LGPD trouxe segurança aos pacientes, mas seu cumprimento ainda é complexo
Em vigor desde setembro de 2020, a Lei n° 13.709/2018, amplamente conhecida por LGPD (Lei Geral de Proteção de Dados Pessoais), ainda provoca dúvidas. Suas diretrizes atingem praticamente todos os setores da sociedade. Seus impactos na saúde digital são particularmente relevantes, na medida em que há tratamento de dados pessoais sensíveis de saúde, trazendo discussões polêmicas sobre a legitimidade e licitude dessas atividades à luz da LGPD.
Rubens Granja, sócio da área de Life Sciences & Healthcare do Lefosse, destaca que no âmbito da telemedicina, o Conselho Federal de Medicina (CFM) editou, em maio, a Resolução nº 2.314/2022, estabelecendo regras que se pretendem mais modernas e alinhadas com a experiência internacional. “Além de reforçarem a importância da LGPD, dispõem sobre as normativas para exercício da telemedicina em diferentes jurisdições, sobre os cuidados para a preservação da relação médico-paciente, sobre os cuidados a serem adotados com a privacidade do paciente e a garantia do sigilo profissional”, diz.
Paulo Lilla, sócio da área de Tecnologia e Proteção de Dados do Lefosse, ressalta que as novas normas anunciadas pelo CFM determinam que o Sistema de Registro Eletrônico de Saúde (SRES) do paciente deve atender a padrões de representação, terminologia e interoperabilidade técnicos específicos, garantindo integralmente o cumprimento dos requisitos do Nível de Garantia de Segurança 2 (NGS2), que contempla obrigatoriamente o uso de certificação digital no padrão da infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) ou outro padrão legalmente aceito.
“No caso de contratação de serviços terceirizados de armazenagem de dados, deverão ser implementadas cláusulas de proteção de dados para que a responsabilidade pela guarda de dados de pacientes seja compartilhada entre o médico e a fornecedora dos serviços de armazenagem – o que confere maior segurança jurídica no caso de responsabilização por eventuais incidentes de segurança ou vazamento de dados”, explica Lilla.
Sobre os impactos da LGPD na saúde digital em geral, Lilla esclarece que a legislação enquadrou os dados relacionados à saúde na categoria de dados pessoais sensíveis, conferindo a eles uma camada de proteção maior. “Nesse sentido, o tratamento de dados de pacientes por meio de recursos de Tecnologia de Informação e Comunicação (o que se convencionou chamar de saúde digital) deve ser ainda mais cauteloso, visando sempre à observância de todos os requisitos legais da LGPD, de modo a preservar a segurança da informação, a privacidade do paciente e a finalidade e proporcionalidade do tratamento dos dados”, sustenta.
Já Granja considera que, do ponto de vista prático, são vários os aspectos da LGPD que podem impactar o exercício da saúde digital. “O mais crítico, ao que parece, é a necessidade de implementação de medidas rigorosas para proteção dos dados do paciente (investimento em ferramentas para armazenamento seguro dos dados, incluindo o uso de criptografia, controles de acesso, utilização de múltiplos fatores de autenticação, limitação do compartilhamento de dados de paciente etc). Mas há outros aspectos importantes, como a restrição para a coleta de dados desnecessários e o dever de dar transparência aos pacientes sobre as atividades de tratamento dos seus dados pessoais, bem como sobre seus direitos previstos na LGPD (por exemplo o direito de acesso, correção e eliminação de dados)”, analisa.
Responsabilidades
Os especialistas alertam para os cuidados que médicos e profissionais de saúde devem tomar para não infringir a LGPD.
“Profissionais da saúde que desejem utilizar a telemedicina devem atentar para a escolha de sistemas que lhes proporcionem uma infraestrutura tecnológica adequada e segura para manuseio, transmissão e armazenagem dos dados de pacientes, a fim de preservar a integridade, a disponibilidade e o sigilo das informações. Além disso, é recomendável a busca por suporte jurídico para avaliar a adequação dos seus processos (por exemplo, a avaliação dos riscos das atividades de tratamento, a forma e o prazo para guarda do prontuário eletrônico dos pacientes, os termos de contratos celebrados com fornecedores e pacientes, etc). Como as exigências legais são diversas e complexas, é fundamental mitigar os riscos decorrentes da inobservância das regras e de eventuais incidentes de segurança da informação, os quais podem gerar danos patrimoniais e reputacionais para as empresas, observa Lilla.
