LGPD aplicada à área da saúde

+ + + + +

A Lei Geral de Proteção de Dados (LGPD) está em vigor desde 18 de setembro de 2020, mas foi só a partir de 1º de agosto de 2021 que a Autoridade Nacional de Proteção de Dados (ANPD) foi autorizada a sancionar quem descumprir as determinações legais. Pensando nisso, os sistemas e processos de clínicas, hospitais, consultórios e outros estabelecimentos de saúde já precisam estar adaptados às determinações para garantir a segurança das informações de seus pacientes.

A LGPD tem origem nos debates sobre privacidade na internet, provenientes dos diversos casos de vazamentos de dados na última década. Tem como texto base o Marco Civil da Internet, sancionado em 14 de agosto de 2018, e estabelece as regras a serem seguidas por empresas públicas e privadas no tratamento de informações pessoais, principalmente nos meios digitais.

A lei empodera o titular dos dados, de modo a proteger direitos fundamentais como liberdade e privacidade, além do livre desenvolvimento da personalidade da pessoa natural. Os principais objetivos da LGDP são:

  • O respeito à privacidade;
  • A autodeterminação informativa;
  • A liberdade de expressão, de informação, de comunicação e de opinião;
  • A inviolabilidade da intimidade, da honra e da imagem;
  • O desenvolvimento econômico e tecnológico e a inovação;
  • A livre iniciativa, a livre concorrência e a defesa do consumidor;
  • Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A implementação da LGPD precisa ser acompanhada por todos os setores da organização, pois envolve um completo estudo dos procedimentos internos e de como os dados são captados e tratados em cada área. Assim é possível limitar as informações recolhidas a apenas o necessário, identificar possíveis riscos de vazamento e oferecer mais transparência para os titulares de dados pessoais.

“Tais agentes devem desenvolver procedimentos internos para o correto tratamento e proteção dos dados, bem como, em especial, criar instrumentos que permitam obter o consentimento, que é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada, já que o tratamento de dados sensíveis sem o consentimento só é autorizado em determinadas hipóteses”, explica as advogadas Rafaela Calçada Cruz e Ana Paula Pereira do Vale em artigo publicado na Medicina S/A.

Essas informações coletadas são classificadas em:

  • Dado pessoal: informação relacionada à pessoa natural identificada ou identificável – nome, RG e CPF;
  • Dado pessoal sensível: informação sobre origem racial/étnica, convicção religiosa, política, filiação à sindicato ou a organizações de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Saber esses pontos é importante porque toda a base da LGPD está no consentimento sobre o uso dos dados. A empresa não é proibida de armazenar as informações, mas o titular precisa dar anuência para a utilização, para os fins determinados. Mas há, também, situações em que a organização é obrigada a recolher os dados e, por isso, a nova lei também define as possíveis exceções:

  • Cumprimento de obrigações legais e regulatórias para quem armazena os dados;
  • Para o poder público, dados que têm fins de execução de políticas públicas previstas em leis, regulamentos e contratos;
  • Dados para órgãos de pesquisa realizarem estudos, mas de forma anônima;
  • Dados fornecidos pelo usuário para construir contratos ou procedimentos contratuais;
  • Dados pessoais para processos judiciais, administrativos e arbitrais;
  • Dados para fins de proteção à vida ou da integridade física do titular ou de terceiros;
  • Para proteção do crédito;
  • Para procedimentos de profissionais de saúde, serviços de saúde e autoridade sanitária.

Este último ponto é importante, pois trata-se diretamente da área da Saúde. Há um desafio em conciliar a aplicação da LGPD com as normas da Agência Nacional de Saúde (ANS), mas alguns pontos já são consenso. O titular dos dados pessoais tem direito a um maior controle sobre suas informações, então é necessário informar qual a política de tratamento de dados da organização e oferecer um canal para que a pessoa possa solicitar detalhes sobre esse tratamento, pedir a correção e até mesmo a exclusão – a depender das possibilidades legais para isso.

Impactos na área da saúde

Para garantir a segurança dos dados pessoais de seus pacientes e funcionários, as organizações de saúde precisam contar com profissionais especializados no tema e serviços tecnológicos de ponta para fazer valer a LGPD. É algo que envolve investimento para o país não enfrentar as mesmas dificuldades encontradas pelo setor de saúde europeu na implantação das regras de proteção locais. Além disso, alguns pontos merecem atenção:

  • É preciso ter autorização expressa do paciente para armazenamento e coleta de dados pessoais em novas inserções ou em prontuários antigos, seja de forma eletrônica ou no papel. Ou seja, clínicas deverão buscar aqueles já cadastrados para conseguir o consentimento;
  • A troca de informações entre clínicas e laboratórios também precisa estar prevista no termo de consentimento, pois da LGPD também se aplica a situações como telemedicina, cobrança de serviços de saúde via Troca de Informações em Saúde Suplementar (TISS), pedidos de exames em laboratórios e comunicação com o Sistema Único de Saúde (SUS), por exemplo;
  • As mensagens trocadas entre médicos e pacientes via WhatsApp não se enquadram na LGPD, pois se trata de uma rede criptografada. Caixas postais ou de e-mail que armazenem mensagens persistentes também terão de ser protegidas, já que contêm identificação da pessoa;
  • Todas as organizações devem nomear um funcionário para ser o responsável interno sobre as questões envolvendo a proteção dos dados ou podem terceirizar essa gestão, conforme as normas de contratação de parceiros de negócios, como a ISO 27.001 e a ISO 27.799;
  • Se o sistema contratado pela organização não for seguro e o protocolo for quebrado, o contratante do serviço também é responsabilizado;
  • Além dos pacientes terem direito de saber detalhes sobre quais dados constam no sistema e como eles são tratados, a Autoridade Nacional de Proteção de Dados (ANPD) também precisa ter acesso a essas informações;
  • Dados pessoais e transmissões de informações nos sistemas devem ser criptografados. Após cumprirem o objetivo para o qual houve o consentimento, devem ser apagados de forma definitiva;
  • Ainda há incertezas sobre o envio de informações a operadoras. A princípio, dados relativos ao faturamento não precisam de consentimento, mas não há uma definição exata sobre o que fazer quando há dados clínicos mais detalhados, como um relatório médico.

“Essa lei reforça que o prontuário eletrônico deve seguir às diretrizes da LGPD. Dessa forma, fica claro que todos os profissionais de saúde precisam seguir as diretrizes da Lei Geral de Proteção de Dados ao manipular informações de pacientes”, explica o advogado Victor Prata em uma matéria publicada no site da Conexa Saúde.

Cuidados com seus dados

A AssisteMed já possui toda uma estrutura adaptada para tratar os dados de seus pacientes e garantir a segurança das informações repassadas. Então se você precisa realizar consultas com clínicos e especialistas, conte com a gente. Com preços acessíveis e condições exclusivas para empresas, temos toda a estrutura necessária para realizar consultas e exames com toda a segurança que você e seus dados precisam.