e opinião política, dentre outros. Exemplos de dados sensíveis comuns em estabelecimentos de saúde: Dados referentes à saúde do paciente, dados biométricos, genéticos.

 

Tais dados são protegidos quando tratados por pessoa física ou jurídica. O conceito de tratamento de dados consiste em toda e qualquer operação realizada com dados pessoais.

 

O tratamento engloba inúmeras ações com os dados:

• Acesso;
• Coleta;
• Produção;
• Recepção de dados transferidos por terceiros;
• Armazenamento;
• Processamento (organização de informações pessoais para atingir determinado fim);
• Transferência de dados a terceiros;
• Transmissão de dados por meios eletrônicos (e-mail, Whatsapp, entre outros);
• Difusão;
• Eliminação (exclusão ou destruição dos dados).

 

 

No processo de tratamento de dados, também estão incluídos seus agentes principais. Leia-se:

• Titular – Pessoa a qual os dados se referem;
• Controlador – Pessoa física ou jurídica encarregada das decisões sobre o tratamento de dados;
• Operador – Pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador;
• Encarregado – Indicado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

 

Após expormos tais conceitos básicos, poderemos agora ilustrar o funcionamento do tratamento de dados pessoais, conforme a LGPD, nos estabelecimentos de saúde:

 

Hipóteses de tratamento de dados pessoais em estabelecimentos de saúde:

 

• Elaboração de prontuários médicos;
• Armazenamento de prontuários, tanto de forma física quanto digital/virtual;
• Eliminação de prontuários antigos;
• Transmissão, entre estabelecimentos de saúde, de informações sobre o estado de saúde de um determinado paciente (titular dos dados pessoais);
• Coleta de prescrição médica de um consumidor (titular dos dados pessoais) por farmácias, para fornecimento de medicações e posterior arquivamento.

No que se refere à atuação da LGPD, torna-se indispensável destacar que a Lei regulamenta, porém não proíbe totalmente o tratamento de dados pessoais. Uma operação de tratamento pode ser tranquilamente realizada desde que haja o consentimento livre, informado e inequívoco do titular de dados, o qual consiste em uma das bases legais de tratamento trazidas pela Lei.

Ademais, a LGPD também autoriza o tratamento de dados pessoais para as demais circunstâncias:

• Cumprimento de obrigação legal ou regulatória do estabelecimento de saúde;
• Execução de políticas públicas;
• Execução de contrato ou pré-contrato com o titular dos dados e a pedido do mesmo;
• Defesa de direitos em processo judicial, administrativo ou arbitral;
• Atendimento a interesses legítimos do controlador ou de terceiro, salvo no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
• Proteção do crédito.

 

Ainda no que tange à aplicação da LGPD nas instituições de saúde, também é permitido o tratamento de dados pessoais nestes casos:

1. a) Realização de estudos por órgão de pesquisa;
2. b) Proteção da vida ou da incolumidade física do titular ou de terceiro;
3. c) Tutela da saúde, sendo essa última possibilidade aplicada exclusivamente a procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

No que se refere a dados pessoas sensíveis, ou seja, aqueles que demandam tutela ainda mais rígida, a LGPD expressa que seu tratamento se torna possível apenas através do consentimento do titular dos dados ou de seu responsável legal, de forma específica, destacada, livre, informada e inequívoca, para finalidades pré-acordadas.

Caso não seja possível a aquisição do consentimento do titular, o tratamento de dados pessoais sensíveis somente será permitido para:

• Cumprimento de obrigação legal ou regulatória pelo controlador;
• Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
• Realização de estudos por órgão de pesquisa;
• Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
• Proteção da vida ou da incolumidade física do titular ou de terceiro;
• Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
• Prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, salvo se prevalecerem direitos e liberdades fundamentais do titular.

 

A LGPD, entretanto, proíbe veementemente a comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, por exemplo.

Porém, tal compartilhamento de dados pessoais ainda pode ser realizado na prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluindo serviços auxiliares diagnósticos e terapêuticos, quando em benefício dos interesses do titular de dados, para conceder:

1. Portabilidade de dados, quando solicitada pelo titular;
2. Transações financeiras e administrativas pelo uso e prestação desses serviços.

São vários os estabelecimentos de saúde que realizam o compartilhamento de dados pessoais sensíveis, como em casos de clientes que utilizam medicamentos contínuos podendo participar de programas de descontos, desde que realizem cadastros nas farmácias credenciadas (fornecendo dados pessoais sensíveis).

Além disso, também é fundamental mencionar que as operadoras de planos privados de saúde são vedadas pela LGPD de realizarem o tratamento de dados de saúde para a seleção de riscos para a contratação e exclusão de beneficiários.

 

• Como funciona a nomeação de um Encarregado pelo Tratamento de Dados Pessoais? (É neste contexto em que inserimos nossa atuação)

Conforme explicado no tópico anterior, a figura do Encarregado (ou DPO – Data Protecion Officer) consiste no profissional nomeado para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Entretanto, como funciona sua atuação na prática?

