LGPD na Saúde: saiba como proteger os dados pessoais sensíveis

A importância da LGPD na Saúde

A LGPD promoveu uma verdadeira revolução na área de proteção de dados pessoais e segurança da informação. Na Saúde, o seu impacto foi ainda maior, principalmente, em razão da necessidade de se ter um tratamento ainda mais cuidadoso por parte das clínicas, hospitais, laboratórios e operadoras de planos de saúde.

Por esse motivo, quando se fala de LGPD na Saúde é muito importante que os agentes de tratamento compreendam a sua responsabilidade durante todo o ciclo de vida dos dados pessoais. E, para isso, torna-se necessário entender que o principal protagonista para a LGPD não são os controladores de dados pessoais, mas o titular de dados pessoais, seja ele, por exemplo, um cliente de uma operadora de plano de saúde ou um paciente de uma clínica. O principal desafio, portanto, não é apenas adequar as organizações da área da Saúde às exigências da LGPD, mas, especialmente, aprimorar o  nível de cultura de tratamento de dados pessoais.

Sob essa ótica, a importância da LGPD na Saúde encontra-se, justamente, na tutela mais adequada dos dados pessoais dos seus titulares, o que, por óbvio, impõe uma séria de desafios às organizações, tais como o uso de softwares seguros, a implementação de controles de segurança da informação e o adequado mapeamento de riscos à privacidade.

A referida inovação legislativa, na realidade, constitui uma grande oportunidade para o setor da Saúde promover a implementação da LGPD, não apenas por meio da adoção das melhores práticas nacionais e internacionais, mas pela garantia de proteção dos direitos dos titulares. A LGPD, portanto, é um verdadeiro marco da governança em privacidade de dados, com vistas a incentivar o uso responsável dos dados pessoais e a preservar a confiança dos titulares de dados no setor de saúde.

Dados pessoais sensíveis na LGPD

Dado pessoal é qualquer informação que identifique ou que permita identificar uma pessoa, como, por exemplo, nome, CPF, e-mail, idade, foto ou profissão. Significa, em outras palavras, qualquer informação relacionada a pessoa natural identificada ou identificável.

Os dados pessoais sensíveis, por sua vez, dizem respeito a situações em que o seu tratamento pode, de alguma forma, implicar riscos aos seus titulares, seja pelo uso indevido ou, até mesmo, em razão de algum vazamento. Por essa razão, aliás, é que o legislador previu um regime jurídico diferenciado para esse tipo de dado pessoal.

De acordo com a LGPD, dados pessoais sensíveis são dados relativos a:

• Origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• Dado referente à saúde ou à vida sexual;
• Dado genético ou biométrico.

O Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR), do mesmo modo, assim discorre sobre os dados pessoais sensíveis em seu Considerando n. 51:

“Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais.” 

E ainda:

“Deverão incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não implicando o uso do termo «origem racial» no presente regulamento que a União aceite teorias que procuram determinar a existência de diferentes raças humanas.” 

Como se percebe, os dados pessoais sensíveis são especialmente suscetíveis de utilização para fins discriminatórios, o que levou a LGPD a tutelá-los de uma forma mais rigorosa.

LGPD na Saúde e Dados Pessoais Sensíveis: entenda a sua relação

Como demonstrado, a relação entre os dados pessoais sensíveis e a área da Saúde é intrínseca ao seu próprio funcionamento. Aliás, não há como seque pensar em segregá-las, uma vez que os dados pessoais são muito importantes para o próprio desenvolvimento do setor.

Sob essa ótica, a considerar a maneira pela qual o setor de saúde está organizado, milhares de operações de tratamento de dados sensíveis ocorrem diariamente, sendo consideradas essenciais para o bom funcionamento do setor.

Basta pensar no preenchimento da declaração de saúde pelo beneficiário, no compartilhamento de laudos de exames do titular de dados pessoais para a realização de procedimentos médicos, no compartilhamento de informações e exames de casos entre colegas médicos, para obtenção de outras opiniões e/ou diagnósticos mais acurados, etc.

Não se espera, assim, que essas operações deixem de ocorrer – e nem seria factível, mas apenas que se adapte algumas dessas práticas.

