Por: Antônio Araújo e Gustavo Paiva

Resultado de imagem para LGPD e as bases legais para o tratamento de dados pessoais na área Médica

A Lei Geral de Proteção de Dados Pessoais (LGPD)¹ tem como principal objetivo estabelecer critérios e limites para o tratamento de dados pessoais, que entrará em vigor a partir de agosto de 2020. Essa lei repercutiu, sendo possivelmente um dos assuntos mais discutidos do momento por modificar a cultura sobre o tratamento de dados pessoais no país.

Em seus fundamentos, a nova lei brasileira sobre dados pessoais busca protegê-los no âmbito digital ou físico, na coleta e tratamento de dados por parte de pessoa jurídica de direito público ou privado, pessoa natural ou física, com o principal objetivo de proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade.

As empresas que não se adequarem à regulamentação podem sofrer multas, que vão de 2% do faturamento até o teto de R$50 milhões. Por sua vez, para pessoas jurídicas ou estabelecimentos de saúde penalizados, a pena é agravada, pois existe o impedimento da coleta de dados de quaisquer espécies. Então, além de ter déficit financeiro, a empresa pode ser seriamente prejudicada devido à suspensão da coleta de todo tipo de dado em seus pacientes.

As coletas, tratamentos ou transações de dados pessoais por parte de outrem devem ocorrer apenas mediante consentimento do titular, se comprovada finalidade específica.

Dentre as hipóteses para o tratamento dos dados pessoais, estão:

Cumprimento de obrigação legal ou regulatória;

Realização de estudos por órgãos de pesquisa, mas sem a individualização da pessoa;

Para proteção da vida ou integridade física de titular ou terceiro;

Para execução de contrato ou procedimentos relacionados a um contrato;

Para pleitos em processos judiciais, administrativos ou arbitrais;

Para proteção de crédito, nos termos do Código de Defesa do Consumidor;

Para tutela da saúde, com procedimento realizado por profissionais da área ou por entidades sanitárias.

Na saúde, o tratamento de dados pessoais adentra o âmbito de dados sensíveis, que são abarcados pela nova legislação nos artigos 5º e 11º da LGPD.

A empresa Serasa Experian² realizou uma pesquisa em agosto de 2019, apontando que 85% das empresas entrevistadas não se sentem prontas para atender às novas regras da LGPD. E, no âmbito das empresas que se sentem preparadas, os setores financeiro, serviço e varejo estão mais aptos, enquanto as do ramo saúde se sentem menos preparadas, com apenas 8,7% das companhias em conformidade com a lei.

Para os estabelecimentos de saúde (laboratórios, clínicas e hospitais) e profissionais de saúde, a LGPD recomenda a obrigatoriedade de uma política interna de privacidade, bem como um sistema de segurança dos dados pessoais, com a descrição de como serão guardados, devendo conter uma prevenção da eliminação de dados arquivados fisicamente. No armazenamento de dados digitais, estes deverão ser seguros e protegidos por meio de criptografia.

É conhecido que o armazenamento de dados pessoais dos pacientes pode ser benéfico para ele e para seu médico, pois viabiliza a análise do histórico e dos laudos médicos anteriores, auxiliando, assim, o diagnóstico de possíveis enfermidades ou condições que o paciente possa vir a ter. Em outra face, o uso mal-intencionado desses dados pode gerar graves prejuízos ao paciente, em muitos casos irreversíveis.

Entre os tipos de dados existentes, além dos pessoais, a LGPD estabelece também os dados sensíveis, que são aqueles possíveis de motivar preconceitos: como religião, raça ou etnia, orientação sexual, capacidade financeira e doenças crônicas.

Nesse sentido, é possível perceber que os dados relativos a saúde, em sua maioria, são aqueles classificados como dados sensíveis, que exigem um tratamento ainda mais cauteloso. Aqui, o foco da lei é evitar que o titular dos dados seja vítima de algum tipo de discriminação em decorrência de uma possível doença grave ou transmissível.

Graças a isso, foi atribuído o direito de escolha ao paciente acerca de quais dados sobre si é permitido ao estabelecimento possuir, e obriga-o a clarificar onde e como serão armazenados esses dados (sistema online, arquivo físico) e por quanto tempo.

No entanto, deve-se entender que a base legal observa a não-possibilidade de o paciente consentir a obtenção de seus dados, quando, por exemplo, um Pronto Socorro receba um paciente em estado grave trazido pelo SAMU sem um acompanhante ou responsável, apenas sendo possível ser identificado por seus documentos e objetos pessoais.

A coleta e armazenamento de dados se fazem essenciais para o tratamento, uma vez que é ressalvado pela proteção à vida. Nessa situação concreta, o direito à vida se sobrepõe ao direito à privacidade. Mas, ainda assim, a única finalidade possível para a coleta de dados seria o estabelecimento da saúde, não sendo possível o uso de dados de quaisquer outras maneiras.

Em parênteses, o titular dos dados obtém novos direitos, como solicitar a estabelecimento quais dados possui ao seu respeito, assim como pode pedir para que estes sejam alterados, excluídos ou ainda deixá-los anônimos. Cabe, então, ao estabelecimento atender o pedido em curto prazo.

É importante ressaltar a diferença de proteção à vida e de tutela da saúde, pois no segundo caso não ocorre situação de atendimento de paciente descrito anteriormente. Em uma pessoa consultada ou com cirurgia marcada, é necessário que o estabelecimento e/ou profissional de saúde oriente e colete o consentimento do paciente, que pode ou não autorizar o tratamento de seus dados.

A orientação existente para as empresas é no sentido de a coleta se dar apenas no necessário, de maneira menos invasiva possível, obtendo-se informações pertinentes apenas à questão de saúde necessária que motivou a coleta de dados.

Essa lei trará situações inusitadas aos estabelecimentos de saúde, que deverão se atualizar e se precaver para que não infrinjam quaisquer novas regras.

Health digitization and keep going

Por: Antônio Araujo Júnior e Gustavo Paiva

¹ BRASIL. Presidência da República. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Brasília, DF: Presidência da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2. Acesso em: 24 out. 2019.

² OITENTA e cinco por cento das empresas declaram que ainda não estão prontas para atender às exigências da Lei de Proteção de Dados Pessoais, mostra a pesquisa da Serasa Experian. Serasa Experian, São Paulo, 8 ago. 2019. Disponível em: https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram-que-ainda-nao-estao-pron…. Acesso em: 2 nov. 2019.

Fonte: JusBrasil