LGPD e o Setor Hospitalar

Segundo a LGPD, dado pessoal sensível é aquele de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Ademais, a proteção de dados no Brasil é regida por alguns princípios jurídicos e, um dos principais é o da finalidade: a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.

Na hora de solicitar um dado de um paciente é preciso que se tenha em mente o motivo desta solicitação. Ao solicitar e tratar dados pessoais de pacientes (para cadastros, preenchimentos de prontuários, realizações ou entregas de exames, repasse de informações para sites de farmácias, agendamentos de consultas, dentre outros), o hospital deve ter transparência e clareza, bem como esclarecer a finalidade e a necessidade para o tratamento desses dados.

A Lei Geral de Proteção de Dados Pessoais elenca oito bases legais que permitem o tratamento dos dados sensíveis, quais sejam:

1) Consentimento do titular;
2) Cumprimento de obrigação legal ou regulatória pelo controlador;
3) Execução de políticas públicas;
4) Estudos por órgãos de pesquisa;
5) Exercício regular de direitos;
6) Proteção da vida;
7) Tutela da saúde e 
8) Proteção do crédito. 

Vale dizer que os dados não considerados como sensíveis possuem um rol mais amplo de possiblidades de tratamento, então é importante que o controlador dos dados faça esse filtro para aplicar de forma correta as bases legais em cada caso.

A verdade é que a complexidade e pluralidade das relações que envolvem o sistema de saúde hoje, em especial os hospitais particulares, exige o tratamento de muitos dados, sejam eles sensíveis ou não. Então para fugir de armadilhas, é interessante que se façam algumas perguntas:

- Por qual motivo o hospital precisa deste dado? – O que indicará a FINALIDADE;
- O motivo pelo qual o hospital precisa e a forma como trata esse dado são compatíveis? – O que indicará a ADEQUAÇÃO;
- Os dados são mesmo necessários para o cumprimento da finalidade informada ao paciente? – O que indicará a NECESSIDADE.

Também são medidas válidas atualizações dos sistemas, implantação de um portal para que os titulares possam exercer seus direitos, trabalho de conscientização dos colaboradores, e, claro, a preparação do encarregado de dados (DPO). Além disso, a LGPD tem por objetivo a proteção da liberdade e da privacidade dos titulares de dados, então ter uma política de privacidade é essencial. O armazenamento dos dados pessoais deve ser feito de forma transparente e segura, a fim de preservar a privacidade de seus titulares.

Uma questão de grande relevância é a necessidade de obtenção de consentimento inequívoco de seus titulares ou encaixe em uma das exceções previstas na LGPD para o caso de haver dados sensíveis já em suas bases de dados, o que merece uma auditoria detalhada!

A forma de compartilhamento também deve ser observada. O cuidado deve ser geral: com elaboração de receitas, utilização de sistemas de farmácias, entrega de exames (via internet ou física), utilização de softwares para agendamentos de consultas e exames, preenchimento e guarda de prontuários, utilização de dados biométricos, dentre outros.

É fundamental que todos os processos dentro do hospital sejam mapeados e compreendidos, a fim de identificar e mitigar os riscos. Para facilitar o entendimento e o cumprimento das regras de proteção de dados, é importante realizar treinamentos, utilizar ferramentas e controles de segurança, realizar campanhas de conscientização, elaborar política de privacidade e políticas internas, ter um sistema de gestão (que seja adequado à LGPD), implementar governança e boas práticas. É válido também sempre verificar com o terceiro interessado que receberá os dados, os contratos celebrados, os papéis de controlador e operador entre as partes, bem como viabilizar possíveis solicitações e atendimento aos titulares de dados em ambas as pontas (de quem envia e de quem recebe).

A adequação à Lei Geral de Proteção de dados é uma construção diária e multidisciplinar, e deve contar com objetivos e prazos bem definidos. As consequências de seu não cumprimento ou de eventuais infrações (devidamente comprovadas) são severas.

As empresas podem sofrer penalidades administrativas, que vão desde advertência, multa simples, de até 2% do faturamento da pessoa jurídica, limitados até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicização da infração (quando devidamente apurada e confirmada); bloqueio dos dados pessoais e eliminação dos dados, dentre outros, todas elencadas no art. 52 da LGPD. Sem contar os danos reputacionais e possíveis ações judiciais por parte dos titulares dos dados!

O escritório Targino Bastos conta com equipe multidisciplinar qualificada e preparada para os mais diversos projetos de adequação à LGPD.

Por Andressa Targino