Por Rogério Agueda Russo

 

Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), é imprescindível que as operações empresariais estejam adaptadas às regras de privacidade e proteção de dados pessoais previstas nessa legislação, que são aplicáveis também às empresas atuantes no mercado da saúde.

Isso é importante, uma vez que os dados pessoais de pacientes, de quaisquer naturezas, mas em especial os dados relacionados à sua saúde, que sejam tratados por parte das instituições de saúde, ainda que por meio de terceiros operadores, submetem-se às diretrizes normativas da LGPD no que se refere ao seu correto tratamento.

Em qualquer atendimento médico, além do cadastro genérico do paciente (identificação, endereço, responsáveis legais), são também colhidos e registrados dados específicos de saúde para inserção em seu prontuário, tais como seus dados de anamnese, resultados de exames, diagnósticos, tratamentos, evolução diária, etc.

A coleta e tratamento de dados pessoais dos pacientes, além de fundamental para a prestação de serviços de saúde, pode representar uma importante ferramenta para a realização de análises, estudos, levantamentos estatísticos para diversas finalidades, bem como para a criação de novos negócios, divulgação de produtos e serviços, prospecções, análise comportamental, entre inúmeras utilidades que podem ser conferidas a determinado conjunto estruturado de informações.

No entanto, as balizas e limites devem ser necessariamente observados, de modo que os direitos e garantias dos titulares dos dados sejam integralmente preservados.

Há base legal autorizadora do tratamento de dados quando realizado para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias, conforme previsto nos artigos 7º, inciso VIII e 11, inciso II, alínea “f” da LGPD. Entretanto, atos relacionados à sua obtenção e guarda, bem como eventual compartilhamento devem necessariamente observar os princípios legais e os direitos garantidos aos titulares.

Apesar de haver uma base legal própria para o tratamento por profissionais da saúde, é importante que os pacientes titulares dos dados pessoais tenham pleno conhecimento de quais dados básicos e de saúde são tratados pela parte controladora (hospitais, laboratórios, clínicas e/ou demais entidades), assim como autorizem eventual compartilhamento dessas informações a terceiros.

A ciência dos titulares a respeito da existência e qual a finalidade do tratamento é importante para assegurar que nenhum tratamento é realizado sem prévio e expresso conhecimento, de forma a contemplar os princípios legais e a proteção aos titulares buscada pela legislação.

Outra importante iniciativa é deter o controle dos dados tratados, para fins de garantia dos direitos outorgados pela legislação aos titulares dos dados (tal como disposto no artigo 18 da LGPD, por exemplo, a confirmação da existência do tratamento, acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, dentre outros), bem como conferir meios de segurança sobre o armazenamento e fluxo de tais informações nos sistemas físicos e eletrônicos, de modo a garantir que não ocorra o vazamento ou ocorrência de eventos que venham a gerar danos aos titulares.

Vale frisar que as entidades de saúde suplementar, como as operadoras de planos privados de assistência à saúde, não deverão, por vedação legal expressa, realizar o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários, nos termos do artigo 11, §5º da LGPD.

Dado o regramento que circunda o tema, a adequação dos processos internos e, principalmente, da cultura interna da organização e seus colaboradores, é tida como essencial para as entidades de saúde, de modo a garantir a segurança e integridade das informações por estas tratadas e o devido cumprimento das determinações legais.