A Lei Geral de Proteção de Dados, ou LGPD (Lei Federal n°13.709/2018), entra em vigor somente em agosto de 2020, mas as empresas já têm motivos para prestar atenção nas imposições trazidas pela nova legislação.
A quantidade de dados que as empresas detêm sobre seus clientes tornou a informação um produto extremamente valioso, mas a proteção da esfera de intimidade das pessoas ficou desprotegida de legislação específica e autônoma, pelo que se tinha unicamente a tutela constitucional. Neste caso, invariavelmente era preciso que ocorresse um dano para que a pessoa lesada reclamasse a violação dos seus direitos à privacidade e intimidade.
Com a nova lei, o mero descumprimento das novas obrigações impostas poderá implicar em multas administrativas as empresas, que será de 2% do faturamento anual, limitada a 50 milhões de reais.
A área da saúde, em especial, sentirá os impactos de forma mais evidente, pois manipula dados considerados sensíveis pela LGPD. Segundo a lei, dados sensíveis são aqueles dados que versem sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Cada vez que acessamos um serviço de saúde, várias informações nos são solicitadas. Há informações prévias para fins cadastrais, como nome, RG, CPF, endereço, estado civil, etc. Mas não é incomum que os estabelecimentos, especialmente os hospitalares, nos indaguem acerca da nossa religião. Além destes, há todas as informações contidas em nossos prontuários, que vão desde os dados da anamnese coletada em consulta, diagnósticos e até resultados e laudos de exames.
O estabelecimento de saúde que coleta e armazena estes dados é denominado controlador pela lei, e toda a operação realizada com os dados, tais como coleta, classificação, utilização, processamento, transmissão, etc, é denominado tratamento.
A partir da nova legislação, para que o controlador possa tratar os dados dos pacientes, será necessário consentimento específico onde a finalidade da coleta do dado seja devidamente esclarecida. Mas calma, há exceções. Por exemplo, para cumprir obrigações de agência reguladora, tais como Anvisa ou ANS, o consentimento é dispensado. Da mesma forma, o tratamento dos dados necessários à própria prestação dos serviços também é dispensado de consentimento específico.
Apesar disto, o paciente tem o direito de conhecer todo o tratamento que incide sobre suas informações pessoais sensíveis.
Por este motivo, os estabelecimentos de saúde deverão instituir suas políticas de privacidade e divulgá-las amplamente aos pacientes. Neste documento deverá ser informado, de forma específica, qual a finalidade da coleta de cada informação do paciente, quais dados são utilizados com base legal (compartilhamento com planos de saúde para fins de faturamento, por exemplo) e por qual motivo, quem terá acesso aos dados, etc.
Uma questão importante, é que o titular terá o direito de receber do controlador a informação de todos os dados que este detém a seu respeito. Também terá o direito de revogar, a qualquer momento, os consentimentos outrora fornecidos, bem como, o de solicitar a imediata exclusão de todos os dados sobre si armazenados.
Internamente, os estabelecimentos precisarão implantar políticas internas de conduta dos seus colaboradores, delimitando acessos às informações e atribuindo responsabilidades pelo sigilo, bem como implementar termos de consentimento específicos para colher as autorizações para coletas de dados dos pacientes que não tenham base legal (manutenção de resultados de exames, por exemplo). Será preciso adotar medidas de segurança dos seus sistemas informatizados a fim de impedir o compartilhamento ou vazamento indevido dos dados.
A implementação das novas rotinas demanda tempo, pois os estabelecimentos precisam fazer um trabalho interno para identificar todos os dados que têm armazenados dos seus pacientes, para que são utilizados, quem os acessa, quais os softwares envolvidos, etc. Feito o levantamento, parte-se para a implementação das rotinas que atendam à legislação, motivo pelo qual, sugerimos não deixar a preocupação com LPGD para a última hora.