Há mais de dois anos, quando iniciaram as primeiras discussões sobre Lei Geral de Proteção de Dados (LGPD), já se sabia da necessidade de que todas as empresas deveriam se adequar à nova forma de tratar as informações que captam de seus clientes. Aprovada recentemente, a LGPD está instituída pela Lei nº 13.709 de 2018 e traz várias orientações que merecem atenção.
Em se tratando de instituições e negócios na área da saúde, o cuidado deve ser o mesmo de qualquer outra empresa. Afinal, a lei se aplica tanto a pessoas físicas quanto jurídicas, de direito público ou privado, que manipulem os chamados dados sensíveis relacionados à pessoa natural identificada ou identificável.
SAIBA MAIS: COMO UMA ASSESSORIA JURÍDICA AUXILIA NA PREVENÇÃO DE PROCESSOS CONTRA CLÍNICAS DE SAÚDE
Dessa forma, a legislação em vigor possui total incidência tanto sobre profissionais da saúde quanto sobre farmácias, clínicas e hospitais. Já que, ao procurar atendimento em qualquer um desses locais, o paciente precisa ao menos informar seus dados para preenchimento de uma ficha de identificação. E são essas informações que estão sob proteção da LGPD. Por isso, é tão importante que os profissionais da saúde conheçam e saibam como se adequar e aplicar as diretrizes previstas.
Porque instituições de saúde precisam se adequar às normas
O objetivo da LGPD é proteger os direitos fundamentais, liberdades e privacidade da pessoa natural. Para tanto, a lei estabeleceu que o tratamento de dados pessoais deve observar, dentre outros princípios, o da boa-fé e da finalidade, dos propósitos legítimos, específicos, explícitos e claramente informados ao titular dos dados pessoais. Além disso, tais dados devem ser utilizados de acordo com o contexto e limitado ao mínimo necessário para o desenvolvimento das atividades.
Assim, a partir da vigência da LGPD, passou a ser necessário que os documentos utilizados nos estabelecimentos de saúde estejam minuciosamente mapeados e organizados. Dessa forma, permitem o monitoramento sistematizado e continuado de toda a espécie de informação pessoal neles contida, viabilizando o atendimento aos direitos dos titulares dos dados.
Isso é importante, pois é garantida aos titulares dos dados pessoais a consulta facilitada e gratuita sobre todo tratamento dos seus dados pessoais, como o uso que a instituição faz deles. Bem como, é claro, acesso para correção ou, em alguns casos, eliminação dos mesmos. Assim, caso seja solicitada uma prestação de contas pelos titulares ou pelos agentes que controlam o cumprimento da lei, estará tudo organizado. Além de ser extremamente importante para que sejam adotadas medidas efetivas e eficazes para evitar a ocorrência de danos. Ou, se for o caso, para corrigir qualquer incidente de vazamento ou violação a dados pessoais o mais rápido possível.
Ainda de acordo com a lei, toda manipulação dos dados que são coletados por clínicas, consultórios e hospitais, deve ser feita com a utilização de medidas técnicas e administrativas. Elas devem ser capazes de prevenir e proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
O que são dados sensíveis e quais cuidados necessitam
Para cumprir o que a lei estabelece, as instituições de saúde deverão nomear encarregado, chamado de Data Protection Officer (DPO), para ser responsável por instituir um canal de comunicação entre aquele que manipula dados pessoais, os titulares de tais dados e a Autoridade Nacional de Proteção de Dados (ANPD). É deste órgão da administração pública federal a responsabilidade pela implementação e fiscalização de como os dados sensíveis estão sendo tratados e também o de garantir que a lei seja cumprida em todo o território nacional.
São considerados dados sensíveis aqueles relacionados à origem racial ou étnica dos pacientes, sua convicção religiosa e opinião política. Da mesma forma, os dados referentes a sua saúde, vida sexual, genética e biométrica.
O cuidado com essas informações não se restringe apenas à forma como ele será armazenado. Pela LGPD, é preciso atenção para todo tratamento que os dados recebem. Isso inclui cuidados com a segurança em vários momentos como:
- Coleta
- Classificação
- Utilização
- Reprodução
- Transmissão
- Distribuição
- Acesso
- Processamento
- Arquivamento
- Eliminação
- Avaliação
- Modificação
- Comunicação
- Transferência
- Difusão
- Extração
É importante destacar que a atuação da LGPD não se dá apenas no meio digital e eletrônico. As normas previstas também podem ser aplicadas na coleta de dados que acontece de forma tradicional, como arquivos em papel, que devem ser protegidos da mesma forma.
Possíveis punições para quem não cumprir a LGPD
É fato que todas as empresas que lidam com dados de seus clientes precisam se adequar à legislação. Principalmente, porque concedem ao paciente/cliente o direito pleno sobre suas informações que estão em posse da instituição. Por isso elas devem estar organizadas e, sempre que solicitadas, disponibilizadas.
Caso a organização, a manipulação, o armazenamento, a falta de informações para os clientes ou outras determinações da lei não sejam cumpridas, estão previstas punições. Elas variam entre advertências, publicização da infração, bloqueio ou eliminação de dados pessoais. Além, é claro, da aplicação de multas diárias ou calculadas sobre o faturamento da pessoa jurídica, para cada infração. Também não se descarta, no caso das instituições de saúde, a possibilidade de sanções cíveis indenizatórias ou mesmo processos administrativos junto aos conselhos de classe.
Surge, portanto, a necessidade de que todos estabelecimentos de saúde no território nacional tomem conhecimento dos termos e determinações da nova lei e revejam a forma como gerenciam as informações pessoais que coletam.
Como vamos auxiliar os profissionais de saúde a se adaptarem à LGPD
Como toda proteção de dados prevista na legislação envolve questões jurídicas, nós, aqui da Paulo Leitão Advogados, desenvolvemos um projeto específico para auxiliar clínicas, consultórios e hospitais a implementarem todas as normas exigidas pelas LGPD.
Ao solicitar nosso auxílio, faremos um mapeamento de todos os dados pessoais que são tratados nestes locais. A partir deles, os advogados à frente do projeto organizam as finalidades e qual a base legal a que cada um desses dados se encaixa.
Finalizado todo esse mapeamento de dados, um gap analysis é feito. Isso significa identificar os pontos falhos desse tratamento de dados (coleta, armazenamento etc.) e apontar a adequação de instrumentos jurídicos necessários, como contratos que precisam ser revistos, por exemplo.
Em seguida, será preciso adequar os documentos, as políticas de privacidade e os relatórios de impacto da empresa. Tudo isso é necessário para que o estabelecimento de saúde se previna de possíveis falhas e demonstre que está adequado à LGPD.
Ao final do projeto, a instituição recebe uma documentação com todos materiais que evidenciam que o local está adequado à legislação. Caso seja necessário, passado algum tempo, podemos avaliar a revisão e atualização desse trabalho, com intuito de averiguar se o estabelecimento se manteve em conformidade com as novas diretrizes, de vez que o projeto de implementação de adequação à LGDP é um processo contínuo, que exige mudanças culturais e de atualização constante.