Considerações jurídicas sobre a Lei Geral de Proteção de Dados (LGPD)

Considerando que, em agosto de 2020 entrou em vigor a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.931/2018, com ressalvas que as sanções administrativas somente terão vigência a partir de 01 de agosto de 2021, a ASSOCIAÇÃO PAULISTA DE MEDICINA - APM, objetivando auxiliar nossos Associados, que serão afetados com as novas regras, compilou algumas informações importantes, para orientação e adequação à nova legislação.

Notícias em destaque

Considerando que, em agosto de 2020 entrou em vigor a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.931/2018, com ressalvas que as sanções administrativas somente terão vigência a partir de 01 de agosto de 2021, a ASSOCIAÇÃO PAULISTA DE MEDICINA – APM, objetivando auxiliar nossos Associados, que serão afetados com as novas regras, compilou algumas informações importantes, para orientação e adequação à nova legislação.

A LGPD surgiu para a proteção e segurança dos dados pessoais de cada cidadão, tanto no formato físico, quanto no digital, com intuito de garantir segurança e tranquilidade aos clientes, pacientes, parceiros e consumidores, dando-lhes autonomia para determinar como as suas informações serão usadas e com quem serão compartilhadas, bem como prevenindo-se eventuais fraudes ou uso indevido de informações que possam afetar a intimidade, a honra e a imagem do titular de tais dados.

A nova Lei regulamenta o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de pessoas naturais.

Nos termos do artigo 3o. da LGPD, a “Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”.

Assim sendo, a LGPD se aplica a estabelecimentos de saúde, como: hospitais, clínicas médicas, consultórios médicos, operadoras de plano de saúde, laboratórios e farmácias, assim como a toda e qualquer pessoa física ou jurídica, que realize o tratamento de dados pessoais, desde que: a) o tratamento seja realizado no Brasil; b) o tratamento vise à oferta ou ao fornecimento de bens ou serviços ou o tratamento de dados de pessoas localizadas no território nacional; e c) os dados pessoais tratados tenham sido coletados no Brasil.

Nesse sentido, a vigência da LGPD impactará na rotina de trabalho dos profissionais da saúde. Especificamente aos médicos, eles estarão obrigados a garantir a proteção de dados pessoais, a privacidade e a confidencialidade de seus pacientes, além de proteger as informações de seus funcionários e colaboradores.

A implementação da LGPD nos estabelecimentos de saúde afeta desde a elaboração, o armazenamento e a destruição de prontuários médicos (em papel ou digital), as pesquisas clínicas, as trocas de informações entre estabelecimentos de saúde (para pedidos de exames laboratoriais, por exemplo), entre outros.

Vale lembrar que um dos princípios fundamentais do Código de Ética Médica (CEM) é o dever de guardar sigilo a respeito das informações que detenham conhecimento no desempenho de suas funções. Dessa forma, o sigilo profissional já faz parte da rotina médica, mas com o advento da LGPD, acrescentouse o dever de proteção das informações e dos dados coletadas dos pacientes e a obrigação pelo tratamento e armazenamento dos dados pessoais e sensíveis com segurança, obtidos tanto física quanto como digital.

Destarte, com a regulamentação da referida Lei, nos profissionais da área da saúde, no exercício de suas atribuições diárias, fazem o tratamento de dados pessoais e sensíveis e, portanto, deve se atentar ao cumprimento da LGPD.

Com efeito, é imprescindível que os médicos avaliem, inclusive por meio de consultoria de profissionais da área jurídica e de tecnologia e segurança da informação, se os bancos de dados de seus consultórios e clínicas estão adequados às novas regras de controle, gerenciamento e privacidade dos dados. Assim como, realizem o tratamento de dados pessoais através de boas práticas e de governança.

Essa Lei disciplina o tratamento dos dados pessoais, abrangendo a coleta, o compartilhamento, a classificação, o acesso, a reprodução, a avaliação, o processamento, o armazenamento, a eliminação, entre outras operações, por quaisquer meios (físico ou eletrônico) e por quaisquer pessoas (física ou jurídica, pública ou privada).

