O que é a LGPD?
No segundo semestre de 2020, entrou em vigor a Lei Geral de Proteção de Dados e, a partir disso, qualquer empresa ou pessoa física (que explore atividade econômica) que incluir em sua base de dados informações de pessoas naturais, por mais básicas que sejam, deverá seguir o que determina a nova lei.
A LGPD, então, é uma norma que estabelece regras a todos aqueles que realizam o tratamento de nossos dados pessoais (como nome, CPF, estado de saúde), a fim de que sejam protegidos nossos direitos fundamentais e essenciais, como liberdade, intimidade, vida privada, conforme disposto no artigo 1º da lei. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Um dos pilares da lei é a garantia de que o cidadão terá acesso às informações sobre os seus dados (autodeterminação informativa). Além disso, em algumas situações, será preciso sua autorização expressa para que a coleta de dados ocorra.
A lei determina que deverá ser garantido a todos ampla explicação sobre como empresas públicas e privadas tratam os nossos dados, além de como ficam armazenados, por quanto tempo guardam e com quem compartilham.
A manipulação de dados se tornou algo tão delicado neste novo cenário que os dados considerados “sensíveis” como raça, opinião política, dados sobre a saúde, dentre outros, terão tratamento diferenciado e maiores cuidados. Ao mesmo tempo, dados pessoais relativos a crianças e adolescentes, exigem uma atenção maior, tendo em vista que necessitam de autorização expressa dos responsáveis pelo menor.
Logo, para as empresas e profissionais da área da saúde, o trabalho será estabelecer um alto nível de transparência dos dados que tratam, de maneira clara, acessível e simples. Diante disso, irá atingir toda e qualquer atividade que envolva utilização de dados pessoais e de dados pessoais sensíveis, como dados de pacientes, acompanhantes, empregados, colaboradores, tanto os que circulam na internet (telemedicina, receitas eletrônicas, redes sociais, prontuários eletrônicos, dispositivos médicos) quanto os que estão dispostos nos locais físicos (prontuários de papel, atendimentos presenciais e outros).
Quais as suas penalidades?
As penalidades prometem ser severas para os que descumprirem as regras.
Essas penalidades podem ser judiciais ou administrativas. Estas últimas serão aplicadas pela Autoridade Nacional de Proteção de Dados, “órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil”. Para maiores informações, acesse https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes-2013-anpd
A partir de agosto de 2021, a Agência Nacional de Proteção de Dados (ANPD), já poderá aplicar as sanções, que são as seguintes (e podem ser aplicadas de maneira cumulativa):
- advertência
- multa de até 2% (dois por cento) do faturamento da pessoa jurídica excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária;
- publicização da infração;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;
No entanto, é importante frisar que as empresas e profissionais da saúde poderão, desde já, sofrer sanções por outros órgãos administrativos, como o PROCON, além de uma condenação indenizatória concedida em favor do paciente ou da vítima que tiver seus dados indevidamente tratados, a exemplo de uma perda de prontuário, rasura e ilegibilidade de documentos, vazamentos de dados e compartilhamentos com terceiros não autorizados.
Qual a sua relação com os médicos, clínicas e hospitais?
A LGPD é uma lei que possui uma grande abrangência, afinal, toda empresa ou profissional liberal que coleta dados pessoais, dificilmente não será atingido, exceto se a coleta de dados for destinada para fins exclusivamente particulares, jornalístico, artísticos, acadêmicos, segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais, ou seja, não é o caso das clínicas e hospitais.
Profissionais e Instituições de Saúde terão que REDOBRAR os cuidados no tratamento de dados dos seus pacientes e colaboradores. Por isso, terão que fazer a adequação jurídica.
A norma é ainda mais rigorosa com esse mercado, pois trabalha com informações delicadíssimas (sensíveis) das pessoas, tais como histórico de saúde, diagnósticos, imagens, vida sexual, condição sexual, dados biométricos, hábitos de vida, convicção religiosa, e outros elementos capazes de causar sérios e irreversíveis danos aos seus titulares (pacientes). Esses dados, diferentemente de um dado comum (ex: CPF), têm o potencial de produzir efeitos danosos nefastos, como ações discriminatórias e agravamento do quadro de saúde.
Desta forma, a LGPD tem um tratamento especial para esse setor, colocando maiores restrições e cuidados.
A LGPD também se aplica aos profissionais liberais e clínicas de pequeno porte?
Sim, pois independentemente de ser de pequeno, médio ou grande porte, todos aqueles que realizam tratamentos de dados pessoais (coleta, armazenamento, processamento, compartilhamento, descarte e outros) devem praticar ações que resguardem a segurança, o sigilo e a proteção de dados dos seus titulares, com observação criteriosa da lei.
Lembre-se que, além das organizações da área da saúde, todos os profissionais da saúde, mesmo que não estejam constituídos em pessoas jurídicas, deverão realizar o processo de adequação à LGPD.
