Como a nova Lei de Proteção de Dados (LGPD) afeta a área da saúde

por Assis e Mendes | mar 26, 2019 | Direito digital, Direito Empresarial

A Lei Ger­al de Pro­teção de Dados (LGPD) vai obri­gar muitas empre­sas a mudarem a for­ma como recol­hem e tratam as infor­mações pes­soais de seus clientes, e isso inclui muitos negó­cios na área da saúde. 

Hos­pi­tais, far­má­cias, prove­do­ras de planos de saúde e out­ras empre­sas do seg­men­to tam­bém pre­cisam faz­er alguns ajustes para estar em con­formi­dade com a nova leg­is­lação ain­da esse ano. 

Ape­sar de a LGPD só entrar em vig­or em 2020, muitas com­pan­hias do seg­men­to já estão pre­ven­do os efeitos pos­i­tivos e neg­a­tivos que as suas deter­mi­nações podem causar. 

A seguir, vamos enten­der mel­hor como a área da saúde está lig­a­da à pro­teção de dados e como este setor será impacta­do pela nova lei.

Empresas do setor de saúde e os dados sensíveis

Os prin­ci­pais con­fli­tos que devem sur­gir depois da imple­men­tação da LGPD estão lig­a­dos ao fato de as empre­sas de saúde cap­taram e lidarem diari­a­mente com dados pes­soais sen­síveis.

Chamamos de dados sen­síveis todas as infor­mações extrema­mente ínti­mas que, se expostas ou uti­lizadas de for­ma inde­v­i­da, podem traz­er pre­juí­zos para o tit­u­lar. Nes­sa cat­e­go­ria cabem infor­mações sobre ori­en­tação sex­u­al, prefer­ên­cia políti­ca, religião, conexão com sindi­catos e, tam­bém, todo dado lig­a­do à saúde do consumidor. 

Esse tipo de infor­mação deve ser manip­u­la­da com uma redo­bra­da atenção, uma vez que se tra­ta de um dado bas­tante par­tic­u­lar e seu vaza­men­to ou mau uso pode causar con­strang­i­men­to, humil­hação e out­ras con­se­quên­cias para o titular. 

A vulnerabilidades no setor de TI

Talvez você este­ja pen­san­do que, ain­da que as infor­mações rel­a­ti­vas à saúde sejam con­sid­er­adas sen­síveis, ninguém teria inter­esse nelas. Esse pen­sa­men­to, infe­liz­mente, está equiv­o­ca­do. Vaza­men­tos de dados têm se tor­na­do comuns em várias áreas, incluin­do no setor de saúde. 

Um bom exem­p­lo dis­so acon­te­ceu em começo de 2018, quan­do foi detec­ta­do que o aplica­ti­vo E‑Saúde tin­ha uma brecha que per­mi­tia que out­ros usuários con­sul­tassem infor­mações pes­soais da saúde de brasileiros. 

Dados como históri­co de con­sul­tas, medica­men­tos reti­ra­dos no Sis­tema Úni­co de Saúde (SUS) e agen­da­men­to de con­sul­tas médi­cas pode­ri­am ser aces­sa­dos facil­mente. Impor­tante fris­ar: o app é de pro­priedade do Min­istério da Saúde. 

Ago­ra imag­ine que você está em um proces­so sele­ti­vo para atu­ar em uma empre­sa que sem­pre admirou e desco­briu que pre­cisa tratar uma doença rel­a­ti­va­mente grave, mas que não vai impos­si­bil­itá-lo de tra­bal­har. Se os seus dados vazarem e chegarem até o con­tratante, você pode­ria acabar per­den­do a opor­tu­nidade sem nem ter a chance de se explicar. 

Vaza­men­tos dessa natureza ain­da podem abrir espaço para vários tipos de crimes. Em 2017 hos­pi­tais públi­cos e pri­va­dos de Minas Gerais vazaram infor­mações sobre as condições de diver­sos pacientes. Em posse dess­es dados, crim­i­nosos começaram a pedir din­heiro para as famílias dos pacientes, afir­man­do que o val­or seria des­ti­na­do a com­pra de remé­dios e trata­men­tos urgentes. 

Casos como ess­es demon­stram que ain­da há um lon­go cam­in­ho no que diz respeito a cor­ri­gir vul­ner­a­bil­i­dades no setor de TI das empre­sas na área de saúde. E elas terão que cor­rer con­tra o tem­po para faz­er ess­es ajustes antes de agos­to de 2020. 

