Impactos da Lei Geral de Proteção de Dados na área da Saúde

Receba Nossa News

Os conteúdos mais legais sobre qualidade, semanalmente em seu e-mail

Todos os dados inseridos aqui, estão resguardados pela Política de Privacidade da ForLogic, totalmente adequada a LGPD e ISO 27001 (Segurança da Informação).

Juliana Geremias

Juliana Geremias

  • Categoria: Gestão de processos

A (LGPD) está vigente e impõe obrigações a todos que lidam com dados pessoais. Essa Lei Geral de Proteção de Dados também está na área da Saúde, até mesmo porque existem normas específicas para esse setor.

Os efeitos dessa lei, inclusive, já são visíveis, pois empresas já sofreram condenações em função dela e o Ministério Público já ingressou com ações civis públicas baseadas nessa lei.

Nesse artigo, vamos explicar dois pontos:

O que é a LGPD, quais as obrigações já estão vigentes e quais as sanções – multas e demais penalidades – que podem ser impostas às empresas que transgredirem a LGPD.

Quais as particularidades da LGPD em relação à área da saúde.

Entendendo a LGPD e seus efeitos

A Lei Geral de Proteção de Dados Pessoais (LGPD) foi instituída por meio da Lei Federal 13.709 de 14 de agosto de 2018.

Trata-se de uma lei que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais com o objetivo de proteger a liberdade, a privacidade e o livre desenvolvimento das pessoas.

Resumidamente, a lei regula a captação, armazenamento e utilização de dados pessoais, sejam eles oriundos de meios digitais ou físicos, como fichas e prontuário armazenados em papel. 

A LGPD foi criada em 2018, mas sua vigência integral foi adiada diversas vezes, até que em agosto de 2020 o impasse foi resolvido, portanto, nesse momento, existem diversos deveres a serem cumpridos pelas empresas.

Apenas uma parte da Lei – artigos 52, 53 e 54 – ainda não está vigente e trata das sanções administrativas, portanto, das multas e demais penalidades que Autoridade Nacional de Proteção de Dados (ANPD) pode impor a infratores da lei.

Isso não significa, portanto, que as empresas não podem sofrer sanções por parte do Poder Judiciário como, por exemplo, condenação a multas diárias por descumprimento de obrigações de fazer ou não-fazer ou ao pagamento de indenizações por danos materiais e morais.

O que foi postergado para 2021 foram apenas as sanções administrativas, portanto, as oriundas dos órgãos do Poder Executivo, não do Poder Judiciário. No início deste artigo mencionamos inclusive, que já temos condenações e ações fundamentadas na LGPD.

Quando o artigo 52 da Lei entrar em vigência, as empresas poderão sofrer diversas penalidades, dentre as quais:

  1. Multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  2. multa diária;
  3. publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  4. bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  5. eliminação dos dados pessoais a que se refere a infração;
  6. suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  
  7. suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  
  8. proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. 

Para evitar essas penalidades no futuro e as demais que podem vir do Poder Judiciário já nesse momento é preciso observar o que está determinado pela LGPD, questão que abordaremos a seguir.

A Lei Geral de Proteção de Dados na área da Saúde

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece os seguintes conceitos em seu artigo 5º:

  1. DADO PESSOAL é toda informação relacionada a pessoa natural identificada ou identificável.
  2. O DADO PESSOAL SENSÍVEL é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  3. BANCO DE DADOS é o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
  4. TITULAR é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  5. CONTROLADOR é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  6. OPERADOR é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  7. TRATAMENTO é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  8. O AGENTE DE TRATAMENTO é tanto o controlador, quando o operador dos dados.
  9. CONSENTIMENTO é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Conforme sabemos, instituições de saúde trabalham com diversos DADOS PESSOAIS.

Os dados referentes à saúde, genética e biometria são informações que invariavelmente circulam e estão armazenada em instituições de saúde. Segundo o artigo 5º, inciso II, tais dados são considerados SENSÍVEIS, portanto, sujeitos a uma regulação diferente.

No caso de DADOS PESSOAIS SENSÍVEIS, as autorizações para tratamento (coleta, armazenamento e distribuição, por exemplo) são mais restritivas e sujeitas as regras especiais, conforme artigo 11 da LGPD.

Nesse caso, o termo de consentimento para tratamento de tais dados possui características diferente do termo para outros dados. 

A lei estabelece que, salvo exceções, o titular, ou seu responsável legal, deve consentir, de forma específica e destacada, para finalidades específicas.

Portanto, as instituições de saúde devem ter cuidado redobrado. Não basta apresentar um termo de consentimento sobre tratamento de DADOS PESSOAIS aos seus pacientes, ele deve estar formulado dentro dos parâmetros acima.  

Outro ponto importante para as instituições de saúde diz respeito a vedações específicas relativos aos DADOS SENSÍVEIS referentes à saúde.

A LGPD estabelece expressamente que fica vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica.

Existem apenas duas exceções a essa regra.

Trata-se da hipótese em que prestadores de serviços de saúde, de assistência farmacêutica e de assistência à saúde (incluídos os serviços auxiliares de diagnose e terapia) compartilham os referidos dados em benefício dos interesses de seus titulares com objetivo de:

  • realizar a portabilidade de dados (quando solicitada pelo titular), ou
  • efetivar transações financeiras e administrativas resultantes do uso e da prestação dos serviços.

Outra regra que afeta as instituições que trabalham na área de saúde diretamente e outras com ela relacionadas, é a vedação às operadoras de planos privados de assistência à saúde de realizarem tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.  

Com relação a esse ponto, é importante destacar que a Lei Geral de Proteção de Dados (também para a área da Saúde) estabelece como obrigatória a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, bem como obriga a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Adaptação à nova realidade

LGPD é uma realidade que se impõe às instituições de saúde. Nesse contexto, observa-se que práticas adotadas no mercado precisam ser revistas.

Para lidar com ela é indispensável que o processo de adaptação às exigências dessa lei seja conduzido articulando três áreas: a alta direção, os responsáveis pela Gestão da Qualidade e o Responsável pela Proteção de Dados Pessoais (Data Protection Officer, cuja abreviatura em inglês é DPO).

As novas regras corporativas, segundo a lei, estabelecerão os procedimentos, as normas de segurança, os padrões técnicos e as obrigações específicas para os diversos envolvidos no tratamento de dados pessoais, bem como as ações educativas e os mecanismos internos de supervisão e de mitigação de riscos.

Iniciar a articulação de todos os setores envolvidos por intermédio de profissionais especializados em Gestão da Qualidade, é uma tarefa urgente e importante que todas as empresas do setor de saúde deverão realizar no curto prazo.

Revisado em: 18/04/2022.

Sobre o autor (a)

Juliana Geremias

Juliana Geremias

Graduada em Administração de Empresas e MBA em Gestão da Qualidade "Qualidade é o resultado de um ambiente cultural cuidadosamente construído. Tem que ser o tecido da organização, não parte do tecido." Phil Crosby
Veja mais posts desse autor >>

Deixe um comentário

Blog da Qualidade

Artigos relacionados