É possível dizer que a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) veio para promover grandes transformações, não somente no âmbito das empresas e Instituições que promovem o tratamento de dados pessoais, mas também em toda a sociedade.
Já de início, é preciso ressaltar que a Lei se aplica à pessoa natural ou pessoa jurídica de direito público ou privado que promova, inclusive nos meios digitais, o tratamento de dados pessoais. Nesse passo, define “dados pessoais” como sendo toda informação relacionada a pessoa natural identificada ou identificável; e “tratamento” como sendo toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Ora, nesse ponto já é possível perceber a amplitude de aplicação de tal norma que, sem dúvida, também trará impactos ao campo da saúde e, por conseguinte, também aos médicos.
Não é novidade a proteção do sigilo referente aos dados e ao prontuário do paciente, já inclusive prevista pelo Código de Ética Médica (Resolução nº 2.217 de 27 de setembro de 2018) e pela recém-publicada Lei nº 13.787/2018, que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente. No entanto, tais dados, a partir da LGPD, passam a ter tratamento especial, eis que integram a categoria dos “dados pessoais sensíveis”.
O artigo 5º, inciso II da LGPD, define dado pessoal sensível como, in verbis: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Assim sendo, consideram-se dados pessoais sensíveis aqueles referentes à saúde do paciente e que, certamente, estão presentes em seu prontuário.
O tratamento dos ditos dados pessoais sensíveis requer cuidados especiais e somente poderá ocorrer, nos termos do art. 11 da LGPD, quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas (através do chamado “consentimento granular ou fatiado”, por exemplo); ou, sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para- dentre outras previstas nas alíneas do inciso II do art. 11 da Lei-, por exemplo: a proteção da vida ou da incolumidade física do titular ou de terceiro; a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Ainda, a Lei veda a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com viés econômico, exceto em relação à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde- com vedações elencadas para as operadoras de planos privados de assistência à saúde-, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir, quando solicitada pelo titular, a portabilidade de dados; bem como as transações financeiras e administrativas resultantes do uso e da prestação dos serviços em questão.
Sem dúvida, é crescente a informatização do atendimento médico, prova disso é a utilização cada vez mais frequente do chamado “Prontuário Eletrônico do Paciente” – PEP, que possui a mesma estrutura do prontuário preenchido em papel- sendo que ambos observam as orientações e determinações da Resolução CFM Nº 1638/2002; e do Registro Eletrônico de Saúde – RES que permite o armazenamento e o compartilhamento seguro das informações de um ou mais pacientes de maneira mais ampla, os quais são tidos como importantes ferramentas da Tecnologia da Informação e Comunicação em Saúde – TICS.
Prova da indispensabilidade de tal sigilo, proteção, segurança e privacidade dos dados pessoais é facilmente percebida em situações como, por exemplo, o vazamento do exame de tomografia e da avaliação médica (informações sigilosas de diagnósticos; dados pessoais sensíveis) da Ex-Primeira Dama, esposa do Ex-Presidente Lula, Sra. Marisa Letícia, em um grupo de mensagens.
Outro exemplo ainda mais recente, ocorrido em julho de 2018 e publicado pelo site The Hacker News (www.thehackernews.com), foi o ciberataque ultimado contra a maior rede de saúde de Singapura, a SingHealth, através do qual os hackers tiveram acesso a dados pessoais de 1,5 milhões de pacientes, além das receitas médicas de outros 160 mil, que visitaram os ambulatórios e instituições; órgãos da SingHealth de 1º de maio de 2015 a 4 de julho de 2018, sendo que uma das pessoas afetadas foi o primeiro-ministro de Singapura, Lee Hsien Loong.
Os pacientes supraditos tiveram seus dados não-médicos particulares acessados e copiados de forma ilegal. Os hackers tiveram acesso a dados como nome, endereço, National Registration Identity Card (NRIC), endereço, sexo, raça e data de nascimento.
Os exemplos citados fazem parte dos chamados “incidentes de segurança” que têm o potencial de acarretar riscos ou danos relevantes aos titulares dos dados (art. 48 da LGPD), os quais, segundo a Lei e conforme suas orientações, deverão ser o mais brevemente possível comunicados à Autoridade Nacional de Proteção de Dados (ANPD)- que é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
A LGPD, portanto, será aplicada, por exemplo, no âmbito de laboratórios, hospitais, clínicas, Instituições de seguro e planos de saúde, no que tange à documentação; dados pessoais de seus pacientes, contratos, diagnósticos, anamnese, laudos, prescrições médicas, exames, etc.
Diante de todas informações e dados pessoais- bem como dados pessoais sensíveis, como visto- contidos nessa gama de documentos inerentes à atuação médica hodierna, irremediavelmente surgem riscos como, por exemplo, sistemas e redes inseguras e desatualizadas, computadores sem antivírus aptos a proteger seu conteúdo, servidores desprotegidos, bem como profissionais; equipe sem habilidades e treinamentos específicos e atualizados para proteger os dados pessoais, bem como a privacidade dos pacientes.
É preciso ter em mente, também, que todos nós, em algum momento de nossas vidas, podemos ser pacientes, motivo pelo qual, apesar de aparentemente muito exigente, a Lei é de grande valia a todas as pessoas.
Diante desse cenário, é indispensável que a proteção de dados conforme a Lei Geral de Proteção de Dados seja parte essencial e integrante das medidas de compliance na área médica em geral.
Como visto, sem dúvida, trata-se de uma legislação que abarca diversos temas e situações, mas o importante é já começar a movimentação no sentido de adequação de clínicas, hospitais, laboratórios, e instituições correlatas, nos termos já expostos, a partir das seguintes ações propostas, dentre outras: levantamento/auditoria de todos os dados internos relativos a pessoas naturais já coletados, para que seja possível a adequação de seu tratamento; definição de critérios amparados pela Lei para coleta de dados; definição das figuras do Controlador (a quem competem as decisões referentes ao tratamento de dados pessoais), do Operador (que realiza o tratamento de dados pessoais em nome do controlador) e do Encarregado (pessoa que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados); revisar e adequar todos os contratos; elaborar a Política de Privacidade e investir em meios e métodos de segurança física e digital em relação ao armazenamento e compartilhamento de dados.
A LGPD veio para garantir a chamada autodeterminação informacional, ou seja, a capacidade de o titular dos dados ter a ciência total acerca de quais dos seus dados estão sendo utilizados; para qual finalidade e motivo; por qual meio/forma serão utilizados/tratados; qual o amparo legal para tal; bem como qual será a sua destinação.
Em um mundo cada vez mais digitalizado e tecnológico e, portanto, fluido – já que o universo digital ainda é permeado por áreas desconhecidas pela maioria -, é importante garantir a segurança de um princípio cada vez mais caro em nossa sociedade: o da privacidade.
Autora: Dra. Elisa Zafalão: Advogada, graduada pela Universidade Federal de Goiás – UFG e Pós-Graduada em Direito Público, atuante nas áreas Cível, Administrativo e Direito Digital. Email: elisazafalao@gmail.com