Para melhor compreensão da LGPD, é importante aclarar alguns conceitos trazidos na Lei como DADOS PESSOAIS e DADOS SENSÍVEIS e TRATAMENTO DE DADOS.

A Lei define como dados pessoais (não sensíveis), qualquer informação relacionada a pessoa física identificada ou identificável, tais como: nome, RG, CPF, data de nascimento, estado civil, telefone, endereço, e-mail e etc.

E, como dados sensíveis, as informações que dizem respeito à intimidade da pessoa, tais como: dados relativos à saúde, a origem racial ou étnica, convicção religiosa, opinião política, vida sexual, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados genéticos ou biométricos, tipo sanguíneo, histórico de saúde, doenças pré-existentes e etc.

Considera-se tratamento de dados como toda e qualquer operação realizada com dados pessoais, sendo que esse tratamento pode se dar mediante inúmeras ações, como: Acesso a dados; Coleta de dados; Produção de dados; Recepção de dados, transferidos por terceiros; Armazenamento de dados; Processamento de dados; Transferência de dados a terceiros; Transmissão de dados por meios eletrônicos, desde e-mail até WhatsApp; Difusão de dados; Eliminação de dados = exclusão ou destruição de dados.

O titular dos dados é a pessoa a quem os dados se referem. Os agentes de tratamento, intitulação dada pela LGPD ao controlador e ao operador, sendo controlador, a pessoa física ou jurídica responsável pelo tratamento de dados e, o operador a pessoa física ou jurídica que realiza o tratamento de dados pessoais.

A LGPD exige, ainda, que a clínica ou hospital deverá nomear um Encarregado de Proteção de Dados, uma nova função que surge com a LGPD, conhecida também como DPO (do inglês, Data Protection Officer).

Em síntese, o DPO de uma clínica ou hospital é aquela pessoa responsável por assegurar o compliance, ou seja, a execução da politica interna de tratamento de dados. Isso significa: verificar que os procedimentos dentro da instituição estejam sendo executados e seguidos de acordo com a LGPD, tanto por médicos, enfermeiros, auxiliares, secretários e demais profissionais contratados – vale também para terceirizados.

Os dados pessoais coletados na área da saúde são considerados sensíveis à luz da LGPD em razão dos riscos que a sua divulgação pode trazer diretamente à vida do titular dos dados. Dessa maneira, o médico deverá estar atento para cumprir as determinações da LGPD, pois à luz da Lei ele faz o tratamento de dados pessoais e sensíveis de seus pacientes.

Quanto à aplicação da LGPD a Lei regulamenta, mas não proibe, o tratamento de dados pessoais sensíveis, desde que haja o consentimento informado, expresso, específico e inequívoco do titular dos dados pessoais ou por seu representante legal. Ou seja, deverá haver manifestação livre, informada e inequívoca do paciente concordando com o tratamento de seus dados pessoais para uma finalidade determinada.

O Termo de Consentimento tem como escopo o registro da anuência livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para finalidade específica, em conformidade com a Lei nº 13.709/18 – Lei Geral de Proteção de Dados Pessoais (LGPD).

Isso significa dizer que uma instituição de saúde só pode coletar e armazenar os dados pessoais de um paciente com sua devida autorização, tendo assinado o Termo de Consentimento Livre e Esclarecido e disposto as devidas informações conforme orienta a LGPD, sendo importante especificar quais dados serão coletados e armazenados, o propósito de coletar esses dados e se haverá compartilhamento de tais dados com terceiros.

É vedada autorização genérica para o tratamento de dados pessoais, sendo considerada nula nos termos da Lei.

E o consentimento expresso poderá ser revogada a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado.

