Proteção de dados na saúde: como adequar o tratamento de dados sensíveis

A Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709/2018) sedimenta o conceito que os dados pessoais compõem a personalidade dos indivíduos, razão pela qual precisam de ampla proteção e regulação, não podendo mais serem utilizados pelas instituições de forma indiscriminada para fins exclusivos de seus interesses.

Com a sua vigência desde setembro, a adequação a lei tem impactado todas as relações de mercado. No setor da saúde não tem sido diferente. Pelo contrário! A nova lei trouxe uma classificação especial para os dados da saúde, considerando-os como dados sensíveis.

De acordo com a lei, os dados sensíveis somente poderão ser tratados se houver o consentimento do titular dos dados. Esse consentimento deve ser uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade específica.

Além disso, o tratamento de dados mediante consentimento atrai a obrigação da observância aos seguintes direitos por parte do titular: livre acesso, revogação de consentimento ou até eliminação de dados a qualquer tempo.

Caso não haja o devido consentimento do titular, os dados sensíveis poderão ser tratados excepcionalmente para fins de:

  • Cumprimento de obrigação legal ou regulatória pelo controlador;
  • Políticas públicas;
  • Realização de estudos por órgão de pesquisa;
  • Exercício regular de direitos;
  • Proteção da vida ou incolumidade física do titular ou de terceiros;
  • Tutela da saúde;
  • Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

A definição de quais dados são considerados sensíveis foi preconizada pelo próprio texto normativo e consiste em todo dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Os dados sensíveis, portanto, possuem importância elevada e precisam de maior proteção e segurança por parte de seus operadores, dado o seu alto valor econômico e impacto social se usados indiscriminadamente.

Não por outro motivo, a própria lei trouxe a vedação às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, bem como na contratação e exclusão de beneficiários.

Neste sentido, sendo a atividade médica baseada no tratamento de dados referentes à saúde, o reforço das normas de segurança dentro de clínicas e hospitais se tornou prioridade e requer do gestor amplo conhecimento e assessoria para abranger as diversas relações estabelecidas: funcionários, parceiros, convênios, fornecedores, clientes, stakeholders etc.

Com efeito, segurança da informação não é uma novidade no mundo médico, pois o conceito existente do sigilo profissional já está intimamente relacionado à atividade.

Entretanto, com a LGPD em voga, as medidas de mitigação de riscos ultrapassaram as meras perspectivas administrativas e se tornaram exigência legal.

Isso significa que a ocorrência de incidentes de vazamento de dados e informações médicas estão para além de eventual processo ético profissional dentro dos conselhos de medicina.

Agora, com a LGPD, as clínicas e hospitais devem também se preocupar com as penalidades que a nova lei trouxe, como multas, bloqueios parciais e até totais da base de dados. Além disso, é preciso ainda considerar o efeito midiático que o incidente pode tomar, causando danos à imagem da empresa.

É certo que o perfil de consumo tem mudado nos últimos anos, o que reflete na qualidade da oferta de produtos e serviços. O conceito de qualidade está intrinsecamente ligado à entrega de valor: o produto ou o serviço precisa agregar para que o consumidor possa compartilhar sua experiência de consumo com a sociedade, demonstrando, através de sua aquisição, um traço de sua personalidade.

Desta forma, as empresas são cobradas a terem uma imagem de credibilidade para não perderem espaço no mercado de consumo.

Some-se a isso as políticas de qualificação do setor da saúde suplementar, que tem exigido das operadoras de planos de saúde a adequação da rede credenciada às metas estabelecidas de conformidade, reforçando ainda mais a necessidade de hospitais e clínicas olharem com mais atenção esses novos movimentos e traçarem seus planos de adequação.

Nesta ordem de ideias, dentro da política de proteção de dados,  podemos enumerar, pelo menos, cinco passos a serem inicialmente seguidos:

1) diagnóstico institucional para averiguar quais dados são tratados dentro do estabelecimento;
2) criação do programa de governança em proteção de dados;
3) elaboração e revisão de contratos e documentos utilizados para o exercício das atividades;
4) garantia do exercício dos direitos dos titulares e
5) treinamentos internos.

Obviamente que a conformidade com a lei de proteção de dados não se restringe ao cumprimento de etapas previamente estabelecidas que serão realizadas apenas uma vez dentro das instituições.

Na verdade, o plano de adequação à LGPD é apenas o meio atual de se familiarizar com essa nova forma de fazer negócios, que é, sem dúvidas, muito mais que uma nova cultura, é um traço da atual geração.


Sobre a autora:

Camilla Goes,advogada, com MBA em Gestão da Saúde e Pós- Graduação em Direito Digital. É especialista em Direito Médico, Responsabilidade Civil e Direito do Consumidor. Sócia do escritório Imaculada Gordiano Sociedade de Advogados – Lexnet Fortaleza.

Este texto é parte do projeto colaborativo Jurídico de Resultados, no qual advogados são convidados a compartilhar seus textos. Faça parte da comunidade enviando conteúdos ou consumindo os conteúdos de outros advogados, é grátis!


Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *