Lei Geral de Proteção de Dados para Médicos e Profissionais de Saúde: Como funciona e Cuidados durante a covid-19
Você sabe como a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), que entrará em vigor à partir de agosto de 2020, surtirá efeitos aos médicos e profissionais de saúde?
Recentemente o dr. Paulo Perrotti, advogado, professor de Pós Graduação de Cyber Security da Faculdade de Engenharia de Sorocaba (FACENS) e membro do LGPD Solution, juntamente com a dra. Eli Pedra, advogada e membra do Perrotti e Barrueco Advogados Associados publicaram um artigo explicando detalhadamente o assunto.
O texto demonstra especificamente como essa lei causará impacto direto e imediato no cotidiano dos médicos e profissionais de saúde no que diz respeito à privacidade dos dados pessoais do indivíduo. Confira o texto na íntegra abaixo, originalmente publicado no site LGPD Solution:
Sob a influência em diversos aspectos da General Data Protection Regulation (GDPR), regulamentação europeia de proteção de dados, à partir de agosto de 2020 entrará em vigor a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), passando então a surtir efeitos aos mais diversos tipos de profissionais, seja no que diz respeito à Pessoa Jurídica, quanto à Pessoa Física.
Dentre os principais aspectos abordados na referida Lei, denota-se maior atenção à privacidade dos dados pessoais do indivíduo, principalmente aqueles referentes à saúde, bem como a devida transparência sobre a finalidade destes e o poder de decisão que os cidadãos e pacientes continuam tendo, como reais proprietários dos dados.
No mesmo sentido, logo percebe-se a necessidade de treinar, controlar e filtrar aqueles que têm acesso e tratam dados de pacientes, especialmente diante de dados considerados sensíveis diante da LGPD, principalmente por estarem intimamente ligados à saúde e, ao mesmo tempo, imprescindíveis ao trabalho eficaz do médico e do profissional de saúde.
Assim, a LGPD também terá impacto direto e imediato no cotidiano dos médicos e profissionais de saúde, que deverão readaptar seus hábitos nos atendimentos em consultórios e atendimentos emergenciais, no que diz respeito à real finalidade de coleta do dado.
A Lei Geral de Proteção de Dados surge como forma de harmonizar a aplicabilidade de outros ordenamentos jurídicos como a Constituição Federal, o Código de Defesa do Consumidor, além do próprio Código Civil, no que diz respeito à privacidade dos dados pessoais de todos que estão direta ou indiretamente envolvidos em uma atividade profissional, desde uma indústria, uma agência de publicidade e, inclusive, um hospital ou uma clínica.
Os avanços tecnológicos, tais como algoritmos de inteligência artificial, dados de localização, telemedicina e georreferenciamento, dentre outras hipóteses, também entram nessa lista de proteção aos dados, preservando, desta maneira, ampla proteção contra qualquer forma de violação de privacidade.
A LGPD, através do artigo 5º, prescreve um conceito aberto a respeito de dados pessoais, considerando assim em seu inciso I, toda e qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, informações como nome, endereço, telefone, profissão, dentre outros, que são capazes de identificar a pessoa natural ou torná-la identificável, automaticamente.
Seguindo a linha de raciocínio, o artigo 5º, inciso II, trouxe catalogado os dados considerados pessoais sensíveis, quais sejam aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
No que diz respeito ao inciso X do artigo 5º, entende-se como tratamento de dados pessoais toda operação realizada com dados pessoais, quais sejam, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Destaca-se, ainda sobre este aspecto, que não se trata de rol taxativo podendo, por conseguinte, ser ampliado, de acordo com a necessidade.
Ademais, o artigo 6º da LGPD também aponta diversos princípios que devem ser utilizados como orientação, onde destacam-se os seguintes, que devem ser aplicados ao profissional de saúde:
NECESSIDADE: Estabelecendo a limitação do tratamento ao mínimo necessário do dado pessoal para a realização de suas finalidades, com as devidas amplitudes dos dados pessoais pertinentes.
TRANSPARÊNCIA: Garantindo aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
QUALIDADE: garantindo aos titulares, exatidão, clareza, relevância e atualização dos dados;
ADEQUAÇÃO: Sintonia do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento adotado.
O descumprimento das medidas determinadas torna a empresa sujeita a sanções administrativas conforme estabelece o artigo 52 da LGPD que, dentre as multas estabelecidas, destaca-se a do inciso II, que prevê a aplicação de multa simples de 2% do faturamento do estabelecimento, sendo limitada até R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais.
Para melhor esclarecer as peculiaridades que envolvem a aplicabilidade da Lei Geral de Proteção de Dados para os médicos e profissionais de saúde, seguem algumas determinações específicas sobre o tema, emitidas pelo Conselho Federal de Medicina.
A Resolução do CFM nº 1.605/200 estabelece, por meio do artigo 1º que Art. 1º, que o médico não pode, sem o consentimento do paciente, revelar o conteúdo do prontuário ou ficha médica.
Ademais, a Resolução do CFM nº 1.821/07 e 2.218/18, servem como instrumento de aprovação das técnicas de digitalização, além do uso de sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes.
A rotina de atendimentos dos médicos e profissionais de saúde, emergenciais ou em consultórios, requer uma readaptação específica no que diz respeito ao atendimento das determinações da LGPD.
Isto porque, os dados não poderão mais ser coletados de forma aleatória e sem rastreabilidade, sendo fundamental que o médico e o profissional de saúde explique a finalidade de obter aquele dado, o destino que lhe será dado, a forma em que este será armazenado e pelo prazo correto, a garantia que será bem protegido e apagado da forma correta.
Outrossim, torna-se imperioso identificar a forma em que os dados dos pacientes estão armazenados, físicos ou digitais, para que haja o devido investimento em sistema de segurança e assim, evitar qualquer tipo de vazamento de dados, inclusive os realizados pelos hackers (meio eletrônico).
Será necessário nomear e treinar um responsável interno para proteção dos dados ou terceirizar a gestão de segurança de informação, que contemple as melhores certificações de mercado, específico para a área da saúde, de forma que ele compreenda a necessidade de preservar a privacidade dos dados dos pacientes.
No mesmo sentido, recomenda-se ainda maior atenção ao compartilhamento dos dados clínicos, quer seja através dos aplicativos, mensagens de celular ou grupos de estudos, enfatizando-se que os mesmos sejam realizados sempre de forma imparcial e anonimizada, ou seja, com o devido foco apenas e exclusivamente nos casos clínicos, sem qualquer menção aos dados que possam identificar direta e/ou indiretamente os pacientes.
Diante do envio de informações dos pacientes para outras pessoas ou instituições, especialmente aquelas que envolvem dados clínicos minucioso, como é o caso de relatórios e exames médicos, é recomendável obter o prévio consentimento formal do paciente, acompanhada da explicação sobre o destino daquelas informações.
Outra alerta é no que diz respeito aos uso de computadores pessoais e smartphone, pois estes se tornam mais vulneráveis em casos de furtos ou acesso de terceiros, recomendando se, portanto, que tal prática seja evitada e que as informações dos pacientes sejam armazenadas de forma segura, com implementação de tecnologia adequada, como a criptografia, rastreabilidade e/ou blockchain, por exemplo.
Além das recomendações já mencionadas, outros cuidados aos quais os médicos e profissionais de saúde devem se atentar:
1. Que os dados dos pacientes sejam coletados e armazenados em sistemas com a autorização dos mesmos, sendo importante registrar que essa medida é válida para os prontuários futuros e para os prontuários que já estão cadastrados. Logo, é necessário que as clínicas médicas e hospitais contatem os pacientes já cadastrados no sistema para buscar esta autorização
2. Também será necessária autorização dos pacientes cujos dados estejam armazenados fisicamente, ou seja, no papel, mesmo antes da vigência da LGPD
3. Mensagens trocadas entre médicos e pacientes via Whatsapp ou aplicativos equivalentes ainda poderão ser feitas, mas além da necessidade de serem criptografadas, já disponível pela rede social, as caixas postais com mensagens persistentes também deverão ser protegidas, já que contêm identificação da pessoa. Assim sendo, muito cuidado com a troca de informações via Whatsapp e aplicativos equivalentes, pois há patente fragilidade nesta forma de comunicação
4. É recomendável a realização de auditoria interna conduzida por um especialista em segurança da informação e proteção de dados pessoais para identificar quais aspectos estão ou não em conformidade com a LGPD
5. É indicado recorrer ao fornecedor de softwares e bancos de dados, provedor de hospedagem (Data Center, nuvem e etc.), para certificar-se que eles também protegem adequadamente os seus dados e assim, evitar que, em caso de alguma falha na proteção de dados, o médico ou profissional de saúde responda por qualquer tipo de infração
6. Armazenar os dados dos pacientes, inclusive os prontuários eletrônicos, em sistemas que permitam a auditoria e a rastreabilidade, a fim de que seja possível identificar quem e quando uma determinada informação foi incluída, tratada, copiada ou apagada do sistema
7. Seguro contra Ataques Cibernéticos: Por fim, ninguém está alheio a uma invasão ou um ataque cibernético. Assim sendo, sugerimos fortemente a contratação de uma apólice de seguros, a fim de prevenir grandes perdas no caso de uma infração à privacidade. Com base na experiência europeia, as penalidades mais pesadas são destinadas aos vazamentos de hospitais e clínicas, uma vez que tratam dados de saúde, considerados sensíveis perante a regulação. Sugerimos também que a seguradora escolhida também ofereça um atendimento de resposta a incidentes, muito importante no caso de infração.
A LGPD traz a necessidade de readaptação da parte dos médicos e de todo o sistema ao seu redor, pois irá otimizar e tornar mais transparentes as relações entre os profissionais de saúde e o paciente, ao mesmo tempo em que será exigido maior cuidado no sigilo e armazenamento dos seus dados.
COMECE SEU TRATAMENTO AGORAAssim, entende-se que, ao tomar as condutas adequadas, será possível minimizar ou até mesmo prevenir a incidência das severas penalidades previstas na LGPD, além evitar qualquer tipo de ameaça à reputação dos profissionais de saúde, cujo valor é inestimável e, muitas vezes, irrecuperável.
