A LGPD PARA CLÍNICAS E CONSULTÓRIOS MÉDICOS
Por Eduardo de Mendonça Heinz, advogado
eduardomheinz@gmail.com
Introdução
A Lei 13.709/2018, mais conhecida como a LGPD, já está em vigor desde agosto de 2020, estabelecendo regras e direitos para o tratamento de dados em todo o território nacional.
Destina-se a tratamento realizado tanto por pessoas físicas quanto por pessoas jurídicas, de direito público e privado.
Segundo a lei, dado pessoal é toda a informação relacionada a pessoa natural identificada ou identificável. São exemplos de dados pessoais o nome, o CPF, o endereço, o e-mail, o telefone, os dados bancários e dados médicos.
Para a garantia do efetivo cumprimento da lei, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), cuja responsabilidade é fiscalizar os chamados agentes de tratamento e aplicar multas que podem chegar a R$ 50.000.000,00 por infração.
Além da ANPD, órgãos de classe e entidades públicas e privadas (MP, Procon, CREMERS, etc) – além do próprio titular – também estão aptos a acompanhar o cumprimento da lei e fazer a devida denuncia de abusos aos órgãos competentes, como o Poder Judiciário, onde poderá ser buscada eventual reparação de danos (morais e materiais).
Tal fato tem direta repercussão na área médica, uma vez que dados pessoais de pacientes são tratados por consultórios e clínicas, que nada mais são do que agentes de tratamento.
Além disso, existem outros participantes com quem são compartilhados dados como farmácias, hospitais, centros de diagnóstico, laboratórios, planos de saúde, assim como fornecedores de serviços como contadores, empresa de TI, advogados e consultores.
Muitas clínicas possuem, ainda, diversos funcionários (secretária, estagiários, assistentes), cujos dados também estão tutelados pela LGPD e que merecem atenção.
Por conta disso, clínicas e consultórios, além de profissionais liberais, estão buscando se a adequar à lei, evitando o pagamento de multa e indenizações, assim como criar um atrativo de competitividade e diferencial no mercado.
As obrigações da lei
Segundo a LGPD, todo o tratamento deve observar uma finalidade e a uma necessidade, além de estar enquadrado em uma das 10 bases legais, como o consentimento do titular ou seu responsável.
Devem ser atendidos pelo controlador todos os direitos dos titulares, como a confirmação da existência, o acesso, a correção, a anonimização, a portabilidade, a eliminação, a oposição ao tratamento de dados.
Os procedimentos estabelecidos devem estar documentados para o caso de solicitação pela ANPD, para auditoria ou solicitação do titular, ou para a rápida comunicação de incidente de segurança conforme estabelecido em lei. Da mesma forma, os registros servirão para futura comprovação em juízo e afastamento ou atenuação de responsabilidade no caso de incidente.
Isto tudo implica em definir ou revisar processos internos de gestão e investir em sistema de tecnologia, minimizando custos.
O setor médico
O setor médico está enquadrado como situação especial pela LGPD na medida em que são tratados dados referentes a saúde e genética, também chamados de dados sensíveis.
Dados sensíveis são aqueles com alto potencial discriminatório e danoso ao foro íntimo da pessoa, assim como os dados de idosos e crianças, hipossuficientes, que compõe grande parte dos pacientes de clínicas e consultórios.
Os dados de saúde hoje possuem imensa relevância pelo valor comercial para o setor privado, uma vez que o Brasil é o oitavo maior mercado de consumo de farmacêuticos no planeta. Por isso são tão cobiçados por empresas para efetividade das suas estratégias de marketing.
Por esta razão deve-se analisar as obrigações da LGPD em conjunto com as obrigações decorrentes das normativas e regulamento do setor, como a Lei 13878/18 (que dispõe sobre a digitalização e a utilização de sistemas informatizados de prontuário de paciente), assim como o disposto na Resolução 2217/18 e 1821/07 do Conselho Federal de Medicina que estabelecem regras e diretrizes sobre o manuseio de documentos e dados de pacientes. Além disso, os regulamentos da ANS que também devem ser avaliados para a adequação das medidas de privacidade e segurança.
Portanto, a segurança, confidencialidade e privacidade são elementos chave no tratamento de dados por clínicas e consultórios médicos.
O que fazer?
A fim de mitigar riscos e adequar-se à lei, clínicas e consultórios devem executar um programa de proteção e privacidade que consiste no conjunto coordenado de ações para garantir a segurança do tratamento de dados.
A primeira etapa começa com um diagnóstico completo de segurança, obtendo uma visão dos principais riscos e impactos de privacidade.
Identificados os gaps, a próxima etapa será elaborar um plano de ação envolvendo o departamento jurídico e de tecnologia e segurança da informação, com o cronograma e deadlines para a implementação de políticas e procedimentos, além da governança dos dados.
É importante elaborar um relatório de impacto, que poderá ser solicitado pela ANPD, que serve para registrar a regularidade e a legalidade das operações de tratamento. Este documento comprova que o controlador realizou um prévio estudo sobre os riscos e as medidas que seriam prudentes para eliminar ou minimizá-los.
Deve ser nomeado o encarregado (DPO), interno ou externo, que será o responsável pela área de privacidade e segurança da clínica/consultório, cumprindo com a exigência da lei.
Por fim, tudo deverá ser documentado e comunicado por meio da divulgação da política de privacidade.
Conclusão
Clínicas e consultórios médicos atuam no setor que trata de dados sensíveis relativos à saúde do titular, com grande potencial de gerar danos, multas e indenizações.
É um setor em que há um grande compartilhamento de informações com terceiros, com grande exposição a riscos.
Além das obrigações decorrentes da LGPD, deve-se atender todas as exigências da legislação e regulamentação especial aplicável ao setor como a resoluções do Conselho Federal de Medicina, ANS e CREMERS além das legislações mais comuns (CLT, CDC, CC).
A mitigação destes riscos decorre da implementação de um bom programa de conformidade, buscando a revisão de processo e documentos, por meio da adoção de soluções tecnológicas para mitigar os riscos e diminuir custos para atendimento de demandas.
Para isso é fundamental contar com uma assessoria especializada que poderá ajudar na implementação do programa e indicar as melhores soluções de conformidade a lei.