Marcela Gomes Gambardella, advogada das áreas de direito digital e proteção de dados da Roncato Advogados. LL.M em direito e economia. Artigo publicado no Estadão
A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em 18 de setembro de 2020 vem exigindo ação e expertise não só de quem está diretamente vinculado ao mundo da privacidade e proteção de dados, como também de todos aqueles que exercem atividades em que o tratamento de dados de pessoas naturais se faz necessário, classificados pela referida lei como agentes de tratamento.
A preocupação e atenção vem aumentando ainda mais, uma vez que já teve início a aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) em 1º de agosto. Aqueles que não estão adequados às exigências da LGPD podem ser advertidos, multados, terem o funcionamento do banco de dados suspenso ou, em casos mais graves, podem ser proibidos, de maneira parcial ou total, de exercerem atividades relacionados ao tratamento de dados. Na hipótese de imposição da sanção mais grave, grande parte das atividades empresariais e prestação de serviços seriam inviabilizadas.
O impacto regulatório também se dá na área médico-hospitalar e há considerações distintivas nesse caso a serem feitas, especialmente aquelas que se referem às informações sensíveis dos pacientes e à forma como são administradas, seja pelo próprio médico ou pelos seus colaboradores e funcionários. Vejamos.
No contexto do tratamento de dados de pacientes referentes à saúde, a LGPD concede proteção especial por se tratarem de dados sensíveis – aqueles que são capazes de causar danos ainda maiores em caso de vazamento, devido ao seu potencial discriminatório. Assim, o tratamento desses dados deve respeitar algumas restrições impostas pela legislação em questão, as quais, por vezes, não são tão simples de assimilar na prática diária dessas atividades.
Uma das exigências da legislação quando houver o tratamento de dados sensíveis é a necessidade de coletar o consentimento do titular. Nesse sentido, a LGPD conceitua consentimento como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Ainda, a finalidade do tratamento deve ser específica e destacada, não deixando margens para o uso desses dados para fins diversos daqueles previamente indicados ao titular. Vale lembrar que a LGPD prevê algumas hipóteses de tratamento de dados sensíveis sem a necessidade da coleta de consentimento, como para cumprimento de uma obrigação legal ou regulatória e proteção da vida ou da incolumidade física do titular ou de terceiro, por exemplo. Por isso, conhecer a legislação e entender como se aplica a cada caso é essencial.
Apesar de tantos pormenores que intimidam, a LGPD não veio com o propósito de dificultar as atividades e negócios; ela tem o papel central de criar ambientes de conformidade, pautados no princípio da ética e transparência, oferecendo segurança e garantindo direitos fundamentais. Adequar-se à lei e garantir que todos os preceitos e requisitos estejam sendo observados é primordial, mas não é tarefa tão simples.
No dia a dia dos consultórios médicos, a forma com que dados são coletados, processados e, em algumas situações, compartilhados com outros agentes de tratamento deve ser reexaminada para se adequar ao que exige a Lei. Alguns procedimentos comuns, como controle de entrada nas clínicas médicas e anotações feitas no agendamento da consulta por recepcionistas, deverão ser ponderados, assim como informações do paciente sobre a consulta ou tratamento de saúde que são registrados por médicos e enfermeiros. Em alguns casos, processos internos deverão deixar de existir por não serem passíveis de adequação; no entanto, o ideal é que grande parte dos processos passem por análise e reestruturação, oferecendo maior segurança jurídica tanto para os titulares dos dados pessoais quanto para os controladores desses dados.
É importante que todo o fluxo de dados seja mapeado, critérios para sua eliminação sejam fixados, observados os prazos legais de cada categoria de dados. Ainda, é essencial que seja avaliado se todos os dados coletados dos titulares são necessários, ou seja, se não há coleta de dados em excesso, o que confrontaria o princípio da minimização, também contemplado pela LGPD. Mais adiante, após essa primeira fase, é o momento de elaboração de políticas de privacidade e de documentos que garantam maior segurança da informação. Com o mesmo propósito, é nessa fase que contratos antigos deverão passar por revisão jurídica para que a eles sejam associados aditivos contratuais relacionados à proteção de dados, se preciso for.
De forma geral, além das adequações apontadas, é crucial que toda a equipe que lide com dados de pacientes e demais titulares esteja alinhada, recebendo treinamento específico para adaptar aquelas condutas que não estejam em conformidade com a legislação em foco. Ainda, para que a implementação de novos padrões de segurança de dados seja de fato eficiente, alguns projetos que mitiguem riscos de vazamento de dados devem ser incorporados às práticas das clínicas e consultórios médicos.