O consentimento fica dispensado apenas nas hipóteses em que o tratamento de dados sensíveis for indispensável para: a) cumprimento de obrigação legal ou regulatória; b) tratamento compartilhado de dados necessários à exe cução, pela administração pública, de políticas públicas; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e) proteção da vida ou da incolumidade física do titular ou de terceiros; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Ainda, há previsão na nova legislação de obrigação de adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Assim como, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD.

Neste contexto, é relevante mencionar que, em razão da pandemia de COVID-19, há um crescimento exponencial da telemedicina – regulamentada pelas Resoluções do CFM n. 1.643 de 2002 e n. 2.227 de 2018, pela Portaria n. 467 de 2020 do Ministério da Saúde e pela Lei n. 13.989 de 2020 – incluindo-se neste conceito de telemedicina consultas, prescrições, relatórios, envio de laudos, atestados, exames e diversos outros dados, de sorte que toda comunicação com a utilização de tecnologia está sujeita à LGPD.

Seja no ambiente hospitalar, seja em clínicas e consultórios médicos – no qual grande parte dos atendimentos a pacientes ocorrem – todos os dados pessoais relativos à saúde dos pacientes (dados pessoais e sensíveis) deverão ser coletados pelo Controlador de forma adequada, respeitando-se os princípios trazidos pela LGPD, em especial os da finalidade, necessidade e transparência, de modo que sejam utilizados apenas os dados necessários para o alcance de fins específicos e informados ao titular, sempre em respeito a sua privacidade, confidencialidade e dentro dos parâmetros legais autorizadores do tratamento. Portanto, os dados de pacientes só poderão ser coletados e armazenados em sistemas (físico ou digital) com a autorização dos mesmos. Isso vale tanto para da dos já existentes como para novos dados.

Em suma, além do consentimento, é essencial que toda operação de tratamento de dados deverá observar, nos termos do artigo 6o. da Lei: (I) finalidade: realização do tratamento para propósitos específicos, explícitos, informados ao titular e legítimos; (II) adequação: compatibilidade do tratamento com as finalidade informadas ao titular;(III) necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência de dados pertinente e proporcionais; (IV) livre acesso: garantia aos titulares dos dados de consulta facilitada e gratuita sobre a integralidade de seus dados, sobre a forma e a duração do tratamento; (V) qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados; (VI) transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; (VII) segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; (VIII) prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; (IX) não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos; (X) responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Ademais, vale pontuar sobre o prontuário médico, conceituado pelo artigo 1o. da Resolução n. 1.638 de 2002 do Conselho Federal de Medicina como “documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo”, que se trata de documento sigiloso, devendo ser armazenado de forma segura e acessados somente pelos profissionais que de fato precisem ter conhecimento das informações clinicas do paciente, não podendo ser compartilhado com ninguém sem que haja o consentimento es clarecido do paciente, sendo o tempo para sua guarda de 20 (vinte) anos, contados a partir do último registro, se em suporte físico e, sem em suporte digital, a guarda deverá ser permanente.

Por fim, o descumprimento da LGPD por estabelecimentos de saúde, a partir de 01/08/2021, poderá ensejar, além de outras penalidades cabíveis no âmbito cível e penal, a aplicação de sanções administrativas, como: a) Advertência para adoção de medidas corretivas; b) Multa de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, conforme o faturamento da pessoa jurídica; e c) Multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais). Por isso, a aplicação da LGPD nos estabelecimentos de saúde exige especial atenção, evitando-se eventuais e futuras sanções – administrativas, penais e cíveis – por descumprimento da Lei.

Portanto, elucidamos que a LGPD está em vigor, com previsão de sanções administrativas a partir de 01 de agosto de 2021 e atinge diversas atividades, em especial as da área da saúde, que devem se adequar as novas regras, visando a proteção e a segurança dos dados pessoais de seus pacientes, coletados e armazenados tanto física quanto digitalmente.

Francine Curtolo
Assessora Jurídica da APM
OAB/SP nº 185.480