Um laboratório, por exemplo, não poderá, em regra, compartilhar com parceiros comerciais os dados dos exames de seus pacientes, assim como um hospital não poderá compartilhar os prontuários dos pacientes com seguradoras de vida (para que as seguradoras possam melhor avaliar a sinistralidade de um contrato), pois esses comportamentos não trazem, direta ou indiretamente, qualquer benefício aos seus titulares de dados.

Por esse motivo, inclusive, o § 5º do art. 11 expressamente proíbe as operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários (o que já era anteriormente vedado por normas regulamentares da Agência Nacional de Saúde Suplementar).

Em resumo: LGPD na Saúde e dados pessoais sensíveis são considerados dois lados da mesma moeda, de modo que devem ser sempre levados em consideração no momento de tratamento de dados pessoais.

LGPD para Clínicas de Saúde: cuidados especiais

Não é de hoje que as Clínicas de Saúde precisam ter cuidados especiais com o tratamento de dados pessoais dos seus pacientes. Com o advento da LGPD, contudo, há outros cuidados que precisam ser adicionados, principalmente, durante o cadastro dos pacientes, as consultas, a realização de exames, a abertura e o armazenamento dos prontuários de pacientes.

É que, como visto, a área da saúde trata não apenas dados pessoais, que permitem a identificação de um paciente (ex: nome, documentos pessoais, endereço, telefone, e-mail, etc), como, também, dados pessoais sensíveis relativos às informações de saúde de seus pacientes.

Por essa razão, sugerimos 3 cuidados especiais às Clínicas de Saúde:

• Evite armazenar dados pessoais em meio físico. Documentos e agendas em meio físico podem ser facilmente perdidos, subtraídos ou vistos por qualquer pessoa, dificultando, sobremaneira, a gestão adequada dos dados pessoais.
• Utilize sistemas informatizados seguros. O ideal é utilizar um sistema de gestão que permita o armazenamento seguro de todas essas informações, com a gestão do acesso individualizado a cada documento, por meio de senhas particulares e diferentes níveis de acesso. Se possível, utilize sistemas com padrão SBIS;
• Seja transparente com o titular de dados. As clínicas devem comunicar de forma clara, precisa, objetiva e completa, quais dados serão coletados dos pacientes, indicando os meios de coleta e a finalidade, como e onde estes dados serão armazenados, quem terá acesso a estes dados, e com quais partes estes dados serão compartilhados e o motivo do compartilhamento, bem como, as medidas técnicas e organizacionais que serão empregadas para garantir a segurança destes dados. Também é importante deixar claro quais são os direitos dos pacientes, e como podem ser exercidos.

LGPD para Operadoras de Saúde: impactos e desafios

Assim como as Clínicas, as Operadoras de Saúde também precisam estar em compliance com os requisitos da LGPD, uma vez que realizam um grande volume de tratamento de dados pessoais.

As operadoras de saúde podem utilizar os dados pessoais dos beneficiários para identificação (tais como nome, CPF, telefone, endereço, e-mail, etc) e, ainda, para prover os serviços da operadora, por exemplo, endereço para entregar o cartão do plano, enviar comunicações assistenciais de saúde, enviar o boleto de pagamento, para regularização de débitos e outras informações relativas ao contrato.

Além disso, os dados pessoais poderão ser utilizados, por exemplo, para identificar o beneficiário em atendimentos presenciais ou on-line, em uma consulta eletiva ou de urgência na rede de atendimento coberta pelo plano, para a entrega de resultados de exame, para fornecer laudos e relatórios, realizar transcrições de exames, validar guias, para autorizar consultas ou exames, e outros serviços.

Os desafios, portanto, não se restringem apenas à adequação das operadoras de saúde, mas, sim, à implementação da LGPD nas demais partes interessadas. É que pouco ou nada adianta falarmos em adequação das operadoras de saúde se toda a sua cadeia de valores não se encontra em conformidade com a legislação.

Em razão desse cenário, recomenda-se, no mínimo, a implementação dos seguintes planos de ação às operadoras de saúde:

• Revisão das Políticas de Privacidade e de Segurança da Informação;
• Realização do Mapeamento do Ciclo de Vida de Dados Pessoais;
• Levantamento dos Riscos de Não-Conformidade;
• Abertura de canal de comunicação facilitado, para que os titulares possam exercer os seus direitos;
• Realização de capacitação e treinamento de suas equipes, conscientizando seu quadro de profissionais, para que compreendam a importância e a responsabilidade em tratar os dados pessoais.

