LGPD na Saúde – Como a Lei afeta Hospitais, Clínicas e Consultórios Médicos?

Neste momento, é muito provável que você já tenha ouvido falar sobre a Lei Geral de Proteção de Dados (LGPD), ouvido as mais variadas opiniões a respeito do tema e esteja começando a formar um entendimento próprio sobre a lei.

Contudo, se você ainda não teve nenhum tipo de contato com o tema ou nem mesmo sabe do que se trata, é importante esclarecer que essa lei, basicamente, estabelece diretrizes sobre a forma do tratamento de dados pessoais e a proteção e segurança dos mesmos. A legislação entrará em vigor em agosto de 2020 e, certamente, mudará bastante a forma como dados pessoais são coletados, tratados, compartilhados, arquivados ou descartados em nosso país.

O processo de adequação pode ser um tanto quanto custoso, uma vez que mudanças nunca são lá tão agradáveis assim, mas não necessariamente difícil, de modo que, uma vez que o tema se tornar corriqueiro e diário dentro de uma empresa, será tratado com a mesma naturalidade e fluidez como tantos outros já são atualmente.

Caso se interesse em se aprofundar um pouco mais nos pormenores da LGPD, sugiro que acesse esse post mais detalhado.

Aplicabilidade da LGPD na Saúde

Certamente um dos setores mais afetados pela LGPD é o da saúde, englobando tanto hospitais, quanto clinicas, além de consultórios médicos, sendo que esse setor possui até mesmo algumas regras próprias descritas tanto na lei, como em outras legislações e regulamentos aplicáveis à área de saúde.

Contudo, a dúvida ainda é muito grande. O que posso ou não fazer? Quais limites devo colocar em meus colaborares? Devo solicitar o consentimento para todo tratamento de dados pessoais de meus pacientes? Se você também está com uma ou mais dúvidas nesse sentido, certamente este artigo irá ajudá-lo a enxergar uma luz no fim do túnel e se nortear melhor a respeito do tema.

O que a LGPD muda na prática para as clínicas e hospitais

Aqui, entraremos nas principais dúvidas observadas pelos profissionais e usuários do setor, na tentativa de desmistificar alguns conceitos equivocados que podem estar sendo difundidos sem o devido cuidado com a veracidade da informação.

Preciso de coletar o consentimento do meu paciente para tudo?

Sem delongas, a resposta para esta pergunta é: não é necessário coletar o consentimento dos pacientes para todo tipo de tratamento de dados pessoais. Na verdade, nem mesmo é recomendado que empresas da área da saúde pautem a coleta de dados na base do consentimento, pelos problemas que veremos a seguir.

Em primeiro lugar, existem bases legais específicas na LGPD para tratamento de dados pessoais ordinários e sensíveis na área da saúde, que são aquelas contidas nos arts. 7º, VIII e 11, II, “f”, respectivamente, para hipóteses de tratamento para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, ou, ainda, para proteção da vida ou incolumidade física do titular ou de terceiros, previsto nos arts. 7º, VII e 11, II, “e” da LGPD.

Além disso, apesar de o consentimento ser a base legal mais forte de todas, a sua gestão também o é na mesma medida. O controlador deverá sempre tomar o cuidado de obtê-lo por escrito ou por algum outro meio que manifeste sua vontade, além de garantir que este consentimento possa ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, o que com toda certeza onerará bastante a atividade das empresas da área da saúde.

Desta forma, como é possível tratar dados pessoais na área da saúde, em um primeiro momento, sem a necessidade de coleta do consentimento do titular, recomenda-se que este somente seja solicitado caso realmente não haja outra base legal para tratamento de dados enquadrável ao caso.

No entanto, é importante ressaltar que essa dispensa somente se dá para tratamentos de dados pessoais que forem exclusivos para a tutela da saúde de uma pessoa e desde que se dê em um procedimento realizado por profissionais da saúde, em serviços de saúde ou por autoridade sanitária, ou no caso de proteção da vida ou incolumidade física do titular ou de terceiros.

Arquivamento de Documentos por Prazos Determinados em Outras Leis

Seguindo o raciocínio do tópico anterior, uma dúvida recorrente na área da saúde é a seguinte: e se o titular dos dados pessoais solicitar a exclusão da minha base de dados, mas houver uma legislação que me determina o arquivamento dessa documentação?

