Raquele Teitelroit*
No ano de 2018 foi publicada no Brasil a lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – a qual dispõe direitos e obrigações acerca do tratamento de dados pessoais em nosso país. Cabe destacar que a lei está em vigor. Contudo, iniciamos o ano de 2023 ainda discutindo sobre os desafios da aplicabilidade da proteção de dados como um todo, visto a resistência de alguns setores ao cumprimento da referida lei.
No tocante ao setor da saúde, além do tratamento de dados pessoais comuns, há o fato de que lidam com dados sensíveis; e esses possuem elevado potencial de causar danos ao titular no caso de um vazamento. Vejamos o exemplo: “Uma paciente sofreu abuso sexual e foi contaminada por uma DST. Ela não gostaria de ter esse dado divulgado, mas, em virtude do vazamento, os dados se tornam públicos e ela tem a intimidade exposta.” Houve violação de sua privacidade e os seus dados não foram resguardados conforme determinam a LGPD e a Constituição Federal – lembrando que, no ano de 2022, o Direito à Proteção dos Dados Pessoais passou a ser um direito fundamental garantido pela nossa Constituição.
A Lei Geral de Proteção de Dados (LGPD) elenca no artigo 6º os princípios que devem orientar o tratamento dos dados pessoais. Destaco 3 princípios que são fundamentais para a LGPD na saúde: finalidade, adequação e qualidade dos dados. Quanto à finalidade, diz respeito ao fato de que os dados solicitados devem ser feitos para um fim específico. Com relação a adequação, o tratamento deverá ser adequado com relação a finalidade informada ao titular, ou seja, deve estar de acordo com o contexto do tratamento desses dados pessoais. Se espera que haja a minimização dos dados, sendo requeridos apenas os dados necessários, sem que haja excessos! Já a qualidade dos dados requer que o banco de dados esteja atualizado e as informações corretamente incluídas. Perceba como é importante esse princípio para a área da saúde: um paciente será operado e no prontuário médico erroneamente foi inserida a informação de que a amputação precisa ser realizada no dedo polegar direito, mas o correto era o dedo polegar esquerdo. Medidas simples, quando corretamente aplicadas, evitariam esse tipo de ocorrência.
O setor da saúde é regulado por uma diversidade de regramentos próprios de cada nicho (Médicos, farmácias, hospitais, odontologistas, enfermeiros, entre outros segmentos) – inclusive com termos para garantia do sigilo e da confidencialidade. Todavia, essas disposições não afastam a aplicabilidade da LGPD na saúde, a qual precisa ser rigorosamente observada e cumprida.
Quais medidas adotar para aplicar a LGPD na saúde?
Indico como primeiro passo a busca por um consultor especializado e capacitado para fazer o cotejo dessas legislações juntamente com as normas de segurança da informação e de compliance. Há muitas nuances envolvidas e multidisciplinariedade de assuntos. Após a escolha do profissional, ele irá realizar um diagnóstico e mapear o ciclo dos dados pessoais. O Data Mapping ajuda a entender o curso que os dados pessoais percorrem desde o momento da coleta até o seu descarte.
De posse desse relatório, o consultor irá elaborar o Programa de Privacidade e Proteção de Dados, o qual incluirá diversas etapas, dentre elas a revisão dos processos e procedimentos internos, dos Contratos e Termos, elaboração de documentos e políticas, feitura do Plano de Gerenciamento de Riscos (afinal, é preciso saber agir de forma rápida e segura quando ocorrer algum incidente) e também o Treinamento das equipes de colaboradores. De nada adiantam os processos se não houver a capacitação das pessoas.
A LGPD na saúde não pode ser encarada como um entrave para o negócio, ela é sim uma ALIADA na busca pela excelência na prestação de um serviço de qualidade e que garanta ao paciente uma relação transparente, segura e com objetivos definidos no sentido de resguardar suas informações. Não é à toa que você já deve ter ouvido a frase: “Dados são o novo petróleo”!
A “indústria” que surgiu para a obtenção de dados pessoais é lucrativa, e cabe aqueles que fazem o tratamento dos dados (no presente caso estamos falando dos Profissionais da saúde e estabelecimentos) resguardar os que lhes são confiados. Quando um dado pessoal é informado nasce uma relação entre as partes, que gera direitos e obrigações, por isso o setor da saúde precisa estar adequado às disposições que a lei impõe. Essa conformidade com a lei deve ocorrer o quanto antes, pois a lei vigora e as penalidades na esfera judicial já estão sendo aplicadas.
É fato que a Autoridade Nacional de Proteção de Dados (ANPD) está finalizando a fase de dosimetria das penas na esfera administrativa. Entretanto não custa ressaltar que uma esfera não exclui a responsabilização da outra. Mais do que afastar multas e sanções; respeite e proteja os dados dos seus pacientes e colaboradores. O que não é cabível é a alegação de desconhecimento de uma lei que foi publicada no ano de 2018 e que, reitero, encontra-se em plena vigência. 2023 é o ano de agir!
Raquele Teitelroit: Advogada pós graduada em Privacidade e Proteção de Dados Pessoais, bem como em Direito Penal e Processo Penal pela Fundação Escola Superior do Ministério Público (FMP/RS). Data Protection Officer (DPO) certificada pela EXIN. Auditora certificada pela LFerreira e BrasilOpenBadge. Atua na elaboração de Projetos de Adequação à LGPD, Treinamentos Corporativos e como DPO. É membro da ANPPD e da Comissão Especial de Proteção de Dados e Privacidade da OAB/RS.
