Empresas privadas e órgãos públicos brasileiros deverão se ajustar às novas normas da Lei n° 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados. A LGPD, como é conhecida, também vai exigir mudanças nos hospitais. A novidade vai demandar alterações significativas no tratamento das informações e proteção de dados no Brasil, já que a Lei trata sobre a forma com que as empresas capturam, utilizam e armazenam os dados das pessoas.
Uma parcela significativa da Lei deveria ter entrado em vigor no dia 15 de agosto, mas, por conta da pandemia, essa data foi postergada para 03 de maio de 2021. No dia 26 de agosto, o Senado derrubou uma parte da Medida Provisória nº 959/2020, que, com a alteração aprovada pela Câmara dos Deputados, fixava a vigência desses dispositivos para 31 de dezembro de 2020. Diante da decisão do Senado, a maioria dos artigos da LGPD entrará em vigor assim que o texto for sancionado pelo presidente Jair Bolsonaro, ressalvados os artigos que tratam da aplicação de penalidades, que entrarão em vigor apenas em 1º de agosto de 2021.
A advogada Marina Rangel de Abreu Iede, que atua no Escritório Maffini Advogados e é sócia-fundadora da MR3 Assessoria e Consultoria Empresarial, explicou que a Lei foi criada para proteger os dados pessoais. Além disso, a Lei traz, ainda, uma subclassificação dos dados pessoais sensíveis – dados que podem levar a algum tipo de discriminação à pessoa.
“Com esses dados pessoais sensíveis, a proposta é proteger o cidadão de maneira mais incisiva, inclusive aplicar sanções e penalidades mais graves caso ocorra alguma violação da norma. Dentro disso, a Lei trouxe especificamente dados referentes à saúde, à vida sexual, ao dado genético e ao biométrico. Isso quer dizer que o setor de Saúde será muito impactado pela LGPD, o que traz dilemas, pois praticamente todos os dados que as instituições utilizam são classificados como sensíveis e são compartilhados entre elas para prestação de serviços”, afirma.
A LGPD vai exigir mudanças nos hospitais
Na avaliação de Marina, a estrutura hospitalar é complexa, com processos internos multidisciplinares e de sistemas interligados. Além disso, um hospital conversa com diversos atores, como plano de saúde, laboratório de exame, farmácia, entre outros. Isso quer dizer que há uma série de dados que são compartilhados, muitas vezes com empresas parceiras dentro de uma instituição, e essa troca de dados é tutelada pela Lei. “O hospital tem responsabilidade pela forma como uma empresa terceira lida com os dados coletados do paciente. A Lei prevê responsabilidade solidária entre empresas parceiras, pelo compartilhamento desses dados e pela forma como a outra empresa trata esses dados”, detalha.
Outro grande impacto apontado pela advogada é quanto ao acesso do paciente às informações. A especialista explica que ele pode pedir retificação, portabilidade, restrição ou exclusão dos dados. “Isso pode trazer alguns choques com a legislação de Saúde e que terão que ser analisados caso a caso. Por exemplo, não será possível pedir a exclusão do prontuário, ou de um dado do prontuário, porque existe uma obrigação legal contrária de se manter o prontuário por 20 anos se for físico e por prazo indeterminado se for digital. Um grande desafio da Lei é também o fato de existirem normas que se chocam e que deverão ser avaliadas”, comenta.
Com a tecnologia tão avançada e sendo utilizada em favor da população, Marina lembra mais um ponto que exigirá bastante atenção da área da Saúde: a forma de comunicação entre médico e paciente e também entre médicos, já que, hoje, muitos se comunicam via WhatsApp para se chegar à melhor terapia para o doente.
“É muito comum esse compartilhamento de informações por uma rede social, mas essa rede pode ter fragilidade. Vale destacar que o vazamento de dados na área hospitalar é extremamente oneroso. Temos pesquisas que indicam que os dados médicos são extremamente valiosos, pois são informações que mais valem no mercado negro. Um estudo realizado pelo Ponemon Institute com a IBM entre julho de 2018 e abril de 2019 levantou que o custo médio global por vazamento de qualquer tipo de dados chega a US$ 3,92 milhões. Mas, isolando apenas a área da Saúde, esse número quase dobra, chegando a US$ 6,45 milhões de dólares. A maior parte do vazamento de dados se dá por ataques criminosos – 51%; erros de sistema – 25%; e erro humano – 24%”, destaca.
Leia também – Qual é o plano futuro para o setor de saúde depois da pandemia?
Como se adequar à Lei
O primeiro passo, segundo a advogada, é fazer um trabalho preventivo, com a implementação de um plano de privacidade e proteção de dados. Esse plano passa por inventariar todas as informações que passam pelo hospital, mapeando os dados e os processos pelos quais eles circulam. Marina ressalta que, a partir daí, será preciso fazer um levantamento de mapeamento de risco para que se possa contingenciá-los ou mitigar os danos.
