Bárbara Maestri Mamprim
A Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), na esteira de legislações similares hoje presente em quase 150 países, reconhece a relevância da informação pessoal para o indivíduo e a sociedade, proporcionando a este, ferramentas e estruturas para que possa controlar o uso de seus dados com maior transparência e eficiência e, àquela, condições para que os dados pessoais possam ser legitimamente utilizados em um ambiente de confiança.
A LGPD determina o perfil a ser adotado para os tratamentos de dados pessoais em todos os setores, estabelecendo conceitos e instrumentos que estarão presentes em toda a discussão sobre a matéria.
Nesse cenário, a área da saúde, por tratar dados sensíveis, é fortemente impactada pela LGPD, visto que a lei determina regras mais rígidas para o tratamento desses dados e busca garantir mais segurança e transparência aos pacientes (titulares).
O dado pessoal sensível é conceituado na lei como uma categoria especial de dados pessoais, que, ante a possibilidade de ser utilizado para fins discriminatórios, está sujeito a regras mais rigorosas para seu tratamento. Os dados pessoais sensíveis são os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Outro aspecto que demanda atenção é o fato de que o setor da saúde, há algum tempo e cada vez mais, tem buscado a adoção de diversas ferramentas tecnológicas, servindo-se da Inteligência Artificial e do Big Data, por exemplo, para avançar em pesquisas, reduzir custos de tratamento, prever epidemias e aumentar a eficiência do atendimento, processos esses que intensificam ainda mais o tratamento de dados pessoais.
Inegável, portanto, a necessidade do setor de saúde, que já dispõe de uma série de regulações e normas setoriais próprias também envolvendo o sigilo e confidencialidade das informações dos pacientes e usuários do sistema de saúde, de se atentar para a privacidade e proteção de dados pessoais dos titulares, conforme regramento trazido pela Lei Geral de Proteção de Dados Pessoais.
Apenas a título exemplificativo, listamos alguns momentos em que os dados pessoais são tratados nesse ecossistema da saúde:
• Precificação de planos e seguros de saúde;
• Atendimento de pacientes;
• Hospitais
• Laboratórios;
• Telemedicina;
• Pesquisas Clínicas;
• Farmácias.
Importante se ter em mente que além dos dados pessoais dos pacientes e demais usuários dos serviços de saúde, todas as instituições e empresas, sejam elas públicas ou privadas, também deverão se preocupar com os dados pessoais de seus colaboradores (médicos, enfermeiros, terapeutas, atendentes).
Frente a estes pontos, a dúvida dos prestadores de serviços da área da saúde ainda é muito grande. O que posso fazer? Como fazer? Quais limites devo colocar em meus colaborares? Devo solicitar o consentimento para todo tratamento de dados pessoais de meus pacientes?
A LGPD impõe às empresas mudança de postura por parte de todos os seus integrantes. Para tanto, é necessário que se crie uma estrutura de governança em proteção de dados pessoais, com a distribuição de responsabilidades internas de controle para aqueles que farão a sustentação do programa de governança.
Além disso, deverá haver treinamento dos colaboradores para que se mantenham sempre cientes e diligentes com as regras e procedimentos da organização. A eficácia de um programa de governança em proteção de dados pode ser inteiramente comprometida caso a cultura de privacidade da empresa não seja disseminada entre os colaboradores, que deverão estar comprometidos e alinhados com o cumprimento de todo o programa de privacidade da empresa.
A Lei determina que Controladores e Operadores tenham registro de suas operações de tratamento de dados pessoais. Essa não é uma tarefa fácil, mas é um ponto de partida para que a empresa possa realizar um processo de autoconhecimento a respeito das suas atividades que envolvem o tratamento de dados pessoais. Assim, será necessário primeiramente realizar o chamado data mapping, em que é necessário constar todo o ciclo de vida dos dados pessoais naquele processo, desde a sua origem, passando por eventuais compartilhamentos, transferência internacional, até o seu descarte. Feito o mapeamento será possível verificar excessos no tratamento do dado pessoal, estabelecer com quais empresas há o compartilhamento de dados, identificar se as finalidades da atividade são eventualmente genéricas ou discriminatórias, adequar as bases legais e verificar quais operações podem implicar maiores riscos à empresa em razão das suas finalidades, contexto e dados envolvidos.
Ultrapassada esta etapa e conhecendo todas as vulnerabilidades da empresa, é hora de criar a estrutura de governança que vai sustentar o programa de privacidade da empresa.
No caso de empresas de saúde, pelo contexto de suas atividades, importante que se empenhem no processo de conformidade para além do necessário ao atendimento à LGPD, o que pode servir até mesmo como diferencial de mercado.
As empresas devem criar políticas de proteção de dados que deverão conter todos os pilares da governança a ser implementada na organização. Avisos de privacidade também deverão ser criados com linguagem clara e acessível, como instrumento de transparência ao titular dos dados pessoais, para que esse possa se informar a respeito da operação de tratamento dos seus dados pessoais, além de reconhecer seus direitos.
Com relação ao exercício dos direitos dos titulares, é necessário que a empresa crie mecanismos internos e canais próprios para garantir aos seus consumidores, terceiros e colaboradores o exercício dos seus direitos.
Outra questão que deverá ser considerada é a gestão dos terceiros com quem a empresa compartilhe dados pessoais. Nesses casos, deverá haver a adequação contratual para prever direitos, obrigações e responsabilidades, sempre observando a posição da empresa na relação, se Controladora ou Operadora.
Por fim, indispensável que a empresa indique quem será o Encarregado pela Proteção de Dados Pessoais, aquele profissional (ou uma pessoa jurídica) responsável pela interface entre a empresa, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados.
Nesse sentido a LGPD em que pese desafiadora para implementação, constitui uma grande oportunidade para o setor, de desenvolver melhores práticas de segurança e governança de dados, garantindo os direitos previstos no referido diploma legal, ao mesmo tempo em que possibilita debater as suas especificidades como um setor amplamente regulado, dependente do fluxo de dados em toda a cadeia de operadores de saúde e ainda marcado por um altíssimo grau de inovação.