Imagine a seguinte situação: Um paciente (titular de dados pessoais) vai até uma clínica médica (controladora de dados) solicitar explicações sobre a portabilidade de seus dados pessoais para outro estabelecimento de saúde, questionando o que estaria incluso neste processo. O paciente também exige que a clínica forneça informações técnicas sobre a forma de tratamento de dados. Porém, os profissionais da clínica interpretam tais dados como sendo integrantes de segredo empresarial, ou seja, não sendo nada condizentes à situação de saúde do paciente, por exemplo.

Questões como essa, segundo a LGPD, devem ser atribuídas ao Encarregado pelo Tratamento de Dados Pessoais, para que este a resolva. E é nestes momentos que entra a nossa atuação do escritório, como operadores do Direito prestadores desse tipo de serviço.

Dito isso, além da implantação de um programa de adequação do estabelecimento para que este fique em conformidade com a LGPD, o Encarregado possui funções de prestar esclarecimentos ao público, receber críticas dos titulares de dados pessoais e adotar providências, assim como estabelecer um diálogo com a Autoridade Nacional de Proteção de Dados Pessoais (ANDP) sempre que necessário.

O Encarregado deve ser, portanto, altamente capacitado e familiarizado com a Lei, além de ser capaz de promover relações humanas harmoniosas. É altamente recomendado, também, que o Encarregado possua conhecimento técnico e jurídico, para lidar com as questões atinentes à proteção de dados e à segurança informacional.

 

Por fim, assim que nomeado o Encarregado pelo Tratamento de Dados Pessoais para implantação da LGPD em seu estabelecimento de saúde, torna-se imprescindível que suas informações pessoais de contato sejam públicas e altamente divulgadas, como através de publicações dos dados de contato do Encarregado nas redes sociais da clínica, hospital ou laboratório, bem como em seu respectivo site.

 

• Por que contratar uma assessoria jurídica especializada para a implantação da LGPD no seu estabelecimento de saúde?

A LGPD não exige expressamente que seu processo de implantação seja feito especificamente por um advogado, nem por qualquer outro profissional comprovadamente qualificado.

 

Entretanto, na prática, ter uma assessoria jurídica preventiva e reparadora consiste em um gigantesco diferencial para garantir a concretização da Lei em seu estabelecimento de saúde, bem como para evitar eventuais e futuras sanções administrativas por descumprimentos da norma.

 

 

A questão é que a Lei Geral de Proteção de Dados traz consigo diversas orientações legais e técnicas a serem seguidas pelos estabelecimentos de saúde. Além disso, muitas dessas regras podem ser interpretadas pelos juízes e Tribunais de maneiras bastante específicas e particulares, a depender de cada caso concreto. Para que se compreendam devidamente as normas e interpretações impostas pela Lei e se esteja sempre atualizado sobre a jurisprudência e o entendimento dos tribunais sobre os mais variados assuntos abordados pela LGPD, a ajuda de profissionais da área do Direito mostra-se indispensável.

A aplicação da Lei exige uma análise segmentada e setorizada, devido às peculiaridades de cada pessoa física ou jurídica controladora de dados. Portanto, para a aplicação da LGPD nos estabelecimentos de saúde, torna-se altamente recomendado a busca por profissionais do Direito que sejam não somente familiarizados com Proteção de Dados, mas também com o Direito Médico. E tais ferramentas nosso escritório possui para fornecer.

Também é importante salientar que, em casos de descumprimento da LGPD nos estabelecimentos de saúde, um procedimento administrativo pode ser iniciado para a aplicação de uma sanção a sua empresa. Nesse procedimento, haverá possibilidade de defesa judicial. Portanto, uma assessoria jurídica qualificada torna-se essencial para uma devida representação legal em juízo, a depender de cada caso concreto.

 

Violações às normas da LGPD nos estabelecimentos de saúde geram enormes repercussões. Segundo a Lei, os agentes de tratamento de dados (controlador e/ou operador) podem responder em ação judicial por danos patrimoniais e/ou morais que ocasionarem. Nesse aspecto, para se garantir uma efetiva defesa, é indiscutível para os estabelecimentos de saúde a necessidade de assessoramento por um escritório capacitado e especializado neste tipo de demanda.

Portanto, uma assessoria jurídica para realização do acompanhamento do cumprimento da LGPD nos estabelecimentos de saúde, apesar de não exigida especificamente, torna-se um diferencial para que sua empresa alcance os melhores resultados possíveis e reduza riscos de sanções e problemas judiciais.

A atuação de advogados no processo de adequação à LGPD pode ser preventiva e reparadora, realizando-se desde o planejamento para a elaboração de um mapeamento de dados e programas de adequação, até o acompanhamento e representações em eventuais processos e demandas judiciais relacionados à proteção de dados pessoais.

Quer saber mais a fundo sobre cada detalhe do assunto? Possui dúvidas ou interesse em nossos serviços? Contate-nos via Whatsapp, e-mail ou nos envie um formulário relatando sua demanda! Conte conosco!