A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada em agosto de 2018. Na época dado às empresas e pessoas no Brasil o prazo de, inicialmente, um ano e meio, posteriormente (após um adiamento) de dois anos, para se adequarem à nova legislação. A sua validação de fato aconteceu, após ser aprovada no congresso e assinada pelo Presidente da República, em setembro de 2020. Porém, na mesma ocasião, os senadores e deputados decidiram que as sanções administrativas da lei só poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), a partir de agosto de 2021.
Isso, ao contrário do que se pensa, não dá às empresas o fôlego que precisavam para adequação, uma vez que a LGPD traz consigo integrações com outras leis (como Código de Defesa do Consumidor, Marco Civil da Internet, Código Civil, dentre outras). Estes respaldos já permitem aos Titulares de Dados Pessoais (o cidadão brasileiro) denunciar violações, abusos e/ou não conformidade das empresas (ou pessoas), ao tratarem seus dados.
A LGPD faz parte de um movimento mundial na busca de proteger a privacidade e o direito dos cidadãos ao longo do mundo. Ela baseia-se em leis internacionais que dão à garantia da privacidade dos dados pessoais, estejam eles em qual mídia for (papel, eletrônico, conversas, etc). Além disso é necessário fazer a prestação de contas por parte dos agentes que tratam os dados. Em especial, a LGPD baseou-se na General Data Protection Regulation (GDPR), que foi sancionada pela União Europeia que por lá está em efetivamente “em ação” desde de 2018.
Como surgiu a LGPD?
Com a expansão da internet, em conjunto com tecnologias como Inteligência Artificial, BigData, dentre outras, cresceu também o volume de dados pessoais recolhidos por gigantes da tecnologia, como Google e Facebook etc. Praticamente todos os sites atuais recolhem algum dado pessoal, através do uso de tecnologias, que muitas vezes passam despercebidas pelos usuários, como o aceite do uso de cookies (por exemplo). Cookies que são ferramentas que coletam, além de dados pessoais, perfil de utilização da internet. A intenção, com isso, é conhecer melhor o usuário e oferecer serviços e/ou produtos mais personalizados; porém na maioria das vezes, sem que tenha sido demandado pelos clientes.
Tudo isso foi exposto com a denúncia do março de 2018, do ex-funcionário da Cambridge Analytica, Christopher Wylie, contra o Facebook. O ato causou movimentações ao redor do mundo e questionamentos a respeito da segurança dos dados no ambiente cibernético. Desde então, vários países, incluindo o Brasil, entraram em uma lista de 120 países que possuem algum tipo de lei voltada à tutela de dados.
O que é a LGPD?
A Lei Geral de Proteção de Dados institui por meio de regras bem específicas como as empresas e/ou pessoas devem tratar dados pessoais. A lei conceitua tratamento de dados como:
Artigo 5º – X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (In Verbis)
Portanto, o simples fato de coletar a informação de uma pessoa, já traz em si a responsabilidade desse agente de proteger e cumprir as regras da lei.
A LGPD apesar de não ser a primeira Lei voltada à segurança de dados pessoais, jogou luz na necessidade de uma cultura de privacidade e proteção de dados. Ela levanta questões de conscientização social sobre a importância dos dados pessoais e como eles podem ter reflexos na liberdade e exposição da vida privada.
A partir da entrada em vigor da lei, todo cidadão tem o direito garantido à privacidade e proteção de seus dados pessoais, bem como conhecer todo o tratamento realizado com as suas informações. Desta forma,é possível ter mais confiança e controle sobre a coleta e uso de seus dados. Ela deixa claro para as empresas (e pessoas) as regras para colocar em prática o tratamento de dados pessoais. Outro benefício é que a segurança jurídica aumenta para ambos os lados. A lei não proíbe o tratamento dos dados, mas diz como deve ser feito. Olhando por essa ótica, as empresas (ou pessoas) que estiverem adequadas às essas regras também estarão se protegendo de possíveis contenciosos jurídicos, uma vez que demonstrarão a boa fé nos serviços prestados.
