Os desafios da implementação da LGPD na área da Saúde
A Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados, regulamenta a maneira pela qual os dados pessoais são utilizados por empresas, criando exigências para sua coleta, utilização, armazenamento e eliminação no meio físico e digital. Ainda, estabelece severas penalidades para as empesas que atuarem em desconformidade com a Lei.
O intuito da LGPD é a proteção dos dados pessoais dos abusos de empresas, que coletam dados pessoais de forma indevida para finalidades não especificadas, mas também a proteção de dados de cyber ataques que possam colocar informações pessoais nas mãos de criminosos.
Os dados médicos, em especial, são objeto da ação de hackers com frequência em razão de seu altíssimo valor no mercado ilegal de dados. Nos Estados Unidos recentemente foram colocados à venda os registros de 10 milhões de pacientes na Deep Web, contendo, além de dados pessoais como nome e dados de identificação, os históricos médicos pessoais.
Em contrapartida, é notável o grande fluxo de dados que empresas que atuam diretamente ou indiretamente no setor de saúde tratam, como prontuários, estado de saúde, laudos de exames, tratamentos realizados, histórico clínico, medicação indicada, entre outros.
A Lei Geral de Proteção de dados, com o objetivo de dar maior proteção ao tratamento realizado a dados relacionados à saúde do titular, categoriza tais informações como Dados Sensíveis, cujas regras de coleta e utilização são ainda mais rígidas. Isso ocorre em razão da natureza de tais dados, que é potencialmente prejudicial ao titular, na medida em que a sua mera divulgação pode causar grandes prejuízos.
É, contudo, autorizado o tratamento de dados pessoais, inclusive sensíveis, em situações delimitadas pela própria LGPD, entre as quais se destaca a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Existem, ainda, outras normas que devem ser levadas em consideração quando se fala em tratamento de dados pessoais na área da Saúde, como, por exemplo, a Lei nº 13.787/2018, que trata sobre a digitalização de prontuários, que também prevê o tratamento de dados pessoais relacionados a saúde em situações específicas.
É relevante que toda empresa que atue no setor de atendimento a saúde, observe, quando da implementação dos programas de conformidade, as normas aplicáveis ao seu ramo de atuação, e de que forma que elas se comunicam com as exigências da Lei Geral de Proteção de Dados.
Em muitos casos, será necessário rever o tratamento realizado, eliminando dados não necessários, inclusive os já existentes nas bases antigas. Ainda, pode ser necessário solicitar o consentimento dos titulares para realizar o tratamento de alguns tipos de dados, e isso deverá ser analisado caso a caso.
A LGPD traz, também, a previsão diversos direitos para o titular dos dados, que já podem ser exercidos a qualquer momento. Um deles é o de ter livre acesso aos dados pessoais tratados pela empresa, sabendo quais são e quais as finalidades do tratamento deles. Isso pode tornar necessário a criação de mecanismo centralizador das informações para facilitar esse processo.
As mudanças trazidas pela Lei Geral de Proteção de Dados são muitas, e exigem uma mudança de postura de todas as empresas, que estão habituadas a tratar dados pessoais sem muitas exigências. Isso impacta, em muito, empresas que atuam no setor de saúde, tratando dados pessoais potencialmente sensíveis.
Contudo, embora desafiador, o resultado de um programa de conformidade à LGPD bem estabelecido é, acima de tudo, a mudança cultural nas empresas, que passarão a ter o cuidado com dados pessoais inerente ao seu dia a dia.
*Stefanie Rosso Sarnick é advogada empresarial no escritório Rücker Curi Advocacia e Consultoria.