As instituições de saúde, sejam planos médicos, hospitais, clínicas ou laboratórios, recebem diariamente dezenas de informações de seus pacientes. E esses dados, que podem levar à identificação do portador e até mesmo à discriminação dele, são apontados como dados sensíveis. São detalhes sobre raça, convicções religiosas, detalhes genéticos, biométricos e qualquer outra informação que fale sobre a saúde daquele cidadão, como por exemplo o tipo sanguíneo, se ele tem alguma doença crônica ou se está em tratamento para alguma enfermidade.
Dessa forma, a Lei Geral de Proteção de Dados – nº 13.709/2018 (LGPD) (1), sancionada em agosto de 2018 e que segue sem uma data definida para entrar em vigor (a proposta inicial era de que a legislação passaria a valer em agosto deste ano, porém devido à pandemia ainda se discute no Congresso Nacional a possibilidade de adiamento da lei), tem um impacto muito grande na rotina das instituições de saúde, que precisaram se adaptar para que não sofressem as sanções previstas no texto da LGPD.
Elaborada com base na legislação europeia intitulada General Data Protection Regulation (GDPR) (2), a nossa LGPD promove mudanças no Marco Civil da Internet a fim de garantir o direito à privacidade. Para isso, obrigada toda e qualquer empresa brasileira – seja ela pública ou privada – a instituir um programa de governança de dados e elaborar processos que garantam a segurança dessas informações em todo o percurso que ela faz enquanto está sob seu domínio.
Na prática, isso significa que qualquer instituição de saúde que, por exemplo, colete a convicção religiosa daquele paciente – e isso é bastante comum visto que algumas percepções religiosas impedem, por exemplo, a doação de sangue e a medicina sempre respeita essas definições – torna-se responsável caso aquela informação vaze e seja utilizada de forma indevida e não autorizada pelo portador.
A fim de cumprir o que dita a Lei nº 13.709/2018, as instituições de saúde vêm, desde 2018, investindo em melhorias nos processos de coleta, tratamento e armazenamento dos dados de seus pacientes. Além de otimizar a segurança da informação minimizando o risco de vazamentos (e de ataques cibernéticos), essas empresas estão restringindo a quantidade de dados solicitada a cada atendimento. Dessa forma, somente os dados que são de fato indispensáveis para que o atendimento seja efetuado de forma completa e eficaz, são solicitados. Todos os outros são descartados.
Outra medida já adotada por muitas instituições está na solicitação de que o paciente preencha e assine um termo de consentimento, mostrando estar ciente de que determinadas informações são coletadas e para quais fins serão utilizadas.
Reforçando que o cidadão é quem detém o direito sobre todo dado pessoal, a LGPD também entrega, a ele, a chance de solicitar que toda e qualquer instituição – inclusive de saúde – delete qualquer dado seu que já tenha sido compartilhado. Porém, nesse caso, há outras legislações da saúde que devem ser observadas como, por exemplo, o Decreto nº 3.048/99 (3) que determina o arquivamento de atestados médicos por 10 anos; e a Resolução CFM nº 1.821/07 (4) que sugere o armazenamento, por 20 anos, de prontuários médicos. Nesse caso, subentende-se que prevalece o que determina a lei específica.
ANPD – A Lei Geral de Proteção de Dados considera, para regular, fiscalizar e praticar as punições referentes à nova legislação, a criação da Autoridade Nacional de Proteção de Dados (ANPD), que devido às intercorrências dos últimos meses ainda não foi estabelecida. É esse o órgão que traçará as principais diretrizes para que as empresas nacionais possam se basear.
Qual a perspectiva hoje – Com a pandemia de COVID-19, as prioridades em todos os setores mudaram. E deu-se início a um debate sobre adiar a entrada da lei em vigor. Assim, foi criada a MP nº 959/20 (5) que sugere que a LGPD entre em vigor em maio de 2021 e, também, o Projeto de Lei nº 1.179/20, já convertido na Lei nº 14.010/20 (6), que adia apenas a vigência das penalidades previstas na LGPD para agosto de 2021. Porém a MP segue aguardando análise tanto da Câmara quanto do Senado, deixando a situação indefinida.
Referências:
(1) Lei Geral de Proteção de Dados – nº 13.709/2018 (LGPD)
(2) General Data Protection Regulation (GDPR)
Materiais Científicos
Notícias
Eventos
