O setor da saúde é regulado por uma diversidade de regramentos próprios de cada nicho (Médicos, farmácias, hospitais, odontologistas, enfermeiros, entre outros segmentos) – inclusive com termos e consentimentos para garantia do sigilo, da confidencialidade e da transparência.
Todavia, essas disposições não afastam a aplicabilidade da Lei Geral de Proteção de Dados (LGPD) na saúde, a qual precisa ser rigorosamente observada e cumprida.
A seguir vamos ver mais a respeito da necessidade de adequação a LGPD, o consentimento dos Titulares e alguns aspectos importantes dessa lei. Continue acompanhando.
LGPD na saúde: uma visão para o setor em 2023
Neste ano de 2023, ainda estamos discutindo sobre os desafios da aplicabilidade da proteção de dados no setor de saúde como um todo, visto a resistência de algumas áreas deste setor ao cumprimento da LGPD – Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018.
Como vimos acima, o setor da saúde, além do tratamento de dados pessoais comuns, lida principalmente com dados sensíveis, que podem acarretar graves danos aos titulares que tenham suas informações divulgadas de forma irregular (Vazamento de Dados).
A exposição de dados relacionados à saúde pode revelar enfermidades ou condições que seus titulares não desejam tornar públicas e causar muitos transtornos.
Vejamos o exemplo: Em maio de 2023, a prefeitura de Barueri/SP foi condenada a indenizar em R$ 20 mil, por danos morais, paciente portador de HIV que teve os dados médicos vazados no portal de saúde do município e que os colegas de trabalho tiveram conhecimento através de simples pesquisa.
Desembargadora Heloísa Martins Mimessi, relatora do caso, entendeu que o município não cumpriu com as regras relativas à proteção de dados e ao segredo de informação, já que com apenas a inserção de um número de CPF e da data de nascimento foi possível ter acesso a todo o prontuário médico do paciente, revelando que é portador do vírus HIV, fato que gerou situação degradante e embaraçosa no ambiente de trabalho pela desinformação e rótulos de seus colegas, pois os dados estavam expostos no portal da saúde da prefeitura.
À vista da proteção constitucional ao direito à intimidade, independentemente de ser ou não estigmatizada a doença, a divulgação das condições de saúde sem autorização do paciente já é causa eficiente de reparação por danos morais, pelo fato de os dados médicos do paciente terem sido disponibilizados à publicidade no site do município.
Houve violação de sua privacidade e os seus dados não foram resguardados conforme determinam a LGPD e a Constituição Federal – lembrando que, no ano de 2022, o Direito à Proteção dos Dados Pessoais passou a ser um direito fundamental garantido pela nossa Constituição.
Quando um dado pessoal é informado nasce uma relação entre as partes, que gera direitos e obrigações, por isso o setor da saúde precisa estar adequado às disposições que a lei impõe. Essa conformidade com a lei deve ocorrer o quanto antes, pois a lei vigora e as penalidades na esfera judicial já estão sendo aplicadas.
A proteção de dados pessoais de saúde
A Lei Geral de Proteção de Dados – LGPD, nº 13.709, surgiu com o propósito de garantir a privacidade de dados pessoais e regular maior controle sobre eles. A nova lei entrou em vigor em agosto de 2020. Em agosto de 2021 a Autoridade Nacional de Proteção de Dados – ANPD, inicia o processo de fiscalização, prazo este que todas as empresas precisam estar adequadas à lei.
A finalidade da LGPD é proteger os Direitos Fundamentais de Liberdade, Personalidade e de Privacidade. Dessa forma, regulamentando e consolidando direitos e princípios já previstos na Constituição, Código Civil e do Consumidor e em regras de guarda de sigilo profissional de códigos deontológicos (conjunto de normas de comportamento que deverão ser seguidas pelos profissionais que pertencem a um determinado setor ou área de atividade).
A LGPD afetará a rotina de administradores e gestores de clínicas hospitais, uma vez que cria a figura do operador e controlador de dados, que ficarão responsáveis pela guarda e sigilo de informação dos pacientes pela criação da função do Encarregado pelo Tratamento de Dados Pessoais, internacionalmente conhecido como Data Protection Officer (DPO), que tem que assegurar que a organização esteja em conformidade com a LGPD, recomendando boa práticas de tratamento e proteção de dados dos Titulares, além de atuar como canal de comunicação entre a Organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). – Art. 5º, VIII, da Lei n.º 13.709/2018.
