RESUMO
Este artigo tem como objetivo demonstrar a importância de implementar a Lei Geral de Proteção de Dados (“LGPD”) nos estabelecimentos de saúde, principalmente quanto à necessidade de realização de treinamento dos colaboradores e profissionais de saúde, por lidarem durante toda a jornada de trabalho com dados pessoais sensíveis dos pacientes.
Busca ainda mostrar a importância de se valer de termo de sigilo e confidencialidade nos contratos de trabalho e nos contratos firmados com profissionais da saúde, além de trazer as implicações para os profissionais de saúde e colaboradores em casos de ocorrer um incidente de segurança causado por ele.
INTRODUÇÃO
A Lei 13709/18 (Lei Geral de Proteção deDados), em vigência desde 18/09/2020, veio a regulamentar toda e qualquer operação de tratamento de dados pessoais, a fim de dar segurança aos titulares de dados e coibir a utilização indevida desses dados; assim, trouxe medidas para serem tomadas para evitar a ocorrência de incidente de segurança.
Importante consignar ainda que nossa legislação sofreu influência direta da GDPR (General Data Protection Regulation),Regulamento Geral de Proteção de Dados da União Europeia, mostrando-se de suma importância sua leitura, juntamente com as Guidelines, para melhor entendimento e interpretação da Lei 13709/18.
Feitas tais considerações, para entendimento da Lei 13.709/18, o legislador trouxe no artigo 5º a definição de diversos termos utilizados na referida legislação, dividindo os dados pessoais da seguinte forma:
- dado pessoal “comum”: é toda “informação relacionada a pessoa natural identificada ou identificável”(artigo 5º, inciso I);
- dados pessoais sensíveis: são aqueles dados que podem ter caráter discriminatório, estando inserido neste tipo de dados: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (artigo 5º, inciso II).
Ainda para melhor entendimento da Lei 13709/18, é de rigor esclarecer que tudo o que se pode fazer com os dados pessoais está inserido no conceito de tratamento de dados e, por conseguinte, deve observar-se a LGPD quando essas operações forem realizadas (operações, conforme definição: “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração - artigo 5º, inciso X)
Já com relação à aplicabilidade da Lei 13.709/18, pela análise conjunta do artigo3º e 4º da referida lei, temos que a LGPD deverá ser aplicada tanto para a pessoa física que trata dados pessoais com finalidade econômica, assim como para toda pessoa jurídica (de direito público e privado), independentemente do meio (físico ou digital), do país de sua sede ou do país onde estejam localizados os dados, desde que:
“I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional”.
Logo, não resta a mínima dúvida de que a Lei 13.709/18 é de aplicação obrigatória para estabelecimentos de saúde, tais como hospitais (públicos e privados), postos de saúde, clínicas (médicas, odontológicas, psicológicas), laboratórios, dentre outros estabelecimentos, devendo tais organizações tratar os dados pessoais em observância aos fundamentos (artigo 2º), princípios (artigo 6º), e ainda observada alguma base legal inserta nos artigos 7º (para dados pessoais comuns) e 11 (para dados pessoais sensíveis), sob pena de violar a Lei Geral de Proteção de Dados.
DO TRATAMENTO DE DADOS SENSÍVEIS NOS ESTABELECIMENTOS DE SAÚDE
Analisando neste artigo especificamente o tratamento dos dados pessoais de pacientes realizados pelos estabelecimentos de saúde, verificamos que referidas organizações tratam em larga escala dados pessoais sensíveis, eis que os dados de saúde estão inseridos nesta definição.
Tais dados sensíveis tratados geralmente estão inseridos nos prontuários dos pacientes, considerados pela LGPD como titulares de dados.
Consigne-se que antes mesmo da Lei 13709/18 já havia a obrigatoriedade de sigilo do profissional de saúde com relação a estas informações, conforme premissas constitucionais, além do que determinam as Resoluções dos próprios Conselhos de Classe, como CFM (Conselho Federal de Medicina), COFEN (Conselho Federal de Enfermagem), CFF (Conselho Federal deFarmácia), dentre outros órgãos representativos de classes.
Neste sentido, considerando as graves consequências que o tratamento irregular dos dados de saúde pode acarretar, com o advento da Lei 13709/18, esse cuidado na segurança nas operações de tratamento de dados envolvendo os dados sensíveis dos pacientes (ora titulares de dados) se mostra obrigatório e de extrema importância, uma vez que, caso ocorra um incidente de segurança envolvendo referidos dados, podemos ter como consequência, dentre outras:
- aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), cujas sanções estão descritas no artigo 52 da Lei 13.709/18;
- propositura de demandas cíveis movidas pelos pacientes (titulares de dados), com o fito de receber indenizações de cunho moral pelo tratamento irregular de seus dados pessoais sensíveis;
- mácula da reputação do estabelecimento de saúde.
A fim de que não pairem dúvidas quanto à necessidade de as organizações implementarem medidas técnicas e administrativas voltadas à proteção dos dados pessoais, trazemos o artigo 46 da Lei 13.709/18, no qual é claro ao determinar que:
“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ,comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
DA IMPORTÂNCIA DAS AÇÕES EDUCATIVAS
É de bom alvitre deixar claro que para que Programa de Governança em Privacidade e Proteção de Dados seja eficaz, faz-se necessário não apenas implementar medidas técnicas e de segurança, mas também inserir nas organizações como medida de boas práticas ações educativas voltadas para os profissionais de saúde e colaboradores como forma de mitigação de riscos, tudo conforme consta no artigo 50 da Lei 13.709/18.
Referidas ações educativas se mostram essenciais como forma de mitigar riscos, tendo em vista que o fator humano é um dos maiores causadores de incidentes de segurança, o que somente será coibido através da inserção de uma cultura de proteção de dados nos estabelecimentos de saúde, cujas ações devem ser voltadas para todos para todos os colaboradores dos estabelecimentos de saúde (sem exceção), assim como para os profissionais de saúde, ainda que estes últimos já tenham o dever de sigilo inerente à própria atuação profissional, cujo dever de sigilo já está inserido nas Resoluções publicadas por cada órgão de classe.
Neste segmento, dentre algumas ações educativas que os estabelecimentos de saúde podem adotar, citamos as abaixo elencadas:
- realização de treinamentos de todos os profissionais de saúde e colaboradores que trabalham nas organizações, como forma de explicar de modo simples e através de exemplos conceitos básicos da Lei 13.709/18, devendo ainda orientar sobre a obrigatoriedade de proteger os dados pessoais dos pacientes (e em especial os dados pessoais sensíveis), sobre o dever de sigilo, quais medidas devem ser tomadas para evitar a ocorrência de incidentes de segurança e quais serão as consequências em caso de inobservância dessas medidas;
- levar ainda para conhecimento de todos os profissionais de saúde e colaboradores as Políticas aplicadas pela organização(tais como Políticas de Segurança da Informação, Código de Boas Práticas,Políticas e Avisos de Privacidade, etc);
- inserir nos contratos de trabalho dos colaboradores (ou nos aditivos de contrato de trabalho para os contratos que já estão ativos) cláusulas de proteção de dados, contendo o dever de sigilo e confidencialidade dos dados pessoais e quais serão as penalidades no âmbito trabalhista (com a aplicação de advertência, suspensão e demissão por justa causa) em caso da ocorrência de um incidente de segurança;
- no que se refere aos profissionais de saúde (médicos, enfermeiros, psicólogos, etc), confeccionar Termo de Sigilo e Confidencialidade NDA (Non Disclosure Agreement), a fim de assegurar a confidencialidade e não disponibilidade dessas informações, trazendo ainda as consequência da inobservância das cláusulas do referidoTermo.
Todas essas ações educativas devem ser documentadas como forma de criar evidências de que os estabelecimentos de saúde tomaram as medidas necessárias e possíveis para mitigar os riscos de um incidente de segurança.
CONCLUSÃO
Diante da análise trazida neste artigo, resta evidente que a disseminação da cultura de proteção de dados nos estabelecimentos de saúde através de ações educativas se mostra fundamental para garantir a segurança dos dados de saúde (dados pessoais sensíveis) dos pacientes, a confidencialidade das informações sigilosas constantes nos prontuários, além de garantir a eficácia doPrograma de Governança de Privacidade e Proteção de Dados.
Colaborador e profissional de saúde consciente, risco mitigado.
______________________________________________________________________________
