LGPD exigirá das instituições de saúde um gerenciamento cuidadoso das informações dos pacientes
Em evento da FEHOSUL o tema foi apresentado por especialista no assuntoO escândalo da Cambridge Analytica, em que dados pessoais de milhões de pessoas foram coletados e utilizados sem consentimento, impactando, por exemplo, nas eleições para a presidência dos Estados Unidos, em 2016, gerou forte repercussão mundial e acendeu o alerta em diversos países: com o uso mais frequente de tecnologias, os dados pessoais estão sensivelmente expostos, sendo necessárias legislações adequadas para tratar do tema.
Com essa nova realidade posta, em 2018, surgiu no Brasil a Lei Geral de Proteção de Dados (LGPD), (Lei nº 13.709/2018) – marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil –, logo após a entrada em vigor da legislação europeia sobre o tema, a General Data Protection Regulation (GDPR). Cabe ressaltar que a LGPD entrará em vigor a partir de 16 de agosto de 2020.
O impacto da LGPD na saúde foi tema da palestra do advogado especializado em Direito Digital e Data Privacy, Lucas Magalhães, integrante do escritório paulista Machado Nunes, na segunda apresentação do Seminários de Gestão: As Reformas e a Sustentabilidade do Setor da Saúde, na segunda-feira (21), no Hotel Plaza São Rafael, em Porto Alegre.
O Advogado, sócio-fundador do escritório Machado Nunes, Renato Nunes, esteve presente no evento e destacou a importância dos gestores e profissionais conhecerem as regras e iniciarem o quanto antes as adequações em suas instituições.
xxx
O evento, já tradicional na agenda da saúde gaúcha, atualmente em seu quarto ano consecutivo, é promovido pela Federação dos Hospitais do Rio Grande do Sul (FEHOSUL), em parceria com a Associação dos Hospitais do Rio Grande do Sul (AHRGS) e o Sindicato dos Hospitais e Clínicas de Porto Alegre (SINDIHOSPA). As Reformas e a Sustentabilidade do Setor da Saúde foi a quarta edição do Seminários de Gestão em 2019.
O patrocínio desta edição foi do Banrisul; dos laboratórios farmacêuticos AstraZeneca e MSD; e da Unimed Porto Alegre. A certificação foi concedida pela faculdade Fasaúde/IAHCS, e os apoiadores foram IAHCS Acreditação, CBEXs, CNSaúde e Naxia Digital. O veículo oficial do evento é o portal Setor Saúde.
xx
A Lei Geral de Proteção de Dados Pessoais (LGPD) e as Repercussões no Setor da Saúde
Na palestra A Lei Geral de Proteção de Dados Pessoais (LGPD) e as Repercussões no Setor da Saúde, foram apontadas as obrigações trazidas e as principais áreas impactadas com a LGPD, que entrará em vigor em agosto de 2020. No início da apresentação, o palestrante trouxe as definições mais essenciais sobre a LGPD:
Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
“ Consentimento é um conceito chave da lei. Um exemplo clássico que serve para entendermos é: eu posso colocar um milhão de coisas e só deixar um espaço final para assinatura, isso será consentimento? Não vai, isso acabou? A partir de agora cada tipo de tratamento que eu fizer que não puder utilizar bases legais de dispensam o consentimento, precisarei que meu paciente aceite que aquilo seja feito com o dado dele. Isso é muito importante.”
Magalhães apresentou um vídeo para exemplificar o novo cenário de adequações que as instituições terão pela frente. No material, consumidores de uma farmácia eram solicitados a fornecer dados pessoais. Com o desconforto das perguntas, o atendente lembra que as informações e os dados solicitados são os mesmos de quando baixamos aplicativos sem ler os termos de uso. Ou seja, nos aplicativos fornecemos “nossa vida” sem muita preocupação com os dados e como serão utilizados. Com a nova LGPD, as empresas deverão ser muito mais transparentes e responsáveis.
