A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) sedimenta o conceito que os dados pessoais compõem a personalidade dos indivíduos, razão pela qual precisam de ampla proteção e regulação, não podendo mais serem utilizados pelas instituições de forma indiscriminada para fins exclusivos de seus interesses. Com a sua vigência desde setembro, a adequação a lei tem impactado todas as relações de mercado. No setor da saúde não tem sido diferente. Pelo contrário! A nova lei trouxe uma classificação especial para os dados da saúde, considerando-os como dados sensíveis.
De acordo com a lei, os dados sensíveis somente poderão ser tratados se houver o consentimento do titular dos dados. Esse consentimento deve ser uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade específica. Além disso, o tratamento de dados mediante consentimento atrai a obrigação da observância aos seguintes direitos por parte do titular: livre acesso, revogação de consentimento ou até eliminação de dados a qualquer tempo.
Caso não haja o devido consentimento do titular, os dados sensíveis poderão ser tratados excepcionalmente para fins de: cumprimento de obrigação legal ou regulatória pelo controlador; políticas públicas; realização de estudos por órgão de pesquisa; exercício regular de direitos; proteção da vida ou incolumidade física do titular ou de terceiros; tutela da saúde; garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
A definição de quais dados são considerados sensíveis foi preconizada pelo próprio texto normativo e consiste em todo dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Os dados sensíveis, portanto, possuem importância elevada e precisam de maior proteção e segurança por parte de seus operadores, dado o seu alto valor econômico e impacto social se usados indiscriminadamente. Não por outro motivo, a própria lei trouxe a vedação às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, bem como na contratação e exclusão de beneficiários.
Neste sentido, sendo a atividade médica baseada no tratamento de dados referentes à saúde, o reforço das normas de segurança dentro de clínicas e hospitais se tornou prioridade e requer do gestor amplo conhecimento e assessoria para abranger as diversas relações estabelecidas: funcionários, parceiros, convênios, fornecedores, clientes, stakeholders etc.
Com efeito, segurança da informação não é uma novidade no mundo médico, pois o conceito existente do sigilo profissional já está intimamente relacionado à atividade. Entretanto, com a LGPD em voga, as medidas de mitigação de riscos ultrapassaram as meras perspectivas administrativas e se tornaram exigência legal.
Isso significa que a ocorrência de incidentes de vazamento de dados e informações médicas estão para além de eventual processo ético profissional dentro dos conselhos de medicina. Agora, com a LGPD, as clínicas e hospitais devem também se preocupar com as penalidades que a nova lei trouxe, como multas, bloqueios parciais e até totais da base de dados. Além disso, é preciso ainda considerar o efeito midiático que o incidente pode tomar, causando danos à imagem da empresa.
É certo que o perfil de consumo tem mudado nos últimos anos, o que reflete na qualidade da oferta de produtos e serviços. O conceito de qualidade está intrinsecamente ligado à entrega de valor: o produto ou o serviço precisa agregar para que o consumidor possa compartilhar sua experiência de consumo com a sociedade, demonstrando, através de sua aquisição, um traço de sua personalidade. Desta forma, as empresas são cobradas a terem uma imagem de credibilidade para não perderem espaço no mercado de consumo.
Some-se a isso as políticas de qualificação do setor da saúde suplementar, que tem exigido das operadoras de planos de saúde a adequação da rede credenciada às metas estabelecidas de conformidade, reforçando ainda mais a necessidade de hospitais e clínicas olharem com mais atenção esses novos movimentos e traçarem seus planos de adequação.
Nesta ordem de ideias, dentro da política de proteção de dados, podemos enumerar, pelo menos, cinco passos a serem inicialmente seguidos: 1) diagnóstico institucional para averiguar quais dados são tratados dentro do estabelecimento; 2) criação do programa de governança em proteção de dados; 3) elaboração e revisão de contratos e documentos utilizados para o exercício das atividades; 4) garantia do exercício dos direitos dos titulares e 5) treinamentos internos.
Obviamente que a conformidade com a lei de proteção de dados não se restringe ao cumprimento de etapas previamente estabelecidas que serão realizadas apenas uma vez dentro das instituições. Na verdade, o plano de adequação à LGPD é apenas o meio atual de se familiarizar com essa nova forma de fazer negócios, que é, sem dúvidas, muito mais que uma nova cultura, é um traço da atual geração.
Por Camilla Góes, advogada, Sócia-Diretora IGSA.
85 3066-5236