Luiza Etzberger Tubino*
A entrada da Lei Geral de Proteção de Dados (LGPD) em vigor impôs a necessidade de adequação das empresas e do setor público às diretrizes por ela trazidas e, por óbvio, o setor da saúde também está abrangido pela lei. Além do tratamento de dados pessoais considerados “comuns”, o segmento da saúde precisa ter cuidado redobrado, tanto no tratamento, quanto na proteção dos dados pessoais sensíveis, que são aqueles relacionados à personalidade do titular ou a informações que podem gerar algum tipo de discriminação como, por exemplo, os dados de saúde.
A Constituição Federal e o Código de Defesa do Consumidor já previam a proteção da privacidade dos cidadãos. A LGPD, por sua vez, complementa as legislações existentes, assegurando os direitos à privacidade e à intimidade do indivíduo como fundamentais. Independentemente do meio de tratamento dos dados, o controlador e o operador dos dados estarão sujeitos às imposições da LGPD.
Como funciona a proteção de dados de saúde
Ao abordarmos o setor da saúde, estamos lidando com a figura do paciente e todos os seus dados sensíveis referentes ao tratamento médico que ele está sendo submetido, aos medicamentos necessários, ao prontuário médico e à ficha de atendimento, dentre outros.
O paciente, ao dar entrada em um hospital ou outro estabelecimento da saúde, já deveria estar adentrando um local considerado referência em segurança da informação e da privacidade para o país antes mesmo da vigência da LGPD. Todavia, este não é o cenário atual.
Casos de vazamentos de dados de saúde
Em que pese a existência de normativas da Anvisa dos Conselhos Regionais de Medicina e Enfermagem, dos Sindicatos de Hospitais e de outras instituições que fundamentam o tratamento dos dados pessoais sensíveis para fins de tutela da saúde, como previsto também pela LGPD, é recorrente o vazamento de informações confidenciais de pacientes para a mídia ou terceiros que se dizem interessados no tratamento.
Em 2017, a primeira dama da época, Marisa Letícia Lula da Silva, teve informações do seu prontuário médico vazadas à mídia.Já, em 2020, durante a pandemia de Covid, o Ministério da Saúde vazou dados de cerca de 16 mil pessoas que teriam se submetido a testes de Covid-19, incluindo o chefe do Executivo, do poder Legislativo, ministros e governadores. Ainda, no primeiro semestre de 2022, a cantora Luisa Sonza alegou nas suas redes sociais ser “impossível” passar despercebida por um atendimento médico, pois sempre alguma informação sobre a consulta ou procedimento é entregue aos jornalistas de fofoca.
Recentemente, a atriz Klara Castanho, que dava à luz, em sigilo, a uma criança na condição de vítima de violência sexual, teve os dados do seu prontuário médico entregues aos sites de fofoca do país. A enfermeira que a atendia vendeu as informações a jornalistas, fazendo com que a situação da atriz, que já era traumática para ela, fosse ainda mais grave.
Ainda que o caso da Klara, acima mencionado, tenha exposto uma condição confidencial dela como paciente e cidadã, serviu para alertar ainda mais a população sobre as falhas existentes na proteção da privacidade e dos dados pessoais pelas instituições de saúde que, na maioria das vezes, se dão por ações humanas.
Medidas contra vazamento de informações dos pacientes
Além das medidas administrativas como a suspensão do registro profissional dos funcionários responsáveis pelo vazamento, sanções e eventuais indenizações no âmbito do judiciário, enquanto esses incidentes de dados seguirem ocorrendo nas instituições da área da saúde, estas terão responsabilidade solidária com aquele agente que realizou o vazamento.
Como bem dispõe a LGPD, o titular pode acionar tanto o operador, quanto o controlador, para obter a indenização devida a título de danos morais e patrimoniais decorrentes da exposição das suas informações.
O setor da saúde segue elencado como o setor que mais possui prejuízos financeiros ante ao vazamento de dados e informações pessoais, de acordo com o Relatório de Custos de Vazamentos de Dados emitido pela IBM.
Tão logo, hospitais, laboratórios, corretoras de plano de saúde e outras entidades do mesmo segmento precisam adotar urgentemente a implementação de medidas de segurança apropriadas ao acesso de dados de acordo com a sua classificação, quanto mais sensível o dado, maior deve ser a proteção deste.
Também deve ser feita uma avaliação dos riscos existentes nos programas e softwares utilizados, assim como do seu banco de dados, elaborando um bom plano de resposta a incidentes e um relatório de impacto de dados pessoais. Se possível, devem utilizar recursos como anonimização e psdeudonimização de dados, bem como criptografia. E, principalmente, devem realizar treinamentos periódicos e uma ampla divulgação de materiais de conscientização para funcionários e clientes.
Consequências de não proteger as informações
Caso medidas não sejam tomadas para que as instituições apresentem boas práticas quanto à LGPD, bem como tratamento, armazenamento e ferramentas de proteção adequadas aos dados pessoais, e um quadro de profissionais éticos e conscientes da importância da manutenção da privacidade dos pacientes, os prejuízos financeiros ante a existência de responsabilidade solidária, a exposição negativa na mídia, a alta taxa de turnover de profissionais da saúde em decorrência do vazamento de dados e o dano psicológico irreparável das vítimas continuarão permeando as manchetes dos noticiários brasileiros.
Leia outros artigos da autora:
O papel da Autoridade Nacional de Proteção de Dados e a relação com a adesão das empresas à LGPD
LGPD e Call Centers – O Que Muda?
Como os dados pessoais estarão protegidos frente à necessidade de uso destes para o desenvolvimento e uso das inteligências artificiais?
Luiza Etzberger: graduada em Direito pela PUC-RS, especializada em Masters of Laws – LLMS e Direito Empresarial pela Fundação Escola Superior do Ministério Público e certificada como Data Protection Officer, atua como advogada na Ad2l Consultoria com foco em proteção de dados.
