A Lei Federal 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), entra em vigor em agosto de 2020 e as empresas já têm motivos para prestar atenção nas imposições trazidas pela nova legislação. A quantidade de dados que as empresas detêm sobre seus clientes tornou a informação um produto extremamente valioso e a área da saúde, em especial, sentirá os impactos de forma mais evidente, pois manipula dados considerados sensíveis pela Lei.
Dados sensíveis são aqueles que versemsobre a origem racial ou étnica, convicção religiosa, opinião política,filiação a sindicato ou a organização de caráter religioso, filosófico oupolítico, dado referente à saúde ou à vida sexual, dado genético ou biométrico,quando vinculado a uma pessoa natural.
Cada vez que acessamos um serviço desaúde, várias informações nos são solicitadas. Há informações prévias para finscadastrais, como nome, RG, CPF, endereço, estado civil, etc. Mas não é incomumque os estabelecimentos, especialmente os hospitalares, nos indaguem acerca danossa religião. Além destes, há todas as informações contidas em nossosprontuários, que vão desde os dados da anamnese coletada em consulta,diagnósticos e até resultados e laudos de exames.
O estabelecimento de saúde que coleta earmazena estes dados é denominado controlador pela Lei e toda a operaçãorealizada com os dados, tais como coleta, classificação, utilização,processamento e transmissão é denominado tratamento. A partir da novalegislação, para que o controlador possa tratar os dados dos pacientes, seránecessário consentimento específico e a finalidade da coleta do dado deverá serdevidamente esclarecida.
Há exceções. Para cumprir obrigações deagências reguladoras, tais como Anvisa ou ANS, o consentimento é dispensado. Damesma forma, o tratamento dos dados necessários à própria prestação dosserviços também é dispensado de consentimento específico. Apesar disto, opaciente tem o direito de conhecer todo o tratamento que incide sobre suasinformações pessoais sensíveis.
Por este motivo, os estabelecimentos desaúde deverão instituir suas políticas de privacidade e divulgá-las amplamente.Neste documento, deverá ser informado, de forma específica, qual a finalidadeda coleta de cada informação do paciente, quais dados são utilizados com baselegal (compartilhamento com planos de saúde para fins de faturamento, porexemplo) e por qual motivo, quem terá acesso aos dados, etc.
Uma questão importante, é que o titular teráo direito de receber do controlador a informação de todos os dados que este detéma seu respeito. Também terá o direito de revogar, a qualquer momento, osconsentimentos outrora fornecidos, bem como, o de solicitar a imediata exclusãode todos os dados sobre si armazenados.
Internamente, os estabelecimentosprecisarão implantar políticas internas de conduta dos seus colaboradores,delimitando acessos às informações e atribuindo responsabilidades pelo sigilo,bem como programar termos de consentimento específicos para colher asautorizações para coletas de dados dos pacientes que não tenham base legal(manutenção de resultados de exames, por exemplo). Será ainda preciso adotarmedidas de segurança dos seus sistemas informatizados a fim de impedir ocompartilhamento ou vazamento indevido dos dados.
A implementação das novas rotinas demandatempo, pois os estabelecimentos precisam fazer um trabalho interno para identificartodos os dados que têm armazenados dos seus pacientes, para quais fins sãoutilizados, quem os acessa, quais os softwares envolvidos, etc. Feito olevantamento, parte-se para a implementação das rotinas que atendam àlegislação, motivo pelo qual, sugerimos não deixar a preocupação com LPGD paraa última hora.
Antes, era preciso invariavelmente queocorresse um dano para que a pessoa lesada reclamasse a violação dos seusdireitos à privacidade e intimidade. Com a nova lei, o mero descumprimento dasnovas obrigações impostas poderá implicar em multas administrativas àsempresas, que será de 2% do faturamento anual, limitada a R$ 50 milhões.
