LGPD é a sigla adotada para designar a Lei Geral de Proteção de Dados (Lei nº 13.709/18, com redação dada pela Lei nº 13.853/2019).
Como o próprio nome diz, essa lei trata sobre a proteção de dados pessoais e virtuais fornecidos pela pessoa (titular dos dados).
Mas o que são dados pessoais? Nome, idade, endereço residencial, número de telefone, e-mail, dados de localização, IP do usuário, dados biométricos, dados bancários, e qualquer outra informação referente a pessoa física.
Mas o consultório médico deve obedecer a Lei? Sim. A Lei nº 13.709/2018 (LGPD), se aplica a todas as empresas que realizem o tratamento de dados de pessoas físicas, independente da sua finalidade lucrativa.
O setor da saúde, por sua própria natureza, coleta uma grande quantidade de dados pessoais para prestar serviços aos pacientes, por tratar diariamente de dados altamente sensíveis relacionados aos prontuários dos seus pacientes. Sendo necessário cuidar de como, onde e de que forma suas informações ficam armazenadas e se há consentimento deles nos casos que a lei exige.
Os dados de saúde são considerados sensíveis pela legislação vigente e, por esta razão, exigem um tratamento rigoroso, com penalidades mais severas em caso de incidente de segurança e vazamento de dados.
De acordo com o artigo 5º, II, da LGPD, os dados sensíveis são todos aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política. Filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Por esta razão a coleta de dados por consultórios médicos precisam de um propósito específico, útil e compatível com a finalidade do serviço médico. É seguro afirmar que grande parte dos dados acessíveis clínicas médicas estão inseridos nesta categoria de dados sensíveis.
Quando falamos em consultas, exames, diagnósticos é importante reforçar a necessidade do consentimento do titular (paciente). Os dados de pacientes só poderão ser coletados e armazenados após autorização prévia deles. Isso é válido tanto para fichas e prontuários em meio físico e digital.
Um médico tirou a foto de um paciente para discutir o caso com um colega, mas por um acidente, esta foto foi publicada em um grupo de whatsapp, isto já configura vazamento de dados.
Os consultórios médicos deverão adotar novas medidas: elaboração de um plano de proteção à privacidade; investimento em recursos para a proteção de dados; promoção de treinamento de colaboradores e funcionários; contratação de empresas confiáveis de segurança de dados; estabelecimento de uma política de segurança transparente e promover a nomeação de uma pessoa responsável no consultório médico pelo tratamento dos dados pessoais (Encarregado de Proteção de Dados/DPO).
É preciso estabelecer as medidas de controle e segurança de banco de dados, assim como a sistematização da proteção como instrumento para mitigar riscos de violação, com o intuito de proteger as informações constantes nos prontuários dos pacientes para que não sejam capturados por invasão de “ hackers” ou impedir o vazamento de dados.
Os consultórios médicos que não cumprirem as normas estabelecidas pela LGPD podem receber punições que variam conforme a gravidade da infração. As multas podem chegar até R$ 50 milhões, e, em casos mais graves, a corporação pode ter o banco de dados bloqueado ou suas atividades suspensas, parcial ou totalmente. As multas terão como marco inicial agosto de 2021.
Qualquer pessoa que se sinta exposta ou que tenha seus dados utilizados de forma equivocada pode recorrer à justiça.
Garantir a segurança jurídica e estabelecer regras de coleta, armazenamento e compartilhamento dos dados, é fundamental para a continuidade do modelo de negócio da empresa.
Renata Paula Ferreira, OAB/SC 53.310, advogada responsável pela área de LGPD do Escritório de Advocacia Giovani Duarte Oliveira.