LGPD  e empresas de saúde 

De for­ma ger­al, a LGPD deter­mi­na que as empre­sas só podem cap­tar infor­mações de seus usuários quan­do eles con­sen­tirem. Porém, exis­tem algu­mas exceções a essa regra, e uma delas con­tem­pla a área da saúde. 

O art. 11 da Lei Ger­al de Pro­teção de Dados deixa claro que o trata­men­to de dados pes­soais sen­síveis pode ser feito sem a autor­iza­ção do tit­u­lar se for para asse­gu­rar a “tutela da saúde, em pro­ced­i­men­to real­iza­do por profis­sion­ais da área da saúde ou por enti­dades sanitárias”. 

O pará­grafo 4º do mes­mo arti­go tam­bém foi muda­do recen­te­mente pela medi­da pro­visória 869/18 e parece facil­i­tar um pouco a oper­ação das empre­sas de saúde. O tex­to anti­go afir­ma­va que as com­pan­hias do setor só pode­ri­am tro­car infor­mações em caso de porta­bil­i­dade, ou seja, quan­do o tit­u­lar pedia que os dados fos­sem envi­a­dos para out­ra empresa. 

Com o ajuste da medi­da pro­visória, além dos casos de porta­bil­i­dade, a tro­ca de dados com out­ras empre­sas tam­bém pas­sa a ser legal caso haja “neces­si­dade de comu­ni­cação para a ade­qua­da prestação de serviços de saúde suple­men­tar”. Essa pre­mis­sa abre espaço para que, além de col­her dados sem a autor­iza­ção dos usuários as empre­sas de saúde tam­bém os com­par­til­hem com out­ras com­pan­hias do seg­men­to se hou­ver necessidade. 

Como as empresas de saúde devem se adequar a LGPD

Ape­sar das aparentes “facil­i­dades” con­ce­di­das para que as empre­sas de saúde lidem com os dados pes­soais dos brasileiros, elas tam­bém terão que faz­er várias adap­tações em seus pro­ced­i­men­tos. Além de otimizar os seus sis­temas de segu­rança, como já foi cita­do ante­ri­or­mente, pode ser necessário: 

• Cri­ar pro­to­co­los de infor­mação e transparên­cia: as empre­sas de saúde só podem cap­tar dados sem autor­iza­ção em alguns casos especí­fi­cos. Do con­trário, devem obe­de­cer os pilares da LGPD: pedir per­mis­são do tit­u­lar para o recol­hi­men­to de infor­mações e indicar como e com qual final­i­dade elas serão usadas. Para isso, é impor­tante cri­ar uma cul­tura orga­ni­za­cional em que todos os colab­o­radores este­jam por den­tro das regras de pro­teção de dados, sigam pro­ced­i­men­tos especí­fi­cos em sua cole­ta e trata­men­to e ter sis­temas que per­mi­tam a edição ou exclusão dos dados, se necessário.

• Con­sid­er­ar a con­tratação de um DPO: como lidam com um grande vol­ume de dados, hos­pi­tais, segu­rado­ras e far­má­cias devem con­sid­er­ar a con­tratação de um DPO. Esse profis­sion­al vai garan­tir que as boas práti­cas de pro­teção de dados sejam seguidas e fará a medi­ação entre os inter­ess­es do con­tro­lador e dos titulares. 

• Definir pro­ced­i­men­tos de vaza­men­to: é impor­tante que as empre­sas da área de saúde criem um plano de gestão de crise caso haja vaza­men­to. O ide­al é entrar em con­ta­to com os pacientes afe­ta­dos o quan­to antes e abrir uma sindicân­cia para inves­ti­gar e cor­ri­gir a fal­ha o quan­to antes – evi­tan­do que novas que­bras de sig­i­lo aconteçam. 

Além dess­es pon­tos, é fun­da­men­tal que as empre­sas de saúde con­tem com uma boa asses­so­ria jurídi­ca. Advo­ga­dos espe­cial­iza­dos em Dire­ito Dig­i­tal e pro­teção de dados devem aux­il­iá-las na ade­quação de proces­sos para que eles este­jam em com­pli­ance com a LGPD. 

Se sua empre­sa tam­bém pre­cisa de apoio para estar em dia com a nova leg­is­lação, não deixe para a últi­ma hora! Entre já em con­ta­to com os advo­ga­dos da Assis e Mendes!