Lei Geral de Proteção de Dados – LGPD e Saúde: impactos em clínicas médicas e hospitais

Num mundo cada vez mais interconectado em decorrência do advento da Internet com
significativas mudanças nas relações sociais e organizacionais, caracterizado por um intenso fluxo de
dados e constante troca de informações, surgiu a necessidade de regulamentação desse ambiente
virtual, especialmente no que diz respeito à utilização de dados pessoais. De um modo geral, é
possível definir dado pessoal como qualquer informação ou conjunto de informações de uma pessoa
que possa torná-la identificada ou identificável.
O marco da proteção de dados pessoais na União Europeia foi a Diretiva de Proteção
de Dados Pessoais de 1995 (95/46/CE), revogada em 2016 pelo Regulamento Geral sobre a Proteção
de Dados (GDPR – General Data Protection Regulation), que é considerada, por muitos, como a mais
completa no que diz respeito a proteção de dados.
Saindo do âmbito europeu e ingressando no cenário da América do Sul, verifica-se que
dos 12 países pertencentes ao continente, apenas Argentina, Chile, Colônia, Peru, Uruguai, Paraguai
e Guiana Francesa possuem leis gerais para proteção dos dados dos titulares. Em relação ao Brasil, a
Lei Geral de Proteção de Dados, Lei nº 13.709/2018 ainda se encontra no período de dois anos de
vacatio legis e sua entrada em vigor está prevista para o dia 16 de agosto de 2020.
A Constituição Federal de 1988, teve sua preocupação com o tema ao prever, em seu
artigo 5º, inciso X, a inviolabilidade da intimidade e da vida privada, assegurando ainda o direito a
indenização pelo dano material ou moral decorrente de sua violação. A Carta Magna ainda garante a
inviolabilidade das comunicações em trânsito, que somente podem ser interceptadas por meio de
ordem judicial.
A Lei Geral de Proteção de Dados – LGPD, versa sobre tratamento de dados de pessoa
física, aplicando-se a pessoas físicas e jurídicas, de direito público ou privado. Vejamos:
Artigo 1º – Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos
meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou
privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural. (grifo
nosso)
2
Em relação à área da Saúde a proteção à privacidade e intimidade não é um tema novo,
já havendo regulamentação ética e legal aplicável há décadas, como é o caso da primeira lei brasileira
de fato a tratar da proteção de dados e direitos relativos, que é o Código de Defesa do Consumidor –
Lei nº 8.078/1990, que prevê tratamento legal especificamente aos bancos de dados nas relações de
consumo, tais como aquelas que ocorrem entre paciente e prestadores de serviço de saúde.
De forma ainda mais específica, também é possível citar o Código de Ética
Médica que também já previa o dever de sigilo para a proteção das informações relativas ao paciente
como garantia da sua privacidade e intimidade:
Código de Ética Médica – Resolução CFM 1.931/09
Capítulo IX – Sigilo Profissional – É vedado ao médico:
Art. 73. Revelar fato de que tenha conhecimento em virtude do exercício de sua
profissão, salvo por motivo justo, dever legal ou consentimento, por escrito, do
paciente.
Art. 74. Revelar sigilo profissional relacionado a paciente menor de idade, inclusive a
seus pais ou representantes legais, desde que o menor tenha capacidade de
discernimento, salvo quando a não revelação possa acarretar dano ao paciente.
Art. 75. Fazer referência a casos clínicos identificáveis, exibir pacientes ou seus
retratos em anúncios profissionais ou na divulgação de assuntos médicos, em meios
de comunicação em geral, mesmo com autorização do paciente
Mais recentemente, a Lei nº 13.787/2018 que dispõe sobre a digitalização e
armazenamento do prontuário do paciente também prevê regras voltadas à segurança da informação
em atenção à proteção dos dados pessoais:
Art. 2º O processo de digitalização de prontuário de paciente será realizado de
forma a assegurar a integridade, a autenticidade e a confidencialidade do
documento digital.
Art. 4º Os meios de armazenamento de documentos digitais deverão protegê-los do
acesso, do uso, da alteração, da reprodução e da destruição não autorizados.
Art. 6º Decorrido o prazo mínimo de 20 (vinte) anos a partir do último registro, os
prontuários em suporte de papel e os digitalizados poderão ser eliminados. (grifo
nosso)
É importante destacar ainda que, no que tange a LGPD, os dados pessoais relativos à
saúde são considerados como sensíveis, merecendo um tratamento especial:
3
Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural; (grifo nosso)
Talvez a maior mudança trazida pela Lei Geral de Proteção de Dados diga respeito à
relação entre paciente e instituições de saúde como clínicas médicas e hospitais. Mas, afinal, de que
forma a entrada em vigor da lei impactará o trabalho dentro das instituições de saúde?
