LGPD e as bases legais para o tratamento de dados pessoais Médico

Por: Antonio Araujo Júnior e Gustavo Paiva

LGPD na saúde

A Lei Geral de Proteção de Dados Pessoais (LGPD)¹ tem como principal objetivo estabelecer critérios e limites para o tratamento de dados pessoais, que entrará em vigor a partir de agosto de 2020. Esta lei repercutiu, sendo possivelmente um dos assuntos mais discutidos do momento, por modificar a cultura sobre o tratamento de dados pessoais no país.

Em seus fundamentos, a nova lei brasileira sobre dados pessoais busca proteger os dados pessoais, no âmbito digital ou físico, seja na coleta e tratamento de dados por parte de pessoa jurídica de direito público ou privado, pessoa natural ou física com o principal objetivo de proteger os direitos fundamentais de liberdade, privacidade e libre desenvolvimento da personalidade da pessoa natural.

As empresas que não se adequarem à regulamentação podem sofrer multas que vão de 2% do faturamento, até o teto de R$50 milhões. Já, para pessoas jurídicas ou estabelecidos de saúde penalizados, a pena é agravada pois existe o impedimento da coleta de dados de quaisquer espécies. Então, além de ter déficit financeiro, a empresa pode ser seriamente prejudicada devido a suspensão da coleta de qualquer tipo de dado em seus pacientes.

Quaisquer coletas, tratamentos ou transações de dados pessoais por parte de outrem devem ser devem ocorrer apenas mediante consentimento do titular, se comprovada finalidade específica.

Dentre as hipóteses para o tratamento dos dados pessoais, estão:

  • Cumprimento de obrigação legal ou regulatória;
  • Realização de estudos por órgãos de pesquisa, mas sem a individualização da pessoa;
  • Para proteção da vida ou integridade física de titular ou terceiro;
  • Para execução de contrato ou procedimentos relacionados a um contrato;
  • Para pleitos em processos judiciais, administrativos ou arbitrais;
  • Para proteção de crédito, nos termos do Código de Defesa do Consumidor;
  • Para tutela da saúde, com procedimento realizado por profissionais da área ou por entidades sanitárias.

Na saúde, o tratamento de dados pessoais adentra no âmbito de dados sensíveis, que são abarcados pela nova legislação nos artigos 5º e 11º. Da LGPD.

A empresa Serasa Experian² realizou uma pesquisa em agosto de 2019, trazendo como resultados que 85% das empresas entrevistadas não se sentem prontas para atender as novas regras da LGPD. E dentre as empresas que se sentem preparadas, os setores financeiro, serviço e varejo estão mais preparados, enquanto do ramo saúde se sentem menos preparadas, com apenas 8,7% das companhias em conformidade com a Lei.

LPGD e dados dos pacientes

Para os estabelecimentos de saúde (laboratórios, clínicas, hospitais e profissionais de saúde), a LGPD recomenda a obrigatoriedade de uma política interna de privacidade, bem como um sistema de segurança dos dados pessoais, com a discrição de como serão guardados, bem como deverá conter uma prevenção da eliminação de dados arquivados fisicamente. No armazenamento de dados digitais, estes deverão ser seguros e protegidos por meio de criptografia.

É conhecido que o armazenamento de dados pessoais dos pacientes pode ser benéfico para o paciente e para o médico deste, pois viabiliza a análise de o histórico e laudos médicos anteriores, assim, auxiliando o diagnóstico de possíveis enfermidades ou condições que o paciente possa vir a ter. Em outra face, o uso mal-intencionado destes dados pode gerar graves prejuízos ao paciente, em muitos casos irreversíveis.

Entre os tipos de dados existentes, além dos pessoais, a LGPD estabelece também os dados sensíveis, que são aqueles possíveis de motivar preconceitos: como religião, raça ou etnia, orientação sexual, capacidade financeira e doenças crônicas.

Neste sentido, é possível perceber que os dados relativos a saúde, em sua maioria, são aqueles classificados como dados sensíveis que exigem um tratamento ainda mais cauteloso. Aqui, o foco da lei é evitar que o titular dos dados seja vítima de algum tipo de discriminação em decorrência de uma possível doença grave ou transmissível.

Graças a isso, foi motivado a atribuição do direito de escolha ao paciente sobre quais dados sobre si permite que o estabelecimento tenha, e obriga ao estabelecido a clarificar aonde e como serão armazenamentos estes dados (sistema online, arquivo físico) e, por quanto tempo serão armazenados.

No entanto, deve-se ter que a base legal observa a não possibilidade de o paciente consentir a obtenção de seus dados, quando, em um exemplo, um Pronto Socorro receba um paciente em estado grave trazido pelo SAMU sem um acompanhante ou responsável, apenas sendo possível de ser identificado por seus documentos e objetos pessoais que porta.

A coleta e armazenamento de dados se faz essencial para o tratamento, pois é ressalvado pela proteção à vida. Nesta situação concreta, o direito à vida se sobrepõe ao direito à privacidade. Mas, ainda assim, a única finalidade possível para a coleta de dados seria o estabelecimento da saúde, não sendo possível o uso de dados de quaisquer outras maneiras.

Pacientes e suas informações

Em parênteses, o titular dos dados obtém novos direitos, como solicitar ao estabelecimento quais dados possui ao seu respeito, bem como pode pedir para que estes sejam alterados, excluídos ou ainda deixá-los anônimos. Cabe então, o estabelecimento atender o pedido em curto prazo.

É importante ressaltar a diferença de proteção à vida e de tutela da saúde, pois no segundo caso não ocorre situação de atendimento de paciente descrito anteriormente. Em uma pessoa consultada ou cirurgia marcada, é necessário que o estabelecimento e/ou profissional de saúde oriente e colete o consentimento do paciente, que pode ou não autorizar o tratamento de seus dados.

A orientação existente às empresas é da coleta se dar apenas no necessário, de maneira menos invasiva possível, obtendo-se informações pertinentes apenas a questão de saúde necessária que motivou à coleta de dados.

Esta é uma lei que trará situações inusitadas aos estabelecimentos de saúde, que deverão se atualizar e se precaver para que não infrinjam quaisquer novas regras.

Health digitization and keep Going

Por: Antonio Araujo Júnior e Gustavo Paiva

¹ BRASIL. Presidência da República. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Brasília, DF: Presidência da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2. Acesso em: 24 out. 2019.

² OITENTA e cinco por cento das empresas declaram que ainda não estão prontas para atender às exigências da Lei de Proteção de Dados Pessoais, mostra a pesquisa da Serasa Experian. Serasa Experian, São Paulo, 8 ago. 2019. Disponível em: https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram-que-ainda-nao-estao-prontas-para-atender-as-exigencias-da-lei-de-protecao-de-dados-pessoais-mostra-pesquisa-da-serasa-experian. Acesso em: 2 nov. 2019.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s