Impactos da Proteção de Dados na Área da Saúde

Em vigor desde 2020, a Lei Geral de Proteção de Dados (Lei 13.709/2018), “LGPD”, instituiu o dever de governança e proteção dos dados pessoais tratados no exercício das atividades desempenhadas pelas organizações, sobretudo daquelas que realizam o tratamento de dados pessoais considerados sensíveis, mais vulneráveis à ocasionar danos aos seus titulares se tratados de maneira irregular.

Com as obrigações impostas, é fundamental que haja um movimento de adequação e conformidade à LGPD, para assegurar a licitude das atividades de tratamento e o atendimento aos direitos dos titulares, tangibilizados no art. 18 da LGPD, dentre eles a confirmação da existência de tratamento, o acesso a todos os dados tratados, a oposição à tratamentos desnecessários ou em desconformidade com LGPD, apagamento de dados excessivos ou desnecessários, revogação do consentimento, quando a coleta for justificada por ele, além da portabilidade e exclusão dos dados, quando permitido pela legislação. Caso os direitos não sejam atendidos no prazo legal e da forma prevista, os titulares podem realizar queixas no canal de atendimento e denúncias da ANPD – Autoridade Nacional de Proteção de Dados, órgão especializado na fiscalização da lei.

Desta forma, operações de saúde devem se atentar aos riscos atrelados ao tratamento de dados de saúde, pois estes são classificados pela LGPD como sensíveis e, consequentemente, que merecem atenção da governança corporativa e a adoção de medidas adequadas para a segurança e mitigação de riscos, a fim de assegurar a aderência à proteção legal imposta.

A utilização de dados pessoais na área da saúde majoritariamente envolve:

• Tecnologias para acompanhamento da saúde, coletados por dispositivos médicos, muitas vezes conectados à internet e/ou sistemas terceiros;

• Acesso aos prontuários médicos para monitoramento, diagnóstico e tratamento do paciente;

• Auditoria médica de operadoras de saúde;

• Compartilhamento de determinados dados de saúde com outras instituições relacionadas com o atendimento do paciente, como laboratórios, planos de saúde e outros operadores necessários.

• Uso de dados de saúde para pesquisas científicas e acadêmicas;

• Uso de dados de saúde para desenvolvimento da inovação, treinamento de robôs cirúrgicos, de algoritmos para diagnóstico precoce, além do desenvolvimento de novas ferramentas para gestão e evolução da saúde.

Na prática, a regulamentação da privacidade na área da saúde apresenta diversos impactos reais para as organizações de saúde, pois:

• Prevê a obrigatoriedade de transparência e acesso às informações relativas ao tratamento aos pacientes, uso, compartilhamento, prazo de armazenamento, dentre outras;

• Requer a vinculação dos tratamentos às bases legais previstas pela LGPD;

• Exige a observância dos princípios basilares da LGPD;

• Determina regras para garantir a segurança da informação, transmissão de dados e retenção por prazo determinado pela legislação específica vigente;

• Estabelece a obrigação de governança de todo o ciclo de vida dos dados pessoais tratados, bem como a necessidade de normatizar as regras e diretrizes internas de tratamento, realizar avaliações de risco e de impacto aos titulares;

• Exige capacitação de todos os colaboradores envolvidos no tratamento dos dados pessoais sobre as regras legais e estipuladas pela organização;

• Limita as hipóteses de compartilhamento de dados sensíveis;

• Proíbe o tratamento de dados de saúde para seleção de riscos;

• Restringe a monetização de dados de saúde identificáveis;

• Reforça que todas as informações geradas no tratamento de dados de saúde são de propriedade do paciente, titular de dados pessoais.

• Determina que a organização atenda os direitos dos titulares, por meio de um canal próprio e Encarregado de Proteção de Dados.

• Estabelece a possibilidade de anonimização dos dados, sempre que possível e necessário, a fim de proteger o seu titular e possibilitar o uso das informações para evolução dos serviços prestados, inovação e pesquisa.

• Determina garantias mínimas para a transferência internacional de dados à outros países, sobretudo os que não possuem legislação protetiva da privacidade, a fim de assegurar o efetivo atendimento dos direitos dos titulares.

• Determina a responsabilização jurídica do controlador, a organização de saúde que utiliza os dados para prestar seus serviços, perante danos aos titulares ocasionados pelo descumprimento à legislação, impondo o dever de auditoria e monitoramento de terceiros contratados sob sua responsabilidade, os operadores.

Por isso, é fundamental que as instituições que atuam na área da saúde se programem para adequar toda a sua operação, a fim de evitarem riscos jurídicos, reputacionais e financeiros, além de penalidades administrativas previstas pela LGPD por meio da ANPD.

Não basta garantir a segurança da informação e a preservação do sigilo de dados de saúde. É necessário estruturar um Programa de Governança da Privacidade, alinhado com as estratégias e objetivos organizacionais e adequar juridicamente todas as relações estabelecidas que envolvam o tratamento de dados, sejam elas internas (colaboradores) ou externas (terceiros).

O compliance à privacidade, além de requisito legal, também pode impulsionar a competitividade e reputação da instituição, tendo em vista a natureza sensível das informações tratadas, além de transmitir mais confiança e segurança para o publico alvo e para o mercado. Desta forma, suas necessidades e impactos devem ser profundamente considerados com atenção nas estratégias corporativas na Saúde.

Gostaria de obter mais informações sobre o processo de adequação à legislação de proteção de dados e privacidade na área da saúde? Entre em contato com o nosso time: contato@nicolettiramos.com

SOBRE A AUTORA

Nathalia Nicoletti Ramos é advogada (OAB 446.435), sócia fundadora da consultoria jurídica NICOLETTI RAMOS, (DPO) Data Protection Officer certificada internacionalmente pela EXIN e Membro da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP.