O tema do momento é, sem dúvida, a chamada Lei Geral de Proteção de Dados Pessoais (LGPD). A Lei nº 13.709/2018, sancionada em 14/08/2020 pelo Presidente Michel Temer, tem sua vigência bastante debatida atualmente pois está na dependência da sanção do atual Presidente da República.

De fato trata-se de uma lei bastante importante, pois permite que o cidadão tenha controle sobre suas informações, como serão utilizadas e armazenadas por pessoas físicas, empresas, organizações e governo, ou seja, garante a chamada autodeterminação informacional.

Atualmente vivemos em uma Sociedade da Informação embasada em tecnologias de informação e comunicação que envolvem aquisição, armazenamento, processamento e distribuição da informação por meios eletrônicos. A informação pessoal, neste contexto, é encarada como uma verdadeira commodity e desponta como modelo de negócio, com a intenção de extrair valor monetário deste fluxo informacional de dados. Dessa forma, o conhecimento e a informação são vitais para esta sociedade e sua utilização mostra-se potencializada pelo uso da internet (COSENZA et. MOURA, 2019).

Diante desse contexto, a Lei nº 13.709/2018 surge como forma de trazer proteção para os dados pessoais e define a forma com que são colhidos e armazenadas por pessoas físicas ou pessoas jurídicas, nos ambientes on-line ou off-line.

Os dados pessoais possuem uma enorme relevância e muitas empresas utilizam deste tráfego de informações para produzir novos produtos, oferecer serviços e produtos que tenha interesse ou até mesmo comercializar com outras empresas.

Na área da saúde, especialmente no Direito Médico, o tema da segurança das informações é bastante relevante, uma vez que na atuação profissional existe uma reunião de dados de pacientes como diagnósticos, anamnese, laudos, prescrições médicas, exames etc.

A Lei Geral de Proteção de Dados Pessoais visa a criação de um ambiente de segurança das informações individuais para coibir um mercado de dados pessoais para fins comerciais onde não há autorização da pessoa.

Isso fica bastante claro já pelo art. 1º da lei, pois a regulamentação da proteção dos dados engloba tanto pessoas naturais (pessoas físicas) quanto jurídicas (de direito público ou direito privado) e dessa forma, no campo do Direito Médico, sua abrangência se dá tanto a profissionais autônomos quanto hospitais, clínicas etc.

Uma diretriz básica da legislação é que os dados somente poderão ser recolhidos e mantidos em caso de autorização da pessoa e deve haver, por parte daquele que irá coletar o dado, aviso explícito que o dado está sendo coletado e qual será a circunstância do seu uso.

O usuário/paciente ainda poderá revogar a qualquer momento esse consentimento e então ter acesso aos seus dados para fins de alterações, atualizações, correções e supressões nos termos do art. 18 da lei.

O titular também tem o direito de ser informado em caso de falha na proteção de seus dados. Além disso, há necessidade de criptografia para proteger as mensagens trocadas entre médicos e pacientes.

A legislação ainda concede proteção maior aos chamados dados sensíveis, sendo estes os expostos no inciso II do art. 5º da LGPD: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Para estes dados, há possibilidade do tratamento ocorrer sem o consentimento do titular, mas isso se dará em casos específicos como no caso de procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, garantia da prevenção à fraude e à segurança do titular.

Destaca-se que é vedada a prática de compartilhamento de dados com o objetivo de obtenção de vantagem econômica, conforme o § 4º do art. 11. A exceção é para os casos de prestação de serviços de assistência farmacêutica e de assistência à saúde, desde que observada a restrição dos planos de saúde em praticar seleção de riscos para contratação, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir a portabilidade de dados quando solicitada pelo titular ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços.

No caso do fornecimento de dados, os estabelecimentos de saúde somente devem pedir os dados relevantes para o serviço a ser prestado, e o paciente terá o direito de saber a finalidade podendo questionar sobre a relevância da informação.

Com relação aos dados sobre saúde, é certo que os médicos e os serviços de saúde já possuem a diretriz do cuidado com as informações dos pacientes, pois este tem o direito à privacidade, ao sigilo e inviolabilidade de suas informações pessoais, bem como, o histórico clínico, prontuário, tratamentos realizados, medicação etc.

A proteção do sigilo referente aos dados e ao prontuário do paciente, já é prevista pelo Código de Ética Médica (Resolução nº 2.217 de 27 de setembro de 2018) e pela Lei nº 13.787/2018, que regula a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente. Na LGPD tais informações integram a categoria dos dados sensíveis.

De todo o caso, as regras expostas na LGPD aplicam-se a situações como no acesso a exames via plataformas digitais, na telemedicina e ainda na Troca de Informações na Saúde Suplementar – TISS (padrão obrigatório para as trocas eletrônicas de dados de atenção à saúde dos beneficiários de planos, entre os agentes da Saúde Suplementar)[1].

A legislação impõe que a pessoa natural ou a jurídica no caso da saúde, ou seja, o médico ou a empresa médica, indique uma pessoa (física ou jurídica) que terá a incumbência de efetuar a proteção dos dados no sistema (do inglês, Data Protection Officer – DPO), podendo haver a gestão por meio de terceirização de serviços.

Destaca-se ainda que esses dados também serão disponibilizados no sistema da ANPD (Autoridade Nacional de Proteção de Dados), órgão federal que terá a incumbência de editar, elaborar normas e fiscalizar procedimentos relacionados à gestão e à proteção dos dados de usuários.

As empresas e os profissionais que não se adequarem poderão ser passíveis de punições e é por este motivo que a busca por adoção destes protocolos é necessária.

No caso de comprovação de infração, a penalidade poderá ser de advertências ou aplicação de multa equivalente a 2% sobre o faturamento bruto total no seu último exercício, desde que respeitado o limite máximo de R$ 50 milhões por infração (art. 52 da Lei). Pode ocorrer ainda a suspensão total ou parcial das operações que envolvam o tratamento de dados, e haver a responsabilização em âmbito judicial por outros tipos de violações à lei.

As punições previstas serão aplicadas pela ANPD, mas este órgão ainda não está em atividade, no entanto, a responsabilidade civil do controlador ou do operador já ocorre no âmbito patrimonial, moral, individual ou coletivo em caso de dano.

Diante da importância dos dados, bem como do risco de imposição de sanções, há necessidade de adaptação desta nova realidade e, portanto, realização das adequações como, por exemplo, nomeação do protetor de dados, obter fluxo de documentos e procedimentos, treinamento de equipes, ações educativas, revisão periódica de protocolos, estabelecimento de políticas de segurança, e outras.

Tais protocolos também farão com que o profissional ou a empresa possam transmitir maior credibilidade para os usuários, pois terão segurança que os seus dados pessoais estarão protegidos.

 

 

[1] http://www.ans.gov.br/prestadores/tiss-troca-de-informacao-de-saude-suplementar

Deixe uma resposta