A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor no Brasil nos próximos meses, define que informações pessoais coletadas, tratadas e armazenadas de pacientes por clínicas, consultórios médicos e outras instituições de saúde devem ser protegidas com maior atenção e cuidado, em razão desses dados serem considerados essencialmente sensíveis, merecendo um tratamento diferenciado e mais rigoroso por parte da lei.
Anteriormente, algumas resoluções já davam um certo amparo às informações de pacientes, mas o novo regulamento veio firmar o compromisso em zelar por dados que têm como titulares os usuários de serviços da saúde, impondo proteção e privacidade a esses dados coletados, armazenados e processados por instituições de saúde.
Os dados dos pacientes em uma instituição de saúde são coletados, processados e tratados desde os sistemas de agendamento online e gestão integrada, que integram médicos, enfermeiros, profissionais de saúde e até mesmo sistemas de farmácia, estando armazenados nos mais diversificados setores dentro da rotina dos estabelecimentos de saúde. Portanto, a segurança das informações coletadas dos pacientes deve ser uma preocupação de todos os profissionais envolvidos no tratamento desses dados, desde a recepcionista que coleta a informação de agendamento e da moléstia informada pelo paciente, o médico em si, o enfermeiro que coleta constantemente informações do paciente, e até mesmo o farmacêutico em seu ponto de venda.
Os dados coletados por clínicas, consultórios e demais setores da saúde são os chamados dados pessoais sensíveis e, de acordo com a Lei 13.709/18, é “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natura”.
Neste setor, os dados sensíveis englobam os resultados de exames, prontuários médicos e eletrônicos, diagnósticos, receitas médicas e demais dados coletados e fornecidos em instituições de saúde.
A LGPD traz em seu texto a questão de tratamento de dados e a forma pelas quais os dados poderão ser utilizados, como nos trechos abaixo:
“… para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;” (LGPD 13709/2018, Art 7º, inciso VIII)
“…É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:” (LGPD 13709/2018, Art. 11, parágrafo 4).
Denota-se que os dados de um paciente somente poderão ser coletados, armazenados e processados em sistemas de informação em saúde com seu expresso consentimento, livre e esclarecido, inclusive de dados retroativos. Ou seja, será necessário revalidar o consentimento de coleta, tratamento e armazenamento de dados pessoais e dados pessoais sensíveis de todos os pacientes que já integram os sistemas, de acordo com as novas diretrizes da LGPD.
No contato com jovens de idade inferior a 12 anos, a LGPD exige ainda um cuidado extra com relação à manipulação dos dados. As informações desses menores só podem ser coletadas mediante a autorização dos respectivos responsáveis legais. É importante lembrar, também, que a forma de comunicação com o titular dos dados deve considerar o perfil do público. Isso quer dizer que, ao falar com uma criança ou jovem, não é permitido usar termos jurídicos ou qualquer outra linguagem de difícil interpretação e compreensão.
Neste contexto, os pacientes terão o direito de saber para que, quando e por quem os seus dados foram utilizados, e poderão restringir o direito de acesso a quem desejarem. Ou seja, terão acesso às trilhas de auditoria e rastreabilidade de todos os dados armazenados podendo, a qualquer momento, suspender seu consentimento, ou pedir que seus dados pessoais sejam total ou parcialmente apagados.
Um ponto importante da LGPD é que existem situações em que o setor da saúde não está obrigado a colher o consentimento para tratamento de dados. A dispensa ocorre nos casos de proteção à vida ou tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa.
Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
A gestão dos dados em uma clínica, ou mesmo em um consultório, deverá mapear os processos de armazenamento, processamento e transferência de dados pessoais em todos os meios, incluindo papel e digital. É com base nesse levantamento que serão aplicados os controles de proteção e salvaguarda legal.
Para as clínicas, consultórios e demais instituições de saúde se adequarem a Lei Geral de Proteção de dados, devem efetuar o levantamento das seguintes informações:
- Fazer uma identificação de todos os dados coletados e armazenados pelo estabelecimento;
- Levantamento de pacientes (novos e antigos), colaboradores, prestadores de serviços, parceiros e sócios. É necessário que essas informações sejam categorizadas, monitoradas e, principalmente, rastreadas;
- Verificar com quem compartilha os dados dos pacientes;
- Revisar as regras de privacidade para que fique muito bem definido quem poderá acessar, controlar, processar e transferir os dados;
- Revisar os termos de consentimento assinados pelo paciente e informá-lo para que, quando e por quem os seus dados foram utilizados, bem como a possibilidade de solicitar a exclusão desses dados;
- Investir em proteção física e virtual – as informações necessitam ser armazenadas em ambientes comprovadamente seguros e controlados;
- Implantar soluções de proteção e segurança, com redes criptografadas e sistemas de monitoramento;
- Controlar as informações transmitidas aos planos de saúde, questionando como estas instituições tratam os dados pessoais de seus pacientes;
- Em caso de hospedagem desses dados em servidores estrangeiros (serviços cloud), verificar se esses países têm regulamentação sobre a segurança da informação.
Cumpre ressalta que, para o uso de inteligência artificial, as instituições de saúde terão de explicar ao paciente o que exatamente será feito com seus dados e como será o auxílio desta tecnologia no tratamento.
Com tudo isso, vemos que é uma legislação que exige evidência, justificativas e muita documentação e, como parte das boas práticas de governança à gestão de saúde, deverá ser implementado processos e controles com o objetivo de reduzir riscos de vazamentos ou perda de informações dos pacientes.
Convém afirmar que a adaptação das clínicas de saúde e consultórios à nova lei é imprescindível, pois caso não estejam em conformidade com a LGPD e ocorra o descumprimento de regras mínimas, poderá pagar uma multa correspondente a 2% do faturamento do estabelecimento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais, além de punições relativas a resoluções previstas pelo Conselho Federal de Medicina (CFM).
É preciso ter ciência que, além das multas, permitir problemas como vazamentos ou acesso e uso indevido de dados de pacientes pode trazer prejuízos irreparáveis às clínicas, consultórios e estabelecimentos de saúde pois, além dos danos à sua imagem e reputação, há o pagamento de indenizações às vítimas, além das penalidades previstas na LGPD. Por isso, mais do que apenas mudar suas práticas, essas instituições têm de rever suas políticas de privacidade e tratamento de dados, e inovar sua cultura.
Ademais, apenas para ilustrar os cuidados que devem ser adotados e a repercussão do que pode ocorrer, uma falha de segurança do aplicativo E-Saúde do Ministério da Saúde, que reúne informações pessoais e dados sensíveis sobre a saúde dos cidadãos brasileiros (histórico de medicamentos, consultas agendadas) resultou no vazamento destes dados de milhões de usuários do SUS.
Em tempos de desejo de retomada da economia, não é inteligente colocar em risco os dados dos clientes ou a credibilidade. Sairão na frente as organizações que aproveitarem os próximos meses para se adequarem, seja buscando o apoio de especialistas, treinamento ou aderindo a ferramentas que facilitem o processo de adequação à LGPD.