A importância da LGPD na saúde
Para tratar do assunto da lei na saúde, faz-se necessário trazer para o debate alguns conceitos da lei, a saber:
“Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX – agentes de tratamento: o controlador e o operador; (In verbis)
Ao se analisar os conceitos, bem como o artigo primeiro da lei :
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (In verbis)
Percebe-se facilmente alguns pontos da LGPD que devem ser considerados de extrema importância pela área da saúde.
- a) Os dados pessoais não são somente os eletrônicos, todos os dados em qualquer tipo de mídia devem ser devidamente protegidos, conforme as melhores práticas de segurança da informação. Pode-se pegar como exemplos exames de imagens, que, via de regras, são impressos e entregues aos titulares por meio de pessoas, que poderiam em algum momento fazer cópias e/ou até mesmo ter acesso a informações confidenciais.
- b) A área de saúde trata com dados, considerados pela lei de sensíveis. Pois são dados de saúde, biométrico, vida sexual e genético. Esses dados devem ser tratados com um rigor ainda maior, pois as sanções em caso de violações podem trazer, não só sanções da LGPD, mas também (além da LGPD) processos na área Cível, nos órgãos de defesa do consumidor, dentre outros.
- c) As empresas da área devem ter a noção exata, nos processos envolvidos, se estão ali como agentes controladores ou operadores. Essa posição dita as regras e responsabilidades para proteção das informações.
Portanto é fundamental que todas as empresas e profissionais autônomos envolvidos na área se preocupem urgentemente em adaptar seu negócio às regras da lei, sob pena de já poderem sofrer com sanções indesejadas.
A LGPD cobra sobretudo transparência, ou seja, a coleta, armazenamento, descarte, finalidade, violações, devem ser notificadas aos titulares todas as vezes que forem demandadas, e em alguns casos ocorrido (P.e. Violações, descarte, dentre outras).
Além disso, os titulares podem se opor ao tratamento, não autorizar a coleta, solicitar uma cópia ou até a eliminação destes (desde que não haja uma outra lei que obrigue as empresas ou os profissionais autônomos a guardarem os dados por um determinado período).
Penalidades para o não cumprimento das normas LGPD na saúde
O não cumprimento das exigências pode levar à aplicação de penalidades severas. O órgão responsável pela regularização é a ANPD ( Autoridade Nacional da Proteção de Dados).
As penalidades da LGPD pelo descumprimento das normas são:
- advertência, com de prazo limite para atividade corretiva;
- multa única, de até 2% do faturamento do exercício anterior, excluídos os tributos, limitada ao valor máximo de R$50 milhões, por violação;
- multa diária, observado o valor do limite total;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração
- pelo período máximo de 6 meses, prorrogável por por mais 6 meses, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Apesar de se falar muito na multa, que pode atingir um valor alto, é preciso atentar para as últimas. Pois a publicização de infração pode causar impacto e danos à reputação e imagem, bem como eliminação dos dados e suspensão do direito do uso dos dados poderá até mesmo decretar o fim da organização.
O que muda na prática com a LGPD na área Saúde?
Na prática, em primeiro lugar é preciso conhecer quais são, pela lei, as 10 possibilidade de tratamento de dados pessoais.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
(In Verbis)
Muito se fala que só poderão ser tratados dados pessoais caso o Titular dê o seu consentimento. Porém, analisando as 10 possibilidades, percebe-se claramente que, além do consentimento (que é o primeiro caso dito pela lei), existem mais nove possibilidades que devem ser analisadas. No caso da área da saúde. A própria tutela da saúde, bem como proteção à vida poderão ser utilizados como embasamento legal, claro que mediante a uma análise criteriosa dos processos existentes nas empresas da área. Portanto, no que diz respeito à assistência em saúde, as atividades prestadas por profissionais da área, o consentimento do titular poderá não ser essencial para prestar o serviço.
O que fazer quando o paciente não dá consentimento ao uso de dados?
É preciso, no primeiro momento, entender qual processo se enquadra. Caso seja obrigatório a coleta do consentimento, e o titular (paciente, cliente) se recuse a assinar o Termo de consentimento em relação às informações, deve ser informado a ele as consequências e quais os serviços deixará de usufruir por causa da recusa. Deve-se então, mesmo que ele ainda assim se recuse, documentar para comprovação caso seja necessário demonstrar em trilhas de auditoria em caso de investigação.
