Entenda o que é a Lei Geral de Proteção de Dados e como ela afeta a rotina médica

Instituída para regulamentar a maneira pela qual os dados pessoais são utilizados por pessoas ou empresas, a Lei Geral de Proteção de Dados – LGPD (Lei no. 13.709/18) ainda gera dúvidas quanto às formas de execução e tratamento de informações pessoais de caráter médico. Para facilitar que profissionais e empresas alinhem condutas de acordo com as diretrizes desse dispositivo legal, a Dra. Maria Celeste Osório Wender, Diretora de Defesa e Valorização Profissional da Febrasgo, e a Dra. Lia Cruz Vaz da Costa Damásio Membro da Comissão Nacional de Defesa e Valorização Profissional, prepararam detalhado artigo, veiculado na revista Femina, que ajuda a elucidar as principais dificuldades em torno do tema. Confira, a seguir, uma versão compacta desse conteúdo. 

A LGPD objetiva regulamentar o uso, a proteção e a transferência de dados pessoais no território brasileiro. Isto é, criar um ambiente de segurança jurídica por meio da padronização de normas e práticas para a proteção, de forma igualitária, de dados pessoais no país. A lei possibilita a hospitais, médicos, laboratórios, centros de diagnóstico, planos e seguros de saúde e demais empresas e profissionais da área da saúde o tratamento de dados pessoais (toda e qualquer atividade que utilize dado pessoal na execução da sua operação, seja ela coleta, processamento, utilização, reprodução, classificação, arquivamento e outras ações) desde que o processo se enquadre em uma das bases legais no artigo 7º e descritas a seguir. Por dados pessoais, entende-se as informações permitem identificar, de modo direta ou indireto, um indivíduo que esteja vivo (tais como nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, retrato em fotografia, prontuário de saúde etc).  

Infrações à LGPD podem ocasionar advertências e multas de até 2% do faturamento anual da organização, no limite de R$ 50 milhões de reais por infração; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere à infração; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

Bases Legais e Consentimento 

São 10 as bases legais que permitem o tratamento de dados pessoais: 1. Consentimento informado do paciente, que é o titular dos dados pessoais; 2. Cumprimento de obrigação legal ou regulatória pelo profissional ou serviço de saúde; 3. Execução de políticas públicas; 4. Realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 5. Execução de contrato; 6. Exercício de direito em processo judicial, administrativo ou arbitral; 7. Proteção da vida; 8. Tutela da saúde; 9. No legítimo interesse do controlador e; 10. Para proteção do crédito. 

Para o tratamento de dados pessoais é necessário ainda que a base legal encontrada atenda aos seguintes requisitos, sem exceção de nenhum deles: finalidade, adequação, necessidade (limitação do tratamento ao mínimo necessário para a realização de suas finalidades), livre acesso aos titulares, qualidade dos dados, transparência, segurança, prevenção de danos, não discriminação, qualidade dos dados (garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; responsabilização e prestação de contas). 

O consentimento previsto no inciso I do art. 7º da Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Dono do dado pessoal, o titular tem a prerrogativa de autorizar, negar ou reconsiderar o uso de suas informações. O consentimento pode ser manifestado por escrito ou por qualquer outro meio que demonstre, de forma clara e inequívoca, que suas informações podem ser usadas por empresas e órgãos públicos. 

Além dos dados pessoais, outras informações cujo tratamento incorre na observância da LGPD. São os chamados dados sensíveis. Estes seriam as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural e outros. Há maiores restrições no uso e coleta de dados sensíveis. 

Os dados sensíveis também podem ser tratados se tiverem o consentimento explícito da pessoa e uma finalidade definida; e, sem consentimento do titular, quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular. 

Vale ressaltar, ainda que os dados relativos à saúde são dados sensíveis que exigem um tratamento mais cauteloso, devendo o consentimento obtido do titular dos dados, além de conter toda a informação possível, ser específico sobre a finalidade do tratamento. Aqui o foco da lei é evitar que o titular dos dados seja vítima de algum tipo de discriminação em decorrência de uma doença grave ou transmissível, por exemplo. 

Dados anonimizados e pseudonimizados 

A anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Dados pseudonimizados são aqueles dados que também passaram por etapas de tratamento, no qual se permitiu trocar o conjunto de dados originais (por exemplo, o e-mail do titular dos dados ou o próprio nome) por um pseudônimo. neste caso, é possível identificar a pessoa titular do dado, sujeitando-se à LGPD. 

Implicações da LGPD na área da saúde 

É relevante que toda empresa e profissional que atue no setor de atendimento a saúde, observe, quando da implementação dos programas de conformidade, as normas aplicáveis ao seu ramo de atuação, e de que forma que elas se comunicam com as exigências da Lei Geral de Proteção de Dados. 

Citam-se alguns exemplos do impacto da LGPD na área da saúde: 

• Os dados pessoais de um paciente somente poderão ser coletados, armazenados eprocessados em sistemas de informação em saúde com seu expresso consentimento livre e esclarecido (inclusive dados retroativos, ou seja, todos os pacientes já armazenados nos sistemas, ou seus responsáveis, terão que ser solicitados novamente);
• Os pacientes terão o direito de saber para que, quando e por quem os seus dados foram utilizados, e poderão restringir o direito de acesso a quem desejarem (inclusive grupos de usuários dos sistemas).
• Os dados pessoais terão que ser anonimizados e deverão ser criptografados;
• Todas as transmissões entre sistemas terão que sercriptografadas;
• Deve-se ter cautela com a adequação e o“excesso de segurança”, que poderia prejudicar uma tendência fundamental para os prontuários eletrônicos, queé a interoperabilidade (troca de informações) entre sistemas heterogêneos e também a elaboração de dados agregados, como no DATASUS ou levar a situações esdrúxulas, como um paciente necessitando cuidados emergenciais não poder ser atendido em virtude dos seus dados estarem com acesso vetado, o que reforça a necessidade de atenção e individualização na adequação de cada serviço às regras da LGPD.