4 pilares que devem ser entendidos
Magalhães destacou os quatro principais pilares que a Lei trata. “Se entendermos esses quatro pilares, podemos navegar muito bem pela Lei”, afirmou. Os quatro pilares são:
Direito dos titulares: consentimento livre e esclarecido, solicitação de relatórios, direito de revisão de decisão automatizada, etc. “Os titulares de dados poderão perguntar diretamente às instituições: vocês tratam os meus dados ou não? O que vocês fazem com eles? Ele poderá retirar consentimento das autorizações concedidas anteriormente, a qualquer momento, por exemplo”, disse.
Obrigação dos agentes: utilização mínima de dados, adequação das atividades de tratamento a finalidades específicas, boas práticas, etc. “Agentes são todas as instituições que utilizam dados pessoais, tanto as com relação direta quanto as contratadas por empresas para fazer o tratamento de dados pessoais. Elas terão que entender qual o mínimo possível de dados necessário, documentar a coleta de consentimentos, criar relatórios”, apontou.
Accountability em questões de segurança: agentes responsáveis por sua governanças e obrigações de prevenção a incidentes. “As instituições precisam adotar programas de privacidade que sejam anteriores ao problema acontecido, precisa também, desde já, realizar uma relação de transparência com os pacientes e colaboradores, para mostrar que está entrando em um processo de accountability de proteção de dados e adoção de ferramentas tecnológicas de segurança para isso”, afirmou.
Autoridade nacional de proteção de dados: órgão regulador responsável por normas, fiscalização e penalidades. “A autoridade vai fiscalizar as atividades de tratamento de dados”, disse.
Impactos
Para abordar o impacto na saúde, Magalhães explicou as responsabilizações e novas atribuições trazidas às instituições.
“Vamos imaginar uma pessoa que fará um procedimento no hospital. Ela dá uma série de dados ao hospital. Perante o titular, quem responde em caso de problema com esses dados, como tratamento errado ou vazamento, quem responde é o controlador (hospital, no caso). Então, é preciso ter muito cuidado quando se contrata uma empresa para fazer um serviço para a sua instituição. Não adianta apenas a minha instituição estar preparada, é preciso ter cuidado com as questões estratégicas”, explicou.
O palestrante explicou que o controlador (no exemplo citado, o hospital) precisará nomear um encarregado de proteção de dados (Data Protection Officer ou DPO, na sigla em inglês). “Esse encarregado terá funções interna e externa: internamente, ele funcionará como um compliance officer – especializado em proteção de dados. Ele vai ajudar na instalação do programa de privacidade, participar da emissão de relatórios de risco de tratamento de dados e fazer tudo o que for possível dentro da instituição para fiscalizar e apoiar as áreas de negócio no desenvolvimento de produtos. Externamente, terá a função de comunicador, recebendo e tratando dos dados com autoridades”, salientou.
Dados sensíveis
A definição de dados sensíveis também foi abordada pelo advogado. “Quando falamos de dados de saúde, estamos falando de dados sensíveis. Exemplos: filiação a organização de caráter religioso; origem racial ou étnica; filiação a sindicato; opinião política; dado genético ou biométrico; convicção religiosa; e dado referente à saúde ou à vida”, abordou.
Magalhães explicou que o tratamento de dados sensíveis poderá ser realizado com o consentimento do titular e em outras sete oportunidades: tutela da saúde; proteção da vida; execução de políticas públicas; exercício regular de direitos; órgão de pesquisa; prevenção à fraude; e cumprimento de obrigação legal ou regulatória.
xxx
“Uma pergunta que muitos me fazem: se entra um paciente na minha instituição [como o hospital] e está desmaiado, em um estado de urgência e precisamos realizar um exame de sangue, como se trata a questão de consentimento? Este é um caso de proteção da vida, ou seja, não precisa [de consentimento]. ”
E ainda, “o tratamento de dados, como para cumprimento de políticas de saúde pública, normas da ANS, Tiss, Tuss, tudo isto é política pública ou regulatória, ou seja, não precisa de consentimento”, exemplifica Magalhães.
A LGPD veda a comunicação e o compartilhamento de dados de saúde com o objetivo de obtenção de vantagem econômica, exceto para: assistência à saúde; serviços de diagnose e terapia; serviços de saúde; e assistência farmacêutica.
