Artigo

Os Impactos da LGPD na Área da Saúde

14/10/2020 - Fonte: ESA/OABSP

.

Os Impactos da LGPD na Área da Saúde

A Lei Geral de Proteção de Dados entrou em vigor em 18/09/2020 e regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil. A área da saúde será fortemente impactada pela nova regulamentação, pois lida diariamente com uma enorme gama de dados de pacientes, de informações financeiras e de seguro de saúde a resultados de exames de pacientes e informações biométricas. Entender os impactos da LGPD na área da saúde será imprescindível para que as organizações deste setor não corram o risco de serem alvos de infrações administrativas ou mesmo demandas judiciais, além de garantir que os direitos dos titulares dos dados sejam respeitados.

Por certo que a proteção de dados de pacientes não é exatamente uma novidade do setor, sendo inclusive um dos princípios fundamentais previsto no Código de Ética Médico (CEM) e a violação do segredo profissional tipificado como crime pelo artigo 154 do Código Penal. Todavia, a LGPD vai além do simples sigilo e exige um processo de governança e gestão de dados muito mais apurado e detalhado do que existe atualmente.

De acordo com o artigo 5º, II da LGPD, dados sensíveis são todos aqueles relacionados a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. É seguro afirmar que grande parte dos dados utilizados pelos profissionais da saúde estão nesta categoria, de dados sensíveis.

A LGPD garantiu uma proteção específica mais rígida para os dados sensíveis, pois são informações vinculadas exclusivamente a um indivíduo e, na maioria das vezes, são inalteráveis e de relevância social. O vazamento de tais dados ou mesmo o compartilhamento não autorizado pode gerar danos irreversíveis aos seus titulares. É por isso que a adequação das organizações do setor da saúde é tão importante, sendo necessária a integração em sua cultura das melhores práticas de segurança de dados.

Um caso que gerou grande repercussão em 2018 foi justamente o vazamento de dados de pelo menos 2,4 milhões de usuários do SUS (Sistema Único de Saúde), em virtude de uma falha de segurança no aplicativo E-Health, fornecido pelo Ministério da Saúde. Por uma falha da API (Interface de Programação de Aplicativos) era possível que qualquer indivíduo acessasse dados como cartão do SUS, o nome do titular, informações médicas detalhadas, histórico de abstinência de medicamentos e agendamentos.

Logo, a revisão de procedimentos para adequação à nova legislação começa com o cumprimento dos princípios do artigo 6º da LGPD sobre finalidade, adequação e necessidade. O tratamento de dados deve ocorrer com propósitos legítimos, específicos, explícitos e informados, compatível com a finalidade declarada e limitado ao mínimo necessário para realização de sua finalidade.

É seguro afirmar que o consentimento é a principal base legal para o tratamento de dados pessoais (ordinários ou sensíveis), devendo o operador sempre ter a cautela de obtê-lo de forma expressa, nos termos dos artigos 8º e 9º. A lei é taxativa: o consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular; deve constar de cláusula destacada das demais cláusulas contratuais; a informação sobre o tratamento de dados pessoais deve ocorrer de forma clara, adequada e ostensiva e trazer informações sobre a finalidade específica do tratamento, forma e duração, identificação e contatos do controlador (DPO), informações sobre compartilhamento de dados pessoais e menção explícita dos direitos dos titulares previstos no artigo 18.

Contudo, o legislador não foi indiferente à importância da área da saúde, uma vez que o setor não está obrigado a obter o consentimento em todas as situações de tratamento de dados. De acordo com a LGPD, em seus artigos 7º, 10º e 11º, o consentimento é dispensado nos casos de proteção à vida ou tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa.

Isso quer dizer que os profissionais de saúde (médicos e terapeutas, de um modo geral), hospitais, clínicas, consultórios médicos, centros de diagnóstico, podem realizar o tratamento de dados independentemente do consentimento, desde que tais dados sejam utilizados exclusivamente para prestação de serviços de saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício e interesse do titular do dado. Afinal, seria impraticável, por exemplo, que em situações de emergência médica o tratamento do paciente só fosse iniciado após a obtenção do consentimento informado, pois os dados serão coletados de acordo com os desdobramentos do quadro clínico.

