A lei brasileira (LGPD) destaca os cuidados voltados ao tratamento de dados de pacientes e de seu compartilhamento.
1 – O que são dados sensíveis e qual é finalidade do tratamento?
Dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Já o dado pessoal sensível, de acordo com a Lei Geral de Proteção de Dados Pessoais, é o dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A LGPD é regida por alguns princípios jurídicos e, um dos principais é o da finalidade: a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Sempre se pergunte: Por qual motivo estou acessando/solicitando esse dado? Ao solicitar e tratar dados pessoais de pacientes (para cadastros, preenchimentos de prontuários, realizações ou entregas de exames, repasse de informações para sites de farmácias, agendamentos de consultas, dentre outros), o hospital deve ter transparência e clareza, bem como explicar quais as reais finalidade e necessidade para o tratamento desses dados pessoais.
2 – O que são bases legais e como estão relacionadas aos hospitais?
A Lei Geral de Proteção de Dados Pessoais elenca 8 bases legais que permitem o tratamento dos dados sensíveis, quais sejam: consentimento do titular, cumprimento de obrigação legal ou regulatório pelo controlador, execução de políticas públicas, estudos por órgãos de pesquisa, exercício regular de direitos, proteção da vida, tutela da saúde e proteção do crédito. Importante verificar qual a base legal que permite o tratamento dos dados, a fim de cumprir o que dispõe a LGPD. Atenção! Importante o controlador fazer a filtragem do que é e do que não é dado sensível, vez que os dados não considerados sensíveis possuem um rol mais amplo de possibilidades para o seu tratamento.
.3 – Como tratar os dados pessoais dos pacientes?
Inicialmente, pensando na tríade de princípios: finalidade (por qual motivo preciso desse dado), adequação (finalidade e tratamento compatíveis) e necessidade (utilizar somente os dados necessários para cumprimento da finalidade). Também, é válido fazer atualizações dos sistemas, ter um portal para que os titulares de dados possam exercer seus direitos, bem como conscientizar os colaboradores. Sem esquecer do Encarregado de Proteção de Dados (DPO), claro! A LGPD tem por objetivo a proteção da liberdade e da privacidade dos titulares de dados, logo, ter uma política de privacidade é de suma importância. O armazenamento dos dados pessoais deve ser feito de forma transparente e segura, a fim de preservar a privacidade de seus titulares. Outro lembrete: é importante realizar um exame detalhado da base de dados e, havendo dados sensíveis, é necessária a obtenção de consentimento inequívoco de seus titulares ou encaixe em uma das exceções previstas na LGPD!
4 – Quais as regras para o compartilhamento dos dados pessoais?
A forma de compartilhamento também deve ser observada. O cuidado deve ser geral: com elaboração de receitas, utilização de sistemas de farmácias, entrega de exames (via internet ou física), utilização de softwares para agendamentos de consultas e exames, preenchimento e guarda de prontuários, utilização de dados biométricos, dentre outros. É fundamental que todos os processos dentro do hospital sejam mapeados e compreendidos, a fim de identificar e mitigar os riscos. Dicas que facilitam o entendimento e o cumprimento das regras: aplicar treinamentos, utilizar ferramentas e controles de segurança, realizar campanhas de conscientização, elaborar política de privacidade e políticas internas, ter um sistema de gestão (que seja adequado à LGPD), implementar governança e boas práticas. Ainda, é válido sempre verificar com o terceiro interessado que receberá os dados, os contratos celebrados, os papéis de controlador e operador entre as partes, bem como viabilizar possíveis solicitações e atendimento aos titulares de dados em ambas as pontas (de quem envia e de quem recebe).
5 – No caso de vazamento dos dados pessoais sensíveis, quais serão as consequências?
Em caso de descumprimento da LGPD e de infrações comprovadas, com dados pessoais ou dados pessoais sensíveis, podem ocorrer as seguintes sanções administrativas: advertência, multa simples, de até 2% do faturamento da pessoa jurídica, limitados até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicização da infração (quando devidamente apurada e confirmada); bloqueio dos dados pessoais e eliminação dos dados, dentre outros, todas elencadas no art. 52 da LGPD. Sem contar os danos reputacionais e possíveis ações judiciais por parte dos titulares dos dados! É primordial ter uma equipe multidisciplinar, com objetivos e prazos bem definidos, a fim de realizar a adequação à lei e evitar prejuízos futuros.
Uma resposta
Para o setor da saude, um dos setores mais impactados pela LGPD, existe uma serie de preocupacoes, que a primeira vista podem passar despercebidas dentro do criterioso processo de adequacao a LGPD. Pensando nisso, listamos 14 dicas para a sua entidade, que atua no setor da saude, prover a seguranca cibernetica dos seus dispositivos medico-hospitalares. Tudo em prol da conformidade com a LGPD.