Granja recomenda o estrito cumprimento dos regulamentos éticos editados pelos respectivos conselhos profissionais. “Trata-se de regras complementares, cuja conciliação nem sempre é fácil ou automática. Esse cuidado deve ser adotado, por exemplo, nos casos de compartilhamento de dados de pacientes (para discussão de hipóteses diagnósticas ou busca de soluções terapêuticas), na decisão pela viabilidade de um tratamento ou de um exame à distância ou na escolha pelo período de guarda de um prontuário médico. Todas essas condutas são reguladas tanto pela LGPD quanto por outras leis e regulamentos dos diversos Conselhos Profissionais. Uma decisão segura depende da análise conjunta de todas essas regras”, afirma.
Os advogados avaliam que a LGPD também trouxe benefícios para pacientes e para o ecossistema da saúde como um todo.
“A LGPD confere maior transparência e segurança ao paciente, garantindo a ele o direito a serviços tecnicamente confiáveis e invioláveis, capazes de garantir a sua privacidade e a preservação de aspectos sensíveis de sua personalidade. O descumprimento aos requisitos da LGPD para o tratamento de dados pessoais pode sujeitar o infrator a sanções administrativas impostas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como a penalidades previstas em outras leis, como no Código de Defesa do Consumidor, sem contar a possibilidade de indenizações por perdas e danos na esfera judicial”, diz Paulo Lilla.
Rubens Granja defende que a LGPD contribuiu fortemente para a credibilidade dos serviços de telessaúde. “Embora a saúde digital, enquanto modalidade de serviço de saúde, não seja algo novo, sua utilização sempre foi objeto de muitos questionamentos e desconfiança – fruto, em grande parte, do desconhecimento do público e da vulnerabilidade de algumas das plataformas e recursos que vinham sendo utilizados. No entanto, especialmente após a pandemia da Covid-19, não há dúvida de que a telessaúde já sedimentou raízes no ecossistema da saúde global: está presente em consultas, prontuários médicos, prescrições médicas, exames laboratoriais, pesquisas clínicas etc. A chegada da LGPD tem como benefício ampliar o debate acerca do tema, fortalecer a segurança das plataformas e, com isso, oferecer maior segurança aos profissionais da saúde e pacientes que utilizam a ferramenta”, comenta.
Dificuldades
As dificuldades para o cumprimento da LGPD na saúde digital, no entanto, ainda são muitas, principalmente em relação ao volume de investimento para o estabelecimento das estruturas tecnológicas e jurídicas impostas pela legislação, bem como a definição e implementação das estruturas organizacionais necessárias à elaboração e execução das políticas de proteção de dados e segurança da informação.
“Mais do que investimentos financeiros, a adequação à LGPD impõe a qualificação dos profissionais envolvidos no fluxo de tratamento de dados (desde a recepção, o atendimento médico, a realização dos exames, até o armazenamento dos dados após a consulta)”, afirma Rubens Granja.
O advogado destaca outros dois outros pontos que não podem ser esquecidos. “O primeiro diz respeito às peculiaridades do território brasileiro: há locais em que a infraestrutura digital e a disponibilidade de internet são precárias, o que torna a saúde digital inacessível e inviabiliza o cumprimento de exigências técnicas impostas pela LGPD. O segundo diz respeito às características da própria área da saúde: como o tratamento de dados pessoais é algo que sempre foi inerente à área, as mudanças impostas pela LGPD podem ser não apenas procedimentais, mas culturais – o que, necessariamente, implica maior complexidade e mais tempo”, complementa.
Paulo Lilla recorda que empresas europeias também passaram por dificuldades em relação à adequação do setor da saúde à GDPR (General Data Protection Regulation), sendo que diversas autoridades de proteção de dados já impuseram multas e outras penalidades contra empresas do setor pelo descumprimento da legislação de proteção de dados. “Por exemplo, no ano passado uma empresa que fornece soluções de software para análise laboratorial foi condenada pela autoridade de proteção de dados francesa a uma multa de 1,5 milhão de euros, em razão da violação massiva de dados de quase 500.000 pessoas. Informações como nome do paciente, dados de identificação, nome do médico, data do exame, além de informações sobre as condições de saúde, incluindo dados genéticos, foram divulgados publicamente na Internet. A ausência de medidas de segurança satisfatórias foi uma das causas apontadas para o vazamento de dados dos pacientes”, conclui.