Esse é justamente um dos motivos pelo qual nem sempre a base legal do consentimento será a mais adequada para o tratamento de dados pessoais, pois caso o controlador decida utiliza-la, deverá encerrar o tratamento caso o titular decida revogar o consentimento, que inclusive pode ser feito a qualquer momento, o que o colocará em uma verdadeira sinuca de bico, caso exista alguma legislação que diga o inverso.

Assim, caso haja determinação legal de guarda de documentos por um prazo determinado, como, por exemplo, a obrigatoriedade de se arquivar atestados médicos pelo prazo de 10 anos (art. 94, § 4º, Decreto 3.048/99) ou a necessidade de arquivamento dos prontuários médicos físicos ou boletins de atendimento físicos por 20 anos, bem como a guarda permanente de ambos os documentos no caso de arquivamento eletrônico em meio óptico, microfilmado ou digitalizado (Resolução CFM nº 1.821/07) , o controlador poderá negar ao titular dos dados o direito de requerer a exclusão dos mesmos de sua base, uma vez que há a necessidade de cumprimento de obrigação legal ou regulatória (art. 7º, II ou art. 11, II, “a”).

Dever de Garantir o Livre Acesso do Titular às Informações Sobre o Tratamento dos Dados Pessoais

Apesar do fornecimento do consentimento não ser necessário para todo tipo de operação de tratamento de dados pessoais por parte das empresas na área da saúde, o livre acesso às informações sobre o tratamento de seus dados é obrigatório.

O art. 6º, IV da LGPD define como livre acesso a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”.

Assim, sempre que um titular de dados pessoais buscar informações sobre o tratamento de seus dados por parte de uma empresa na área da saúde, estas deverão ser disponibilizadas de forma clara, em um documento que esclareça, pelo menos:

  • a finalidade específica do tratamento;
  • a forma e duração do tratamento, observados os segredos comercial e industrial;
  • a identificação do controlador;
  • as informações de contato do controlador;
  • as informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • as responsabilidades dos agentes que realizarão o tratamento;
  • e os direitos do titular previstos no art. 18 da LGPD.

Uma forma de facilitar tanto o referido acesso por parte do titular e otimizar o trabalho do controlador dos dados é descrever todas essas informações na política de privacidade da empresa, que deve estar disponível publicamente para os titulares de dados pessoais, com o intuito de reduzir solicitações de informações padrões, apenas prestando esclarecimentos pontuais para pedidos de informações feitos pelos titulares a respeito de alguma especificidade no tratamento de seus próprios dados pessoais.

Definir Quais Dados o Hospital Realmente Precisa Coletar para Si e Quais São Exigidos Pelos Planos de Saúde

Um passo crucial para todas as empresas no processo de adequação à LGPD é o de definir as operações de tratamento em que figura como controlador e as operações em que figura como operador dos dados pessoais.

Na área da saúde, essa situação será muito frequente nos casos de pacientes atendidos através de convênios com planos de saúde.

Muitos dados são coletados por uma necessidade do hospital, clinica ou consultório médico de trata-los, uma vez que sem estes dados é impossível prestar o serviço de tutela da saúde. Nesse caso, a empresa será a controladora dos dados pessoais e determinará o que e de que forma será feito o tratamento.

Contudo, frequentemente serão exigidos dados pessoais do paciente por uma determinação de seu plano de saúde, não necessariamente por uma necessidade das empresas da área de saúde, e nesse caso o hospital, clinica ou consultório médico será um operador de dados pessoais, que é uma figura que realiza o tratamento de dados pessoais segundo as instruções fornecidas pelo controlador, mas sempre verificando a observância das próprias instruções e das normas sobre a matéria.

Nesse caso, uma vez definidas quais as operações de tratamento que a empresa atuará como operadora de dados pessoais, recomenda-se que seja informado ao titular dos dados que a exigência da coleta, nesses casos, é feita pelo plano de saúde do qual o titular é beneficiário, de modo que o operador atuará em conformidade com as recomendações feitas pelo plano, mas sempre respeitando o que diz a LGPD.

