Português
A Lei Geral de Proteção de Dados (LGPD), de maneira geral, busca aumentar a segurança das informações de todo usuário de internet bem como eliminar o compartilhamento de seus dados sem autorização.
Com a ampliação da telemedicina, o consultório ou entidade médica tem a obrigação legal de seguir às normas da LGPD. Por exemplo, é imprescindível que a troca de dados, consultas on-line e envio de exames para laudo ocorram em ambiente confiável e seguro.
Por isso, vamos explicar neste artigo como funciona a LGPD na saúde e como fazer para seguir corretamente a nova lei e não se sujeitar a multas futuras.
LGPD na saúde
Na saúde, a LGPD regulamenta como os dados dos pacientes devem ser manuseados no Brasil. A lei separou estes dados em quatro categorias:
I. Dados pessoais – nome, RG, CPF, gênero, data e local de nascimento, filiação, telefone, endereço residencial, cartão ou dados bancários;
II. Dados sensíveis – origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III. Dados anonimizados: titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
E nomeia as seguintes figuras no sistema de atendimento em saúde:
Agentes
V. – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI. – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII. – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII. – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Fundamento
A disciplina da proteção de dados pessoais tem como fundamentos:
I. – o respeito à privacidade;
II. – a autodeterminação informativa;
III. – a liberdade de expressão, de informação, de comunicação e de opinião;
IV. – a inviolabilidade da intimidade, da honra e da imagem;
V. – o desenvolvimento econômico e tecnológico e a inovação;
VI. – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII. – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Cenário
A lei aplica-se nestes seguintes cenários:
I. – a operação de tratamento seja realizada no território nacional;
II. – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III. – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Tratamento
O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I. – mediante o fornecimento de consentimento pelo titular;
II. – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III. – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV. – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V. – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI. – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII. – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII. – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX. – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X. – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
LGPD na saúde – punições
Os agentes de tratamento (controlador, operador e encarregado) que violarem as normas podem responder legalmente à Autoridade Nacional de Proteção de Dados (ANPD). As punições previstas em lei são:
I. – advertência, com indicação de prazo para adoção de medidas corretivas;
II. – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III. – multa diária, observado o limite total a que se refere o inciso II;
IV. – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V. – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI. – eliminação dos dados pessoais a que se refere a infração.
Os dados usados para fins não econômicos, acadêmicos, jornalísticos e os coletados por agentes da segurança pública ou da defesa nacional não estão sujeitos às punições da LGPD.
LGPD na saúde – como se adequar?
Como vimos, as multas da LGPD podem alcançar um valor muito alto por infração. Além disso, a publicização da infração, que é a transferência da gestão de serviços para o setor público não-estatal, pode provocar a perda de credibilidade do médico.
Neste sentido, é fundamental atender às normas da LGPD na saúde. Para isso, você pode:
- Solicitar ao paciente uma permissão formal de uso e armazenamento de dados pessoais, deixando claro quais são essas informações. Isso pode ser feito através do Termo de Consentimento Livre e Esclarecido (TCLE);
- Permitir que o paciente altere, corrija ou exclua seus dados pessoais, desde que não afete as informações médicas;
- Mapear o processo de tratamento de dados dentro da sua clínica e identificar quais são os riscos;
- Treinar a equipe sobre a LGPD na saúde;
- Nomear um encarregado.
Além disso, invista em sistemas de telemedicina e softwares médicos. Na hora de escolher, leve em consideração alguns fatores: o atendimento integral à LGPD, armazenamento em nuvem e criptografia de documentos, dentre outros.
Revisado por Paulo Schor, médico oftalmologista, professor livre docente e diretor de inovação da Universidade Federal de São Paulo (Unifesp) e colaborador da Faculdade de Medicina do Hospital Albert Einstein.
Acompanhe o blog da Phelcom e fique por dentro das principais novidades sobre LGPD na saúde.