Quer saber como adequar sua organização a LGPD? Clique aqui e conheça nossa Consultoria de Adequação a LGPD.
A finalidade da LGPD para o setor de saúde
Além disso, a lei revela que é vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados.
Com tudo isso, vemos que é uma legislação que exige evidências, justificativas e muita documentação.
Embora seja elaborada para a realidade digital, a lei alcança os meios não digitais – registros e prontuários físicos.
Na prática, o que deverá ser implementado por profissionais e organizações de saúde é a adequação e conformidade. Ou seja, deverão ser implementados registros, procedimentos, protocolos, sistemas e rotinas capazes de assegurar o devido cumprimento da lei.
Diferença entre dado pessoal e dado pessoal sensível de saúde
Dados pessoais para a LGPD são aqueles relativos a uma pessoa natural (podendo ser chamada de pessoa física) . Ou seja, o conjunto de atributos que são próprios da personalidade de cada um – nome, endereço, telefone e outros. Os quais, ao serem colhidos, tratados ou transmitidos, são capazes de individualizar e identificar seu titular.
Além dos dados pessoais, há ainda, no que tange à prestação dos serviços de saúde, os dados considerados sensíveis – dados pessoais de origem racial ou étnica, convicção religiosa, referente à saúde ou à vida sexual, genético ou biométrico, vinculados ou capazes de serem vinculados a uma pessoa – que são revelados pelo próprio paciente ou por familiares, ou advêm da observação clínica do profissional ou de exame diagnóstico e decorre diretamente da relação de natureza profissional estabelecida.
O tratamento dos dados pessoais e o tratamento dos dados pessoais sensíveis na assistência de saúde são abordados de maneiras diferentes pela Lei.
A medicina, a odontologia, a enfermagem e a gama multidisciplinar de profissionais, juntamente com as organizações de saúde (públicas ou privadas) lidam diariamente com um conjunto enorme de dados sensíveis de pacientes. Sendo assim, toda informação, seja de natureza diagnóstica ou terapêutica, desde que colhida nesses contextos, são consideradas dados de saúde, cabendo aos profissionais e organizações do setor zelar pelos dados de seus pacientes e buscar a conformidade necessária para o adequado tratamento desses dados.
A titularidade dos dados de saúde
É importante ressaltar que tais dados são revelados por seu titular – que busca cuidados de saúde – aos profissionais e organizações, em razão da busca por uma solução terapêutica.
Ou seja, em busca de assistência o paciente permite/autoriza a intromissão na sua privacidade. Deste modo, os dados de saúde são propriedade de seu titular, o paciente e, diferentemente do que se entendia no passado, a titularidade da informação de saúde não é do profissional ou da organização de saúde.
A obtenção, tratamento, transmissão e descarte dos dados pessoais de saúde dos pacientes, trata-se apenas de uma autorização legal de acesso justificado que decorre do dever de prestação de assistência e, é limitado pela obrigação de guarda e sigilo.
A obrigatoriedade do consentimento informacional
Um ponto importante a respeito do setor da saúde e o consentimento na LGPD é que o setor não está obrigado a ter o consentimento em todas as situações de tratamento de dados (são as hipóteses de exceção tratadas principalmente nos artigos 7º, 10º e 11º).
Mas neste quesito, “os fins não justificam os meios”, mesmo na causa da saúde, houve alteração na redação final do artigo 7º, inciso VIII, no qual ficou destacado que tutela da saúde é exclusivamente procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
O consentimento do paciente em relação aos dados pessoais – nome, endereço, telefone e outros- deve ser obtido por escrito e, deve constar no termo para qual finalidade se presta, apenas quando existe o compartilhamento de informações com outras redes e parceiros (outra clínica, hospitais, ou instituições do mesmo grupo, planos de saúde, seguradoras etc.). Se não houver compartilhamento de dados, seguiremos com o tratamento de dados conforme descrito no artigo 7º, inciso VIII.
A regra geral é a de vedação do tratamento de dados pessoais sem o expresso consentimento do titular ou de seu responsável. Sendo assim, o profissional e/ou organização deve formalizar por escrito o Termo de Consentimento Informacional a fim de se evitar erros e vícios da manifestação de vontade.
Ainda assim e levando em conta a ampla gama de profissionais em atuação no setor de saúde (recepção, segurança, administradores, gestores de clínicas e hospitais), é importante definir no termo assinado pelo paciente, por exemplo, se a permissão concedida é referente exclusivamente a procedimentos realizados por médicos e auxiliares da saúde, ou se por demais prestadores de serviços envolvidos nas atividades, como funcionários administrativos e terceirizados.