Ressalte-se que a própria LGPD, em seu art. 42, §º, I determina que o operador responde solidariamente com o controlador pelos danos causados pelo tratamento, quando descumprir as obrigações da legislação de proteção de dados, ou quando não tiver seguido as instruções lícitas do controlador.

Proibição de Compartilhamento de Dados Pessoais para Seleção de Riscos pelas Operadoras de Planos de Saúde

Ao longo de todo o texto legislativo, a LGPD não veta, de forma explícita, praticamente nenhuma operação de tratamento de dados pessoais, sendo esta uma análise muito mais subjetiva caso a caso.

Contudo, uma prática chama atenção pela vedação categórica da lei, que é o compartilhamento de dados pessoais sensíveis entre controladores com o intuito de obter vantagem econômica, ressalvadas algumas hipóteses, conforme disposto no art. 11, §4º da LGPD.

A aplicabilidade desse artigo na área de saúde diz respeito, basicamente, à proibição de seleção de riscos por parte das operadoras de planos de saúde, com base em informações privilegiadas a respeito do titular dos dados, prejudicando-o de alguma forma.

A LGPD apenas reforça a Súmula 27 da ANS que já alertava para esse tipo de proibição à seleção de riscos, e que determina que nenhum beneficiário de plano de saúde particular pode ser impedido de adquiri-lo por sua condição de saúde ou idade, tampouco pode haver exclusão de clientes das operadoras pelos mesmos motivos.

Necessidade de se Nomear um Encarregado de Proteção de Dados (DPO)

Outra exigência feita pela Lei Geral de Proteção de Dados é a de que todas as empresas que tratem dados no Brasil deverão indicar um encarregado pelo tratamento de dados pessoais, que terá como atividades de seu trabalho

  1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  2. receber comunicações da autoridade nacional e adotar providências;
  3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Contudo, por se tratar de uma “nova profissão” no Brasil, é comum que surjam questionamentos como os seguintes: qual o custo desse profissional? Terei condições de arcar com mais esse ônus? Vale a pena contratar uma pessoa tão gabaritada, caso minha empresa seja de pequeno porte?

Como é uma exigência legal, todas as empresas, sem exceção, devem possuir um encarregado pelo tratamento de dados pessoais nesse momento, a não ser que uma alteração legislativa disponha de modo diverso. Porém, a LGPD permite que este serviço possa ser terceirizado pela empresa a uma outra pessoa jurídica, de modo que é possível uma empresa de pequeno ou médio porte que não tenha condições de contratar um novo profissional ou uma empresa de grande porte que deseje transferir esta responsabilidade possam contar com tal serviço sem a necessidade de contratação de novos profissionais, o que com certeza reduz  consideravelmente os custos trabalhistas e eventuais reflexos, mas ainda contando com um serviço especializado na área de privacidade e proteção de dados.

Conclusão

Um fato indiscutível é que todas as empresas brasileiras deverão se adequar às novas regras para o tratamento de dados pessoais, e agora essa é uma realidade cada vez mais urgente, uma vez que a entrada em vigor da lei se aproxima dia após dia. As empresas brasileiras têm se movimentado bastante para compreender e implementar soluções que atendam às exigências da LGPD, sendo que, sem sombra de dúvidas, os hospitais, clínicas, consultórios médicos e empresas da área da saúde de uma forma geral, possuem uma necessidade ainda maior de se adequarem, uma vez que o tratamento de inúmeros dados pessoais, inclusive sensíveis, faz parte de seu objeto de negócio, de modo que a preocupação com a segurança da informação e as práticas de compliance em privacidade são ainda maiores do que outros ramos de atuação, uma vez que a própria LGPD cuidou de editar normas específicas para esse setor, que é tão único e cheio de especificidades.

Aqui na Tripla, estamos atuando com intensidade para auxiliar empresas na conformidade com a LGPD. Afinal, o tempo está curto e o trabalho é extenso. E sua empresa, já está em conformidade com a Lei?

 

 

[wp-review id=”17200″]

Checklist: Planejamento estratégico de TI e Segurança em 2025

Participe da comunidade de tecnologia da Tripla

Siga a Tripla nas redes

Quer saber como nossas soluções podem beneficiar sua empresa? Converse com nossos especialistas!

Participe da comunidade
de tecnologia da Tripla

Copyright © 2020 Tripla

Fale com um de nossos consultores