A informação se tornou um dos bens mais preciosos para a humanidade, a Lei de Proteção de Dados Pessoais (LGPD) possibilita a hospitais, médicos, laboratórios, centros de diagnoses, planos e seguros de saúde e demais empresas e profissionais da área da saúde o tratamento de dados pessoais desde que referidas empresas e/ou pessoas consigam enquadrar o processo de tratamento em uma das bases legais do artigo 7º da referida Lei.
São 10 as bases legais que permitem o tratamento de dados pessoais:
- consentimento informado do paciente;
- cumprimento de obrigação legal;
- execução de políticas públicas;
- Realização de estudos por órgãos de pesquisa;
- Execução de contrato;
- Exercício de direito em processo judicial;
- Proteção da vida;
- Tutela da saúde;
- No legítimo interesse do controlador e;
- Para proteção do crédito.
A regra, portanto, é a seguinte: somente será permitido o tratamento de dados pessoais se este se encaixar em pelo menos uma das dez bases legais acima e se esta base legal encontrada atender aos seguintes requisitos, sem exceção de nenhum deles:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Com isso, temos que o estabelecimento de saúde além de encontrar a base legal que autoriza o tratamento do dado pessoal em questão, deverá demonstrar que o tratamento atende a todos os dez requisitos acima.
Vale ressaltar, ainda que os dados relativos à saúde são dados sensíveis que exigem um tratamento mais cauteloso, devendo o consentimento obtido do titular dos dados, além de conter toda a informação possível, ser específico sobre a finalidade do tratamento. Aqui o foco da lei é evitar que o titular dos dados seja vítima de algum tipo de discriminação em decorrência de uma doença grave ou transmissível, por exemplo.
De qualquer modo, o estabelecimento de saúde se não tiver o consentimento informado e específico do titular, sobre quais dados irá coletar, como e porque irá proceder o tratamento desses dados, este ainda assim poderá ocorrer em algumas hipóteses, desde que se adeque a uma das outras nove bases legais.
Explica-se: Um Pronto Socorro recebe um paciente em estado grave, trazido pelo SAMU sem um acompanhante e/ou responsável, sendo identificado nos seus pertences documentos pessoais e objetos que o identificam.
A coleta, armazenamento e tratamento desses dados pessoais, por óbvio, não será possível por meio do consentimento do titular dos dados, mas, o estabelecimento de saúde, ainda assim, poderá tratar esses dados do paciente calcado na base legal da proteção da vida. O critério que prevalece aqui é o direito à vida sobre o direito à privacidade.
Essa base legal garantirá ao estabelecimento de saúde o tratamento desses dados pessoais para proceder o atendimento ao paciente e não estará sujeito, por exemplo, à vontade posteriormente manifestada pelo paciente de que seus dados sejam apagados da base do hospital, dada a obrigação legal de retenção por determinado período dos dados de saúde de pacientes tratados.
Em condições normais, os dados obtidos por meio de consentimento e que não tenham uma obrigação legal de guarda, poderiam estar sujeitos ao pedido de apagamento por parte do seu titular, o que deveria ser imediatamente atendido pelo hospital.
Aqui, um parênteses importante, o titular de dados pessoais passa a ter novos direitos, como o de interpelar o estabelecimento para saber que dados pessoais possui a seu respeito, ou, ainda, pedido para que os dados existentes sejam corrigidos, apagados, até anonimizados.
E o estabelecimento, de acordo com a lei deverá o fazer em curto espaço de tempo, de modo que deverá estruturar-se para atender essas demandas dos titulares de dados nos próximos meses, haja vista que a lei entra em vigor em agosto de 2020.
Feito esse esclarecimento, outra base que pode ser utilizada, em alguns casos na área da saúde, pelos estabelecimentos e profissionais da saúde é o da tutela da saúde.
Diferentemente da proteção da vida, a tutela da saúde não se aplicaria em hipótese do atendimento de paciente grave tratado acima, mas, sim, em outros cenários, devendo ser identificado caso a caso na fase de mapeamento de dados a ser desenvolvida no programa de adequação à LGPD.
Isso porque essa base da proteção da vida não poderia ser utilizada por uma pessoa em uma consulta ou cirurgia eletiva, onde o estabelecimento e/ou profissional de saúde podem orientar e coletar o consentimento informado do paciente, que tem a opção de autorizar ou não o tratamento dos seus dados.
É preciso ter em mente, sempre, que o tratamento de dados pessoais deve ser sempre realizado do modo menos invasivo possível sobre o cidadão em questão, de modo que seguindo a regra dos requisitos tratados acima, somente os dados essenciais e que atendam à finalidade do tratamento devem ser coletados e utilizados.
Da mesma forma, é preciso que cada caso seja analisado individualmente, não há uma fórmula ou modelo padrão prontos para todas as instituições de saúde se adequarem à lei.
Ainda na esfera de exemplos de adequação de estabelecimentos de saúde à LGPD, pode-se citar os laboratórios e/ou centro de diagnoses.
Referidas empresas, em alguns casos, chegam a ter digitalizados e/ou armazenados fisicamente, todo o histórico de exames de um paciente ao longo de uma vida.
O simples armazenamento desses dados por período indefinido, sem o consentimento informado específico do paciente, e sem uma política clara de privacidade não atende às exigências da LGPD.
É sabido que este armazenamento pode ser um benefício para o paciente e para seu médico, que pode identificar e analisar todo o histórico de saúde do paciente. Por outro lado, também é de conhecimento geral que o uso mal intencionado desses dados de saúde podem gerar prejuízos irreversíveis para o paciente.
