Entrou em vigor a Lei denominada LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD com importantes impactos na área médico-hospitalar notadamente com relação aos procedimentos administrativos para proteger as informações sensíveis dos pacientes, colaboradores e partes relacionadas.
O dado pessoal é entendido como um conjunto de informações que individualiza e identifica a pessoa natural e deverá, a partir da entrada em vigor da lei, ser objeto de tratamento em conformidade com regras claras de proteção, sigilo e armazenamento de dados, utilizando-se novos instrumentos tecnológicos para que este patrimônio imaterial não seja exposto, compartilhado sem autorização ou utilizado indevidamente.
Neste sentido a coleta de dados pelo Hospital ou pela clínica médica precisa apresentar um propósito específico e útil, além de ser compatível com a finalidade do serviço médico, excluindo-se as informações suplementares com objetivos abusivos, ou seja, deve-se prestigiar a ideia da coleta mínima para se obter as informações que realmente são necessárias e de acordo com a relação médico x paciente.
A partir de agora o paciente e as pessoas relacionadas com o hospital e médicos passam a ter os seguintes direitos previstos:
i. ter direito à confirmação da existência de tratamento, entende-se tratamento como toda a operação realizada com dados pessoais a exemplo de: coleta, produção, recepção, utilização, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, comunicação, transferência, difusão, dentre outros.
ii. ter direito ao acesso e correção aos seus dados armazenados;
iii. anonimização (o dado anonimizado é relativo ao titular que não possa ser identificado);
iv. portabilidade;
v. eliminação dos dados após o término do tratamento;
vi. informação a respeito do compartilhamento de dados;
vii. possibilidade de receber informação sobre não fornecer o consentimento e suas consequências;
viii. revogação do consentimento;
Os hospitais, planos de saúde e clínicas médicas, por sua vez, deverão adotar medidas jurídicas em seus arranjos contratuais e procedimentos internos aliados às ferramentas de tecnologia para prova de consentimento pelo titular para uso de seus dados pessoais, autorização para tratamento das informações para uma finalidade determinada; dever de proteger os dados coletados, transparência e prazo de armazenamento; política restritiva de compartilhamento de dados; a nomeação da pessoa responsável na companhia pelo tratamento dos dados pessoais (DPO). Por fim, deverão ser estabelecidas as medidas de controle e segurança do banco dados, assim como a sistematização da proteção como instrumentos para mitigar riscos de violação.
O legislador se preocupou especificamente com a área da saúde, tanto que tratou no Art. 7º e respectivos incisos desta lei sobre a hipótese de autorização no tratamento de dados pessoais independentemente da vontade do titular para "proteção da vida ou da incolumidade física do titular ou de terceiro" e para a "tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias".
Os dados do paciente, que são o coração do hospital, e suas informações são encontrados desde o agendamento de consultas e procedimentos, até as informações laboratoriais e farmacêuticas presentes em diversos setores dentro do hospital.
É dever dos operadores garantir o sigilo dos dados dos pacientes, cujas informações por meio da inteligência artificial e utilização de algoritmos podem produzir relatórios estratégicos originados pelo fluxo de informações médicas e hospitalares seja para fins comerciais ou identificação de falhas administrativas.
Haverá fiscalização das empresas pela Agência Nacional de Proteção de Dados (ANPD) a ser instituída pelo Governo, além da atuação do próprio Poder Judiciário que julgará as questões litigiosas que forem objeto de processos judiciais tendo como norte a presente Lei da LGPD que já se encontra em vigor.
As penalidades aplicáveis pela inobservância da lei vão desde a advertência até a multa simples e diária que pode atingir o limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, ou ainda bloqueio e a eliminação dos dados pessoais. Além disto, o prejuízo reputacional dos Hospitais e empresas de saúde, que incorrerão em algum tipo de condenação, poderá causar danos ainda mais gravosos diante da rapidez digital com que as notícias são difundidas atualmente.
Mas na prática o que os profissionais da área de saúde devem fazer?
a. Estudo interno para revisar as rotinas na coleta de dados e implementar instrumentos de proteção dos dados, inclusive com programas de computador, bem como adoção de medidas de segurança para: a.1) controle de acessos às informações; a2) salvaguarda dos bancos de dados; a3) combate contra invasão, perda ou vazamento de informações;
b. Avaliação jurídica das responsabilidades sobre as informações de saúde coletadas, com elaboração de contratos e documentos legais para proteção da empresa, além de orientação jurídica para adequação à lei (compliance);
c. Desenvolvimento de projeto de proteção de dados com sistema de mitigação de riscos, emissão de relatórios e práticas de governança corporativa;
d. Designação de um líder para organização de todas as atividades da empresa ligada aos dados pessoais dos clientes e de terceiros, responsável inclusive pela gestão e acompanhamento deste segmento dentro da corporação.
e. Revisão da forma de comunicação e troca de informações entre a empresa e os titulares de dados pessoais fornecidos (transparência).
f. Treinamento da equipe de colaboradores para divulgação das novas práticas, implicações jurídicas e responsabilizações pessoais.
Em suma, este avanço legislativo é salutar, pois eleva o Brasil a um patamar de boas práticas e de segurança jurídica neste assunto, favorecendo as relações comerciais e institucionais com outros países. A divulgação e esclarecimento sobre esta lei é de suma importância para conhecimento geral e possibilidade de adequação das empresas para observância das novas regras ainda neste ano de 2020.
Dr. Remo Battaglia- Advogado com atuação na área do direito médico-hospitalar, Sócio Fundador do escritório Battaglia & Pedrosa, Palestrante e Mestrando em Direito dos Negócios pela FGV LAW.