De qualquer forma, todas as empresas da área tem por obrigação legal serem transparentes com os titulares em relação ao tratamento dos dados. Lembrando que o consentimento deve ser sempre expresso e inequívoco.
E nos casos de Sigilo Profissional?
A Lei Geral de Proteção de Dados é clara que, caso exista outra lei (específica da área) que direcione os profissionais em sua conduta ética da profissão, essa outra lei terá valor nas possíveis discussões sobre o tema. Para clarear, a LGPD traz em seu texto que todas as informações deverão ser tratadas somente no tempo suficiente para cumprir a finalidade definida de tratamento. Porém, caso haja leis que digam que os dados devem ser armazenados por um período definido (para efeito de auditorias, fiscalização, comprovação de tratamento, etc), deve-se seguir essa definição.
Porém, fica expressamente proibido o tratamento (dentro do conceito mostrado acima) de dados pessoais no intuíto de obter recompensas econômicas ou quaisquer outras vantagens não autorizadas. Ademais, a LGPD possibilita a revogação do consentimento pelo titular do dado, o que, caso tenha sido usado como base legal, impediria de continuar o tratamento.
Como as tecnologias estão se adequando à LGPD na saúde?
A Tecnologia da Informação tem um papel crucial na implantação da proteção da informação, pois deverá garantir a segurança dos processos, a anonimização, pseudonimização, segurança de dados sensíveis e ser capaz de gerar trilhas de auditoria que demonstrem claramente o que aconteceu em caso de violação de dados pessoais.
Trazendo exemplos da área da saúde, deve-se preocupar com transmissão de dados entre o pronto atendimento, hospitais, clínicas, laboratórios, bem como planejar bem a entrega aos titulares de dados pessoais.
Além disso, as informações são classificadas como restritas e o seu uso só pode ser feito após autorização do titular e/ou caso haja, como visto, alguma outra base legal para tal.
É conveniente que os dados sensíveis sejam anonimizados, com base em códigos de criptografia por exemplo, a fim de que não ocorram atos discriminatórios no seu tratamento e/ou outras violações de dados como vazamento ou disseminação de alguma forma da informação contida em exames, por exemplo.
No caso do uso de software de Business Intelligence (BI), onde há cruzamento de dados e criação de perfis, é fundamental deixar transparente e rastreável os critérios utilizados evitando o compartilhamento com pessoas não autorizadas, e permitindo mostrar ao titular quais foram esses critérios.
LGPD na saúde – Primeiros passos
É fato, portanto, que todas as empresas da área de saúde, sejam consultórios, clínicas, UPAs, hospitais, prestadores de serviços, etc, precisam rever toda sua política de proteção de informações e privacidade para se enquadrar nos requisitos da nova lei.
Já se faz necessário seguir ao menos os seguintes passos:
- Nomear o Encarregado de dados pessoais que será o responsável por liderar essa mudança cultural das empresas;
- Realizar um mapeamento para conhecer o inventário de dados pessoais;
- Planejar, baseado nos dados mapeados, a política de proteção e política de privacidade de dados;
- Gerar a documentação exigida como relatório de impacto de dados pessoais, política de segurança, política de privacidade, manual de diretrizes, entre outros;
- Adequar os processos e ferramentas para atender os direitos dos titulares em relação ao acesso aos dados de forma clara e facilitada;
- revisar os contratos com clientes, fornecedores, colaboradores, parceiros, etc;
- Treinar todas as pessoas envolvidas visando a criação da cultura de proteção de dados.
Considerações Finais
É chegado o momento da adequação. Não será permitido às empresas (e/ou pessoas) que tratam dados pessoais (e no caso da saúde são todas) negligenciar a lei e omitirem-se na adequação a LGPD e às normas de segurança da informação. Conhecer a fundo as leis e as normas faz-se portanto necessário e obrigatório. Comece o mais breve possível, sob pena de receber, a qualquer momento, uma denúncia ou um pedido de titular que poderá levar a uma denúncia. Não perca mais tempo, comece hoje.
Fontes:
Cláudio Pessoa – www.infoaction.com.br
Referências