Mas nesse âmbito de análise, e muito embora atualmente tenha se falado até mesmo
em uma “Revolução 4.0” na área da Saúde, é necessário considerar que muitas instituições ainda não
trabalham com as informações dos pacientes de forma informatizada. Muitas delas sequer possuem
prontuários eletrônicos, elaborando os registros clínicos de forma manual. Algumas até podem
possuir um sistema de gestão, mas, de um modo geral, estes trabalham com as informações de forma
muito simplificada e precária, de forma desintegrada, fazendo apenas o registro da informação. Em
contrapartida, há em uma outra ponta uma realidade bastante distinta em hospitais e clínicas que já
possuem sistemas de gestão e prontuário eletrônico, operando com as informações dos pacientes de
forma integrada e com alguma forma de proteção e restrição ao acesso dos dados.
Nesse cenário, as organizações de saúde, sejam elas consultórios médicos ou hospitais,
por lidarem com dados pessoais consideradas “sensíveis”, são as que mais necessitam da readequação
dos processos internos para que estejam em conformidade à Lei Geral de Proteção de Dados,
processos esse que vão desde o mapeamento, implantação (relatório de impacto de proteção de dados,
termo de consentimento, etc) até o acompanhamento, sendo o Encarregado de Proteção de Dados ou
DPO – Data Protection Officer, na GDPR, a figura responsável por auxiliar o controlador no
cumprimento das obrigações legais de proteção de dados.
Importante destacar que a legislação não trata somente de dados de pacientes, mas sim,
todo e qualquer dado pessoal, o que implica que o dado esteja intrinsicamente vinculado a uma pessoa
natural identificada ou identificável, afetando, assim, os dados tratados pelos departamentos de
recursos humanos, por exemplo. E nesse sentido, por consistir numa proteção de um direito previsto
em lei, observa-se que toda implantação não é somente de responsabilidade dos responsáveis pela
área de tecnologia e informática (TI), mas, sim, num trabalho multiprofissional.
4
A fiscalização e regulamentação da LGPD ficará a cargo da Autoridade Nacional de
Proteção de Dados Pessoais (ANPD), cuja competência é zelar pela proteção de pessoais, elaborar
diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade aplicar sanções
em caso de tratamento de dados feito de forma irregular.
As sanções administrativas são muito expressivas, conforme prevê o Artigo 52 da
LGPD. Para definição da sanção aplicável, a Autoridade Nacional de Proteção de Dados – ANPD
utilizará como parâmetro a gravidade (e a natureza das infrações e dos direitos pessoais afetados, a
boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a condição econômica do infrator,
a reincidência, a extensão do dano, a cooperação do infrator, comprovação de utilização de
mecanismos capazes de mínima os danos, a adoção de política de boas práticas e governança e a
pronta adoção de medidas corretivas):
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às
normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas
aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos
os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por
infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua
ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
Para termos ideia, vale citar que a União Europeia, com a GDPR, aplicou no final do
ano de 2018 uma multa de €400 mil ao Centro Hospitalar Barreiro, por utilizar dados de forma
inadequada, devido às políticas de acesso às bases de dados, que permitiam que técnicos e médicos
consultassem processos clínicos dos doentes sem a devida autorização ou mesmo após terem sido
desligados do hospital.
Desta forma, tendo em vista que a LGPD se inspirou, e muito, na GDPR Europeia, é
possível buscar metodologias e formatos já adotados no cenário europeu como parâmetro para
estruturação e aplicação do relatório de impacto à proteção de dados.
5
Por fim, é importante frisar que apesar de estar sendo cogitado uma eventual alteração
na data da entrada em vigor da LGPD para 15 de agosto de 2022, conforme dispõe o projeto de lei
5762/2019, nada é certo ainda, e, mesmo que o fosse, é evidente a necessidade urgente de adaptação
por parte dos hospitais e clínicas médicas, pois essas inúmeras mudanças não consistem apenas em
aspectos técnicos, mas sobretudo cultural, o que envolve um comprometimento das lideranças da
instituição na elaboração de um programa de proteção de dados adequado, evitando pesadas multas
por violações à intimidade e privacidade dos pacientes.
Referências Bibliográfica
BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de
Janeiro. Forense. 2019
MALDONADO, Viviane Nóbrega. BLUN, Renato Opice. LGDP – Lei Geral de Proteção de Dados
comentada. São Paulo. Thomson Reuters Brasil, 2019.
BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em <www.planalto.gov.br>
Acesso em: 26 de novembro de 2019.
______.. Lei nº 13.709, de 14 de agosto de 2009. Disponível em <www.planalto.gov.br> Acesso em: 13 de
novembro de 2019