TCLE
O Termo de Consentimento Livre e Esclarecido (TCLE), instrumento por meio do qual o titular dos dados pessoais autoriza o uso para um fim específico, também foi abordado. O advogado ressaltou que é necessário constar no documento de maneira clara e destacada, a Política de Privacidade institucional. “O TCLE precisa ter um anexo que explica o que a instituição faz com os dados, o que ela não faz, e em que hipóteses compartilha estes dados”, disse. Segundo Magalhães é necessário que o titular deixe registrado de forma clara e inequívoca, autorizações específicas e, se possível, com OPT-IN (marcando um sim ou não para cada ação).
Sanções e o valor dos dados da saúde
O palestrante explicou as sanções administrativas previstas. Entre elas, advertência, multa, bloqueio ou eliminação dos dados, suspensão ou proibição do exercício de atividades.
Magalhães citou um dado impactante sobre os custos em relação ao vazamento de dados: de acordo com estudo da Ponemon Institute com a IBM, custa, em média, 3,92 milhões de dólares, com 25 mil registros feitos. “O dado de saúde é o que custa mais caro: a média mundial é de 6,45 milhões de dólares. Quais são os custos? Contratação de tecnologia, gastos com advogados, pagamento de indenizações, entre outras. A tecnologia contratada após o vazamento custa muito mais caro”, frisou.
Existem ainda os custos para a imagem institucional e a consequente afastamento da clientela, “pois o paciente, seus familiares e conhecidos dificilmente voltarão a se tratar no estabelecimento de saúde se este perder seus dados”, reforça Magalhães, mencionando este exemplo.
Após um ano e meio da legislação GDPR em vigor, na Europa (que serviu de modelo para a lei brasileira) três ensinamentos devem ser levados em conta, de acordo com o advogado: é preciso ter controle fácil aos dados pessoais, adotar normas de segurança para acesso a prontuários, e cuidado com operações de fusões e aquisições – tecnologias conflitantes e processos de trabalho distintos. Magalhães citou três exemplos, entre eles o do Haga Hospital nos Países Baixos, que foi multado em 460 mil euros, por acessos desnecessários aos dados – situação apontada como uma falha de segurança.
https://youtu.be/GSxvB_T5HMM
Medidas necessárias
Ao encerrar a apresentação, Magalhães deixou dicas de medidas que devem ser tomadas para se preparar e se organizar para a nova realidade no tratamento de dados: nomeação de DPO, mapeamento de dados pessoais e Política de Proteção de Dados; conhecer os titulares de dados e demais stakeholders envolvidos; definir finalidades de tratamento e entender quando será necessário consentimento; adequação de níveis de segurança da informação; atender solicitações de titulares de dados pessoais; e alocar responsabilidades com parceiros/fornecedores.
Magalhães lembrou que a personalização de tratamentos e medicamentos, a tecnologia para apoio ao profissional de saúde, o monitoramento do paciente por wearebles e o foco na saúde, não na doença; automaticamente impõe uma nova forma de utilizar a tecnologia, e os dados sensíveis estão totalmente inseridos neste cenário.
O escritório Machado Nunes, disponibiliza um e-book que trata sobre o tema. Baixe gratuitamente clicando no link abaixo:
LGPD na Saúde
As Reformas e a Sustentabilidade do Setor da Saúde
A edição também contou com a participação do economista Rogério Marinho, Secretário Especial de Previdência e Trabalho, secretaria ligada ao Ministério da Economia do atual governo federal, com o tema “As Reformas e o Novo Brasil” (leia a matéria pós-evento), do Diretor Executivo da Confederação Nacional de Saúde (CNSaúde), Bruno Sobral, com o tema “As Reformas Econômicas e Tributárias e seus Impactos na Saúde”; e do coordenador do Conselho de Relações do Trabalho e Sindicais da CNSaúde, Clovis Queiroz, com a palestra “As Reformas Previdenciária e Trabalhista e os Impactos na Saúde”.
As próximas matérias, com os principais pontos abordados pelos palestrantes no dia 21, serão publicadas entre os dias 22 e 24. Acompanhe.