Quando entrou em vigor em setembro de 2020, com penalidades previstas desde agosto de 2021, a Lei Geral de Proteção de Dados (LGPD) passou a proteger de forma igualitária os dados pessoais de todo cidadão que esteja no Brasil, criando o respeito à privacidade das informações, evitando a comercialização e vazamento das mesmas.
Especificamente em seu artigo 5º, inciso II, a LGPD traz a definição de dados pessoais sensíveis (dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural), que englobam dados de saúde e demandam maior cautela quando do tratamento.
“O paciente, na maior parte das vezes, precisará autorizar o tratamento de seus dados pessoais, sendo essencial ter atenção com relação ao armazenamento e o compartilhamento dos dados pessoais. Ainda é necessário lembrar que o artigo 18 da LGPD traz os direitos aos titulares de dados pessoais como, por exemplo, acesso, correção e anonimização dos dados pessoais, e as instituições precisam estar aptas a permitir o exercício dos mencionados direitos. É importante destacar que, as mesmas regras se aplicarão para a telemedicina”, esclareceu a advogada e líder do núcleo de DPO (Data Protection Officer) do PG Advogados, Mariana Sbaite, em entrevista ao Portal de Notícias da PEBMED.
Desta maneira, a LGPD englobou toda a cadeia de prestadores de serviços: hospitais sendo fundamental a implementação do cuidado ao tratamento dos dados pessoais nesses ambientes Neste sentido, as instituições de saúde devem implantar políticas e processos internos, além de realizar treinamentos constantes para cada vez mais conscientizar seus colaboradores no que tange a legislação.
“A LGPD, principalmente na área da saúde, tornou mais transparente esse processo de tratamento e armazenamento dos dados para o indivíduo. Agora é possível saber por qual motivo e onde as informações obtidas estão sendo utilizadas, possibilitando uma segurança ainda maior para os dados, uma vez que as empresas só podem utilizá-los com o consentimento explícito do paciente e com a sua finalidade determinada”, destacou o CEO da True Auditoria, o consultor e auditor em saúde, Waldyr Ceciliano, em entrevista ao Portal de Notícias da PEBMED.
Laboratórios de análises clínicas
No caso específico do segmento de laboratórios de análises clínicas, a Resolução RDC 302/2005 e a LGPD se complementam, sendo importante fazer uma análise das duas normas para garantir a proteção dos dados pessoais como forma de segurança e amparo legal para as empresas do setor, para os profissionais de saúde e para o próprio cliente.
“É importante ressaltar que a RDC 302 determina que o armazenamento dos dados dos clientes seja feito de forma sigilosa por, pelo menos, cinco anos, obrigando os laboratórios de análises clínicas a arquivar os dados para manter um histórico de saúde do paciente. Isso é fundamental para apoiar o médico na conduta certa de suas avaliações, sendo um amparo legal para o profissional de saúde e o laboratório. Quando o cliente realiza um exame, é importante que ele e seu médico possam ver o histórico para as definições corretas de tratamento”, explicou a coordenadora da Qualidade do Laboratório São Paulo e biomédica, Priscila Duarte Costa.
O Laboratório São Paulo, por sua vez, está sendo assessorado e orientado por advogados que estão implantando as determinações da Lei de Proteção de Dados, sem que seja desrespeitada a RDC 302.
“Hoje, os pacientes nos fornecem diversos dados pessoais, que são compartilhados com a área técnica, com laboratórios parceiros e planos de saúde. Foi necessário verificar todos esses processos para garantir a segurança das informações dos nossos pacientes”, revelou a coordenadora de qualidade.
Necessidade de investimentos em segurança e treinamento
Realmente é necessário que as instituições de saúde sejam assessoradas por especialistas em privacidade e proteção de dados pessoais, assim como em segurança da informação.
“É imperioso a nomeação de um encarregado pelo Tratamento de Dados Pessoais (DPO) e verificar quais medidas são adotadas para manter a segurança das informações e preservar a privacidade dos titulares”, pontuou a advogada Mariana Sbaite.
No entanto, tratar dados pessoais sensíveis requer uma maior cautela durante todo o ciclo de vida dos dados. Logo, é necessário respeitar a finalidade do tratamento, utilizar o princípio da minimização, ter um programa de privacidade atuante e investir em segurança da informação é inevitável.
“É fundamental o investimento em sistemas tecnológicos de ponta para garantir a confidencialidade, fazer negócios somente com fornecedores que estão se adequando à LGPD, utilizar criptografia e evitar a utilização de aplicativos e redes sociais para troca de mensagens que envolvam dados pessoais sensíveis cooperam para a manutenção da segurança das informações”, enfatizou a líder do núcleo de DPO do PG Advogados.
Para o CCO da True Auditoria, Lucas Jacomassi Machado, é essencial também que as instituições de saúde auxiliem na análise das políticas e processos internos da instituição visando a adequação e a conscientização dos colaboradores quanto às questões abordadas pela LGPD.
“Outro ponto crucial é ter um planejamento traçado para os dados, com começo, meio e fim. Instituições de saúde devem priorizar o cuidado com os dados coletados de forma a mitigar riscos de vazamento das informações do paciente e expor as graves consequências para o indivíduo e para a instituição ao ter informações de seus clientes vazadas”, alertou Lucas Machado, em entrevista ao Portal de Notícias da PEBMED.
Na opinião do CIO da Kora Saúde, Alex Julian, contar com a ajuda de um profissional encarregado para cuidar das questões referentes à proteção de dados e com as orientações da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) são fatores críticos de sucesso na implementação dos controles e manutenção da Lei.
“Mais uma boa prática é a criação de um comitê técnico e jurídico internamente para apoiar toda aplicação da lei na instituição de saúde”, ressaltou Alex Julian, em entrevista ao Portal de Notícias da PEBMED.
Compartilhamento de dados
Os dados pessoais dos pacientes somente poderão ser compartilhados, sem o consentimento, quando necessários para o cumprimento de obrigação legal ou regulatória pelo controlador, para tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos, para realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis, para exercício regular de direitos, inclusive em contrato e em processo judicial e administrativo para proteção da vida ou da incolumidade física do titular ou de terceiros.
16 jan. 2024 
4 min. 