A Lei se aplica apenas aos atendimentos virtuais?
Não. Essa é uma falsa ideia. Embora a lei tenha surgido em meio a esse mundo tecnológico e ao big data, onde a probabilidade de ilícitos contra usuários da internet são maiores, a LGPD também protege os titulares que disponibilizam seus dados pessoais no ambiente físico.
Então, os médicos e empresas da saúde devem cuidar (seguir as regras da LGPD, com segurança das informações) tanto dos dados tratados de forma eletrônica quanto os tratados em configurações físicas.
Por que implementar?
A implementação não pode ser vista como um empecilho ou apenas como uma forma de evitar sanções, pelo contrário, deve ser trabalhada na perspectiva da transparência, ética, boas práticas e do compromisso fundamental com a privacidade e a segurança das informações dos titulares de dados (donos das informações). De quebra, o compliance de dados (adequação à LGPD) resulta à empresa ganhos de credibilidade (perante consumidores, pacientes, fornecedores e investidores) e de vantagem competitiva, além, é claro, de prevenir ou minimizar a extensão das sanções.
Por que é necessário contratar um escritório de advocacia especializado em direito médico para implementar a LGPD nas clínicas e hospitais?
Uma assessoria especializada possui a expertise necessária para analisar o campo de atuação da clínica ou hospital, levantar os dados pessoais que são tratados pela Instituição, fazer a categorização dos dados (sensível ou ordinário), mapear riscos e vulnerabilidades, verificar com quem os dados são compartilhados, levantar situações de cunho sigiloso e confidencial, identificar as bases legais que justificam o tratamento de determinados dados pessoais, verificar se os princípios e normas da LGPD estão sendo cumpridos, avaliar se os direitos dos titulares estão sendo resguardados, examinar as plataformas tecnológicas que utiliza e os softwares operacionais, avaliar as condutas e práticas de gestores e colaboradores, realizar o relatório de impacto à proteção de dados (RIPD). Desse modo, será possível traçar um plano de implementação seguro e sem gastos desnecessários.
Para que tudo isso seja feito, o advogado, para além de dominar a LGPD, deve ter amplo conhecimento acerca da legislação e normas setoriais que regulamentam a atividade da saúde, como as normas da ANVISA, da ANS, Código de Ética Médica e de outras profissões regulamentadas (bem como as resoluções, pareceres desses conselhos profissionais), Lei da Telemedicina, Estatuto da Pessoa com Deficiência, Código de Defesa do Consumidor, Marco Civil da Internet, Lei de Acesso à Informação, leis e normas internacionais, além de outras.
Dito isso e iniciado o mapeamento das operações da clínica ou hospital e as legislações aplicadas, o consultor jurídico poderá avaliar no quadro de colaboradores, se a empresa já possui uma equipe interna de tecnologia da informação capacitada para desenvolver as novas diretrizes e, caso já exista, os trabalhos serão facilitados. Nesse caso, a assessoria recomendará reescrever algumas políticas e refazer as estruturas de coleta, armazenamento, uso, proteção e compartilhamento de informações de pacientes e de todos os titulares de dados.
Por outro lado, se a clínica ou hospital não possuir uma equipe própria ou capacitada, a assessoria poderá realizar o treinamento necessário ou orientar na contratação de uma empresa idônea com um quadro técnico efetivamente capacitado para prestar o serviço, de forma a garantir a integridade das mudanças.
Além disso, o advogado elaborará ou revisará toda a documentação necessária, como termos de uso, políticas de privacidade, redação de contratos ou aditivos contratuais (com fornecedores, colaboradores, médicos, dentre outros), elaborar e/ou revisar os termos de consentimento para tratamento de dados pessoais (para que sejam cumpridos os requisitos que a LGPD determina), além de treinar a alta gestão, médicos e demais colaboradores.
A implementação da LGPD também deve se atentar em outras questões:
- Avaliar o tipo de gestão de dados que a clínica ou hospital pratica;
- Identificar as figuras do controlador, operador e encarregado. Esses atores estão previstos na Lei;
- Criar uma política de privacidade, em conformidade com os princípios da LGPD e ajustados ao modelo de negócio da organização.
- Criar um comitê de segurança da informação
Importante frisar que a equipe jurídica trabalhará em conjunto com os setores de Tecnologia da Informação, administrativo, marketing, áreas assistenciais e outros compartimentos do Hospital ou da clínica, pois um processo de adequação à LGPD envolve um trabalho multidisciplinar.
Assim, esses são alguns passos para implementação da LGPD, exigindo uma preparação tecnológica, jurídica e comportamental dos sócios, gestores e colaboradores, com aplicação de uma nova cultura dentro da empresa, garantindo segurança plena dos dados pessoais dos pacientes que circulam dentro da clínica ou hospital, bem como em softwares e plataformas digitais.
Ainda ficou com alguma dúvida?
Comente abaixo, estaremos à disposição para orientá-lo e seguiremos compartilhando informações importantes.