Por tal motivo, a lei confere ao paciente o direito de escolha sobre quais dados sobre ele, por quanto tempo, e onde, podem ser objeto de tratamento e de guarda por terceiros.
Vale dizer, o laboratório terá que definir uma política escrita de guarda e armazenamento desses dados em sistema online (em uso atual) para consulta por um determinado período informado para o paciente.
O laboratório e/ou hospital, após o encerramento do atendimento ao paciente, poderá/deverá armazenar os dados pessoais em comento (exames, prontuários, dentre outros) para fins de atendimento de processos judiciais, execução de contratos, dentre outros, pelo período prescricional.
Entretanto, tal guarda e armazenamento deverá se dar de modo que o titular dos dados saiba o que sobre ele existe em poder deste estabelecimento, da mesma forma deverá lhe ser garantido o armazenamento com as melhores técnicas de segurança da informação e de tecnologias disponíveis no mercado do porte deste estabelecimento.
O laboratório, assim como os hospitais e clínicas, e demais profissionais da saúde, deverão zelar e exigir que todos os seus fornecedores com quem compartilham dados de pacientes, que estes atendam a sua política de segurança e privacidade dos dados pessoais e que estejam adequados à lei.
É uma boa prática recomendável que sejam estabelecidos contratualmente mecanismos de controles rígidos quanto a fornecedores, como o direito de realizar auditorias, por exemplo, para se assegurar que o seu parceiro trata os dados pessoais do paciente com o mesmo zelo que o seu estabelecimento trata.
Isso porque, um hospital, por exemplo, que terceiriza serviços laboratoriais, deverá zelar para que caso este último venha a ter um incidente de segurança e vaze os dados de saúde de seus pacientes, que na condição de controlador dos dados consiga demonstrar que tomou todas as medidas prévias efetivas e diligentes para que em uma hipóteses dessas, o prejuízo para os pacientes fossem o menor possível.
Afinal de contas a responsabilidade, nesse caso, tanto perante o paciente em eventual ação indenizatória, bem como perante a Autoridade Nacional de Proteção de Dados (ANPD), é solidária do hospital e do terceirizado.
A pena a ser imposta pela ANPD, que poderá ir de 2% do faturamento do grupo econômico a R$50 milhões de reais, será minimizada se o estabelecimento deixar claro que tomou todas as medidas possíveis para evitar esse tipo de incidente.
Ainda sobre a política interna de privacidade de hospitais, laboratórios, clínicas e demais profissionais de saúde, estas deverão prever a eliminação ou a guarda offline dos dados pessoais de pacientes cujos procedimentos e/ou exames já foram finalizados (entendendo-se por offline o arquivamento dessa informação em meio não disponível para consulta pelo paciente e demais funcionários do estabelecimento, a não ser pessoas do departamento de TI, por exemplo) devendo ser arquivado em meio digital e/ou físico seguro e protegido por criptografia, como uma boa prática de governança de dados e segurança da informação.
Todas essas informações sobre coleta, uso, armazenamento, eliminação, retenção dos dados pessoais, deverão estar disponíveis para o paciente no início da operação de tratamento dos dados, lá no início da contratação, de forma clara e precisa, sendo que o titular deverá consentir de modo inequívoco com esse tipo de tratamento dos seus dados.
Por fim, reitere-se como salientado acima, a existência das bases legais para tratamento de dados pessoais não são carta branca para o tratamento de todo e qualquer dado do paciente.
É preciso, portanto, que estes estabelecimentos tenham uma política interna firme e rígida de privacidade e proteção de dados, que deverá ser construída caso a caso, para cada estabelecimento de saúde: hospitais, clínicas, ambulatórios, Pronto Atendimentos, centros de diagnose, dentre outros, e que os profissionais e colaboradores que trabalham nessas unidades sejam constantemente treinados sobre a necessidade da observância da LGPD.
A lei é extremamente severa com o uso indevido de dados e no ambiente da saúde regulou situações até então corriqueiras, proibindo-as daqui por diante, como a tratada no art. 11, §5º, de que as operadoras de planos privados de assistência à saúde realizem o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
Nesse contexto, recomenda-se a todos os envolvidos no ambiente da saúde, com a maior brevidade possível, por meio da implementação por assessoria e/ou consultoria especializada, de um programa de adequação em Proteção de dados pessoais, começando:
- Pela compreensão do negócio e das suas estruturas;
- Pela realização de um mapeamento do fluxo e ciclo de vida dos dados pessoais existentes em suas bases de dados;
- A partir daí a identificação de eventuais compartilhamentos de dados com terceiros, as bases legais atualmente utilizadas;
- Que permitirá avaliar os riscos existentes nesse processo de tratamento de dados;
- A partir daí será possível a definição da necessidade ou não da realização de um Relatório de Impacto de Proteção de Dados Pessoais, obrigatório no tratamento de dados sensíveis, ou no tratamento de dados pessoais comuns em massa;
A realização dessas etapas permitirá a definição das áreas prioritárias a serem abordadas emergencialmente, a solução dos pontos críticos, a definição das políticas de privacidade, treinamento dos colaboradores, enfim, o desenvolvimento completo do programa de adequação que é longo e extremamente complexo.
????????????-
Autor: Marcelo Augusto Fattori. Advogado em Direito Digital e Proteção de Dados.