A Lei Federal 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), entra em vigor em agosto de 2020 e as empresas já têm motivos para prestar atenção nas imposições trazidas pela nova legislação. A quantidade de dados que as empresas detêm sobre seus clientes tornou a informação um produto extremamente valioso e a área da saúde, em especial, sentirá os impactos de forma mais evidente, pois manipula dados considerados sensíveis pela Lei.
Dados sensíveis são aqueles que versem sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Cada vez que acessamos um serviço de saúde, várias informações nos são solicitadas. Há informações prévias para fins cadastrais, como nome, RG, CPF, endereço, estado civil, etc. Mas não é incomum que os estabelecimentos, especialmente os hospitalares, nos indaguem acerca da nossa religião. Além destes, há todas as informações contidas em nossos prontuários, que vão desde os dados da anamnese coletada em consulta, diagnósticos e até resultados e laudos de exames.
O estabelecimento de saúde que coleta e armazena estes dados é denominado controlador pela Lei e toda a operação realizada com os dados, tais como coleta, classificação, utilização, processamento e transmissão é denominado tratamento. A partir da nova legislação, para que o controlador possa tratar os dados dos pacientes, será necessário consentimento específico e a finalidade da coleta do dado deverá ser devidamente esclarecida.
Há exceções. Para cumprir obrigações de agências reguladoras, tais como Anvisa ou ANS, o consentimento é dispensado. Da mesma forma, o tratamento dos dados necessários à própria prestação dos serviços também é dispensado de consentimento específico. Apesar disto, o paciente tem o direito de conhecer todo o tratamento que incide sobre suas informações pessoais sensíveis.
Por este motivo, os estabelecimentos de saúde deverão instituir suas políticas de privacidade e divulgá-las amplamente. Neste documento, deverá ser informado, de forma específica, qual a finalidade da coleta de cada informação do paciente, quais dados são utilizados com base legal (compartilhamento com planos de saúde para fins de faturamento, por exemplo) e por qual motivo, quem terá acesso aos dados, etc.
Uma questão importante, é que o titular terá o direito de receber do controlador a informação de todos os dados que este detém a seu respeito. Também terá o direito de revogar, a qualquer momento, os consentimentos outrora fornecidos, bem como, o de solicitar a imediata exclusão de todos os dados sobre si armazenados.
Internamente, os estabelecimentos precisarão implantar políticas internas de conduta dos seus colaboradores, delimitando acessos às informações e atribuindo responsabilidades pelo sigilo, bem como programar termos de consentimento específicos para colher as autorizações para coletas de dados dos pacientes que não tenham base legal (manutenção de resultados de exames, por exemplo). Será ainda preciso adotar medidas de segurança dos seus sistemas informatizados a fim de impedir o compartilhamento ou vazamento indevido dos dados.
A implementação das novas rotinas demanda tempo, pois os estabelecimentos precisam fazer um trabalho interno para identificar todos os dados que têm armazenados dos seus pacientes, para quais fins são utilizados, quem os acessa, quais os softwares envolvidos, etc. Feito o levantamento, parte-se para a implementação das rotinas que atendam à legislação, motivo pelo qual, sugerimos não deixar a preocupação com LPGD para a última hora.
Antes, era preciso invariavelmente que ocorresse um dano para que a pessoa lesada reclamasse a violação dos seus direitos à privacidade e intimidade. Com a nova lei, o mero descumprimento das novas obrigações impostas poderá implicar em multas administrativas às empresas, que será de 2% do faturamento anual, limitada a R$ 50 milhões.
Sobre o/a autor/a