Nesse ponto, as instituições devem envolver os departamentos jurídico e de Tecnologia da Informação e um gestor. Em seguida, ela sugere uma decisão estratégica sobre o tema e, no terceiro passo, a criação de um comitê multidisciplinar específico de gerenciamento de riscos voltado para a LGPD.
“Dentro de um hospital, existem inúmeras profissões, mas é necessário ter envolvimento de todos, incluindo diferentes níveis hierárquicos. Todos precisam estar engajados para possibilitar a proteção de dados. Isso deve virar cultura dentro de um hospital e o comitê pode ajudar a disseminar essa cultura de política de privacidade de proteção de dados. Mas, antes, precisa uma compreensão muito grande do negócio. Quando falamos em Saúde, estamos falando de uma série de limitações muito específicas. Por isso, é fundamental ter profissionais que tenham essa compreensão, que saibam das normas, que tenham vivência de gestão, porque hospitais são extremamente complexos e multidisciplinares. Conhecimento profundo é muito importante”, avalia.
“A Lei Geral de Proteção de Dados vai obrigar as empresas e os hospitais a fazer compliance de dados. Será preciso ter uma política de notificação e tratamento de incidentes, porque ter uma política de privacidade e proteção de dados não garante que o hospital nunca incorrerá em violação alheia à sua vontade.
Pode haver um cyberattack, por exemplo, mesmo com a melhor tecnologia de proteção. Obviamente que a instituição não será multada por isso, mas precisará ter um registro de evidências que prove que ela utilizou todas as ferramentas disponíveis para fazer a proteção. Certamente, tudo isso vai ser um enorme desafio para a Saúde, mas é um desafio que deve ser encarado de forma muito positiva, porque vai ajudar a melhorar processos e a promover proteção de dados mais efetiva”, conclui.
Se a LGPD vai exigir mudanças nos hospitais, como os estabelecimentos estão agindo na prática?
Para se adequar à nova legislação, a Santa Casa de Maringá já está investindo em programas que garantam o cumprimento da legislação, tanto a LGPD, como também para a implantação de compliance na Instituição. Na avaliação de Ana Cláudia Piraja Bandeira, assessora jurídica da instituição, ainda há muito a se fazer, mas os primeiros passos já foram dados. O objetivo do hospital é manter um comitê de LGPD, coordenado pelo Jurídico, em conjunto com a TI, para garantir a política de governança e boas práticas. Segundo a assessora jurídica, os consentimentos já estão sendo todos revisados e os funcionários passarão por um treinamento para implantação dos termos.
De acordo com Ana Cláudia, a Lei é muito importante para os dias atuais, pois o mundo digital exige que os prestadores de serviço se organizem para garantir os princípios constitucionais, não permitindo o uso de dados essenciais para finalidades meramente lucrativas, muitas vezes para práticas ilícitas, em descompasso com o sigilo de informações e dignidade da pessoa humana. Ela comenta que outros países já estão organizados e devidamente regulamentados.
Ela sugere que as instituições criem, o mais rápido possível, um comitê formado por profissionais que possam orientar a equipe sobre as melhores práticas para o tratamento de dados e proteção desses dados, segundo o disposto na Lei.
“Os hospitais terão que se preparar e adequar com medidas de segurança para evitar vazamento de informações e dados de prontuários médicos e de cadastro dos pacientes. Deverão investir num programa corporativo de privacidade e proteção de dados, com políticas adequadas e implantadas seguindo o disposto na Lei, garantindo também que os titulares dos dados possam exercer seus direitos que estão dispostos no artigo 18, I a IX e artigo 20 da Lei 13.709/18. É preciso que as instituições orientem seus colaboradores para obter o consentimento do titular dos dados, que deverá ser livre, sem qualquer coação, em linguagem acessível e específico para a finalidade pretendida. Para isso, devem oferecer treinamento, primeiro para orientar sobre a base legal e constitucional do dever de sigilo e proteção da dignidade da pessoa humana; segundo, para que os colaboradores possam obter o consentimento de forma adequada, permitindo, inclusive, o titular de discordar do tratamento, sem que isso lhe cause qualquer constrangimento ou punição”, completa.
É importante entender como a empresa vai se comportar perante a Lei. Para isso, a advogada sugere:
– Fazer um diagnóstico situacional para verificar como o hospital está em relação à LGPD;
– Mapear todos os dados que circulam dentro da instituição, desde o início até o descarte;
– Mapear todos os processos pelos quais eles circulam;
– Fazer o mapa de riscos, com processos e pessoas que têm acesso às informações;
– Criar um plano de ação, que deve estar em conformidade técnica e jurídica;
– Registrar evidências de esforços, para mostrar à agência reguladora ou fiscalizadora que o hospital está trabalhando para seguir a Lei;
– Produzir relatório técnico de impacto conforme previsto na Lei;
– Preparar um manual de orientação;
– Realizar treinamentos para difundir a política de privacidade e proteção de dados.
Leia também – Sua clínica está preparada para a pós-pandemia?