Não obstante, a vedação que chama atenção na LGPD é a proibição da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. Nesse ponto, a LGPD reforça o previsto na Súmula 27 da ANS que veda a prática da seleção de risco por parte das operadoras de planos de saúde, ou seja, a utilização de dados sensíveis para impedir beneficiários de adquirir plano de saúde em função da sua condição de saúde ou idade.

A utilização de dados para pesquisas também encontra restrições. Os dados poderão ser acessados, independentemente do consentimento, desde que o tratamento ocorra exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas, bem como sejam mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, considerando-se os devidos padrões éticos relacionados a estudos e pesquisas.

O caso mais recente desse tipo de utilização de dados é justamente a criação da primeira base de dados abertos anônimos do país com informações demográficas de 75 mil pacientes de covid-19. O banco de dados, denominado Covid-19 Data Sharing/BR, foi criado em colaboração com a Universidade de São Paulo (USP), o Grupo Fleury e os hospitais Sírio-Libanês e Israelita Albert Einstein e reúne dados de exames clínicos e/ou laboratoriais, além de informações, quando disponíveis, sobre a movimentação do paciente, como internações, por exemplo, e desfecho dos casos, como recuperação e óbito.

Ademais, é importante ressaltar que a LGPD coexiste com as demais legislações vigentes, devendo haver uma interpretação sistemática de todo o arcabouço jurídico aplicável. É possível ilustrar esse fato pela análise da Lei n.º 13.989/2020, regulamentada pela Resolução CFM n.º 1643/2002, que dispõe sobre o uso da telemedicina durante a crise do Covid-19, mas exigindo a garantia da proteção de dados do usuário, o que vai ao encontro com a LGPD.

O mesmo pode ser dito sobre a Lei n.º 13.787/2018, sobre a digitalização de prontuários médicos, exigindo a garantia da integridade, autenticidade e a confidencialidade do documento digital, bem como estabelecendo o prazo mínimo de guarda de 20 (vinte) anos dos documentos. E, finalmente, a exceção ao compartilhamento de dados prevista na Lei n.º 13.979/2020, que estabelece expressamente a obrigação de compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo Covid-19, com a finalidade exclusiva de evitar a sua propagação.

Uma figura importante que não pode ser deixada de lado é o encarregado de proteção de dados (Data Protection Officer ou DPO), prevista no artigo 41 da LGPD. O DPO deverá ser indicado pelo controlador de dados, o qual agirá sob sua orientação e supervisão, tendo ainda a atribuição de orientar funcionários e contratados da organização a respeito das práticas a serem adotadas em relação à proteção dos dados pessoais. É o DPO quem fará a interface com os titulares dos dados e também com a Agência Nacional de Proteção de Dados (ANPD) e, inclusive, essa forma de contato deve ser divulgada ostensivamente e de preferência no website da organização.

Assim, seguro afirmar que um sistema de governança de dados, estabelecendo toda a vida de determinada informação e sua relação com os titulares, é imperioso para o cumprimento da LGPD. Em que pese muitos dos dados utilizados na área da saúde dispensarem o consentimento, o titular ainda assim tem assegurada a sua inviolabilidade. E a não adoção dessa recomendação pode ser custosa, pois, além de responder por danos específicos eventualmente sofrido pelos titulares, a violação da LGPD sujeita a organização a multas que podem chegar a 2% do faturamento da empresa (limitado a R$ 50 milhões).

A área da saúde é cada vez mais dependente da utilização de dados e a razão é justamente possibilitar o oferecimento de serviços mais precisos e eficientes. Para que essa evolução continue, os profissionais e empresas da área da saúde deverão se adaptar à LGPD, norma essencialmente procedimental que demanda um mapeamento e governança de dados, estabelecendo o que é realmente necessário ser coletado, o que depende de consentimento e o que se insere na exceção. A depender do nível de organização já existente, essas adequações poderão demandar investimentos elevados, mas que ainda poderão ser muito menores que as possíveis sanções decorrentes do descumprimento da norma. Por isso, o privacy by design é um requisito que deverá ser incorporado ao setor.

Michael Hideo Atakiama

Sócio do escritório Guelfi, Atakiama & Munhaes Advogados Associados, Advogado com especialização em Direito Empresarial pela Universidade Estadual de Londrina (UEL) e cursando MBA em Planejamento Tributário pela Universidade Norte do Paraná (UNOPAR).