Entenda os principais riscos de não adequação à LGPD

As clínicas , hospitais, laboratórios, planos de saúde e consultórios precisam estar em conformidade com as normas da LGPD. O descumprimento das normas legais pode gerar, basicamente, 3 tipos de prejuízos:

• Prejuízo Financeiro: a Lei Geral de Proteção de Dados prevê sanções que variam desde uma simples advertência, passando por multas de 2% sobre o faturamento, podendo chegar até R$ 50 milhões (vale frisar que esse valor é calculado por infração). Ainda, de acordo com o art. 52 da LGPD, podem ocorrer penalidades diárias, a depender do tempo em que a empresa vem descumprindo a legislação.
• Prejuízo reputacional: o descumprimento da LGPD pode impor, ainda, um dano irreparável à imagem da empresa. De certa forma, ainda que seja de difícil mensuração, o prejuízo reputacional é extremamente gravoso para a organização.
• Prejuízo comercial: sem sombra de dúvidas, um histórico de problemas com a LGPD poderá prejudicar oportunidades de novas parcerias e o recebimento de investimentos importantes.

Para se evitar esses tipos de prejuízos, as organizações da área da saúde devem adotar boas práticas e processos específicos para o tratamento de dados sensíveis, tais como:

Programa de Governança em Privacidade: a melhor maneira de se evitar as sanções e multas da LGPD

A implementação de um bom Programa de Governança em Privacidade, certamente, é o melhor caminho para se prevenir sanções e multas da LGPD. E para, tanto, há 3 passos essenciais para implementar e colocar em prática a LGPD na sua empresa.

Primeiro Passo: entender o contexto da organização

Antes de mais nada, é preciso entender o contexto da organização, conhecer as principais partes interessadas, formar o time de privacidade e sensibilizar os colaboradores.

É que sem engajar a todos, a LGPD torna-se apenas mais uma ferramenta burocrática dentro da organização. E lembre-se: não há um modelo único, por isso é necessário ter visão acerca das principais obrigações de compliance que a empresa, mandatoriamente ou voluntariamente, precisa cumprir.

Nessa fase, por exemplo, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.

Não se esqueça, também, de ter bem clara a definição de papéis e responsabilidades, especialmente, em relação ao exercício da função de encarregado pelo tratamento de dados pessoais.

Segundo Passo: realizar a avaliação de riscos de compliance

Este passo vai exigir de você um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos ligados à proteção de dados pessoais e segurança da informação dentro da sua empresa.

A avaliação de riscos de compliance envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.

É nessa fase também que você deve fazer o mapeamento do ciclo de vida dos dados pessoais da sua organização, com o objetivo de entender como ocorre a coleta, o processamento e o arquivamento de dados pessoais dentro da sua empresa.

Como se percebe, este é um passo fundamental para o sucesso do compliance dentro da sua empresa.

Terceiro Passo: implementação dos planos de ação

O terceiro passo corresponde à implementação dos planos de ação levantados na etapa anterior. É chegada a hora de “botar a mão na massa”, para dar início à elaboração da Política de Privacidade, da Política de Segurança da Informação e à adequação dos processos e procedimentos relacionados.

Por fim, e não menos importante, você deve realizar treinamentos e capacitações a todas as partes interessadas, com o objetivo de engajar cada vez mais as pessoas responsáveis pelo dia-a-dia da sua empresa.

Conclusão

A implementação, e posterior aplicação da LGPD nos estabelecimentos de saúde, demanda a participação de profissionais especializados, com conhecimento e experiência na área da saúde, fazendo com que isso se torne um diferencial para que a empresa alcance melhores resultados e reduza riscos jurídicos. Não é tarefa fácil internalizar ou contratar uma consultoria em LGPD. Por isso, busque profissionais verdadeiramente capazes de apoiar a sua empresa nessa longa jornada! Este processo é essencial, assim como acertar o jackpot em uma caça níquel bônus grátis.