Para ver um exemplo de Termo de Consentimento Informacional, basta preencher o formulário abaixo:
Hipótese de dispensa do consentimento informacional
Contudo, com o objetivo de não inviabilizar o mercado de assistência à saúde, a lei determinou exceções à obrigatoriedade da obtenção do consentimento. Podendo este ser dispensado em relação aos dados pessoais sensíveis para a tutela da saúde do titular, exclusivamente, em procedimento realizado pelos profissionais de saúde, serviços de saúde ou autoridade sanitária.
Significa dizer que, no âmbito da assistência em saúde, aquelas prestadas tão somente por profissionais da área, a assinatura do consentimento do titular para o tratamento de seus dados pessoais de saúde não é essencial à prestação do serviço.
Do ponto de vista constitucional e da LGPD, o direito à vida e à integridade física sobrepõe-se à vontade do titular consentir ou não. Logo, o profissional possui o dever de prestar a assistência, independentemente da assinatura do consentimento.
A recusa de assinatura do termo de consentimento informacional pelo paciente
Do mesmo modo, não é raro que o paciente se recuse a assinar o Termo de Consentimento Informacional relativo ao tratamento de dados pessoais. Nesses casos, recomenda-se fortemente fazer constar por escrito nos registros a impossibilidade da obtenção do consentimento pela negativa do titular.
De qualquer modo, mesmo nos casos em que o consentimento não é necessário, clínicas e hospitais estão obrigadas a informar aos pacientes sobre a forma como os seus dados serão recolhidos e tratados. Recomenda-se que o profissional, hospital ou clínica, elabore uma declaração escrita, assinada pelo paciente que se limite a informar que tomou conhecimento das informações.
Sigilo profissional, regras deontológicas e códigos jurídicos
O conceito de proteção à privacidade e sigilo dos pacientes não é novo e sempre esteve no núcleo central das regras deontológicas. Faz parte, inclusive, do juramento de Hipócrates para os médicos e dentistas e de Nightingale para a enfermagem. Esses princípios também se encontram presentes na Constituição Federal, no Código Civil e de Defesa do Consumidor e em princípios éticos e da bioética.
A Lei Geral de Proteção de Dados regulamenta que profissionais e organizações de saúde estão obrigados a guardar as informações de seus pacientes em segredo, proibindo o uso e compartilhamento com o objetivo de obter vantagem econômica, prestigiando a natureza privada das informações pessoais e sua posse pelo titular.
Estabelece ainda a necessidade da obtenção do Consentimento Informacional do tratamento de dados. Traz ainda, em seu texto, a possibilidade de revogação do consentimento pelo titular do dado, o uso de dados de saúde em pesquisa científica, prazos legais, sanções por violações e institui a criação da Autoridade de Proteção de Dados.
Por fim
É fato que a Autoridade Nacional de Proteção de Dados (ANPD) finalizou a dosimetria das penas na esfera administrativa, que é o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator.
Entretanto não custa ressaltar que uma esfera não exclui a responsabilização da outra. Mais do que afastar multas e sanções; respeite e proteja os dados dos seus pacientes e colaboradores. O que não é cabível é a alegação de desconhecimento de uma lei que foi publicada no ano de 2018 e que, reitero, encontra-se em plena vigência.
2023 é o ano de agir!
Quer saber como adequar sua organização a LGPD? Clique aqui e conheça nossa Consultoria de Adequação a LGPD.
Você leu aqui mais um conteúdo no Blog Dental Office a respeito do setor da saúde e o consentimento na LGPD. Aqui no nosso blog você encontra diversos outros conteúdos a respeito da Lei Geral de Proteção de Dados, além de outros conteúdos jurídicos.
Se você quer saber mais sobre como essa lei pode impactar no seu negócio, acesse nosso ebook gratuito sobre esse assunto, clicando aqui embaixo:
Lembre-se que o Dental Office pode te ajudar no tratamento dos dados sensíveis no seu consultório, garantindo segurança e comodidade para você e o seu negócio.
Esperamos que esse conteúdo tenha sido de grande ajuda para você. Não deixe de comentar aqui embaixo e de compartilhar com os amigos e colegas de profissão, é claro, com a sua equipe.
Agradecemos a sua leitura e até a próxima!