Implementação da Lei Geral de Proteção de Dados - LGPD no Setor da Saúde.

I. INTRODUÇÃO

A Lei Geral de Proteção de Dados - LGPD está, em parte, vigorando para todos os setores da economia e no setor da saúde ela tem um papel importantíssimo, visto que as clínicas, Home Care e até o setor público como o SUS passam a adotar métodos precisos e transparentes de adaptação com relação ao armazenamento e sobretudo ao gerenciamento de dados dos pacientes.

Quanto a isso é preciso estar atento às novidades para que assim a empresa privada não incorra em inconvenientes ‘desgostosos’ por parte de ações judiciais cíveis, por exemplo, na hipótese de uma responsabilidade civil por conta não só da adoção de software propícios ao gerenciamento, todavia pelo desconhecimento de outros direitos do titular como ‘’Revogação do Consentimento’’ ou até o pedido de ‘’Anonimização’’ dos seus dados.

Desta forma, esse presente artigo irá mostrar de forma objetiva os cuidados e as ações necessárias que o ramo privado da saúde deve ter com os dados pessoais que já se encontram em posse dos seus pacientes e os futuros também. Demonstrando que medidas técnicas devem adotar diante do direito do titular e as consequências da omissão desses cuidados.

II. DIREITOS DO TITULAR COM RELAÇÃO ÀS COOPERATIVAS DE SAÚDE.

A LGPD se aplica exclusivamente a pessoas naturais e apenas para fins econômicos, no entanto com relação ao primeiro quesito o seu arcabouço é originado com base no respeito aos direitos personalíssimos de todo cidadão vivo. Com isso, especifica muito bem o quão é importante os agentes controladores/operadores terem cuidado com o gerenciamento dos dados.

No entanto, afinal com relação a um paciente que busca atendimento em uma clínica privada de saúde ou que recebe cuidados particulares em casa ,como é o caso da Home Care, que direitos ele possui com relação às informações que serão repassadas? Bom, antes de demonstrar os direitos, é preciso entender que tanto na hipótese do tratamento de dados comuns e sensíveis (caso esse último seja necessário) haverá a necessidade do consentimento do titular. Vejamos:

• Dados Comuns: ‘’Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - Consentimento do Titular (...)’’
• Dados Sensíveis: ‘’Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - Consentimento do Titular (...)’’

Insta salientar, que nos dois eventos o recolhimento será bem-vindo se o agente tiver finalidade, legitimidade e necessidade com relação às informações fornecidas pelo paciente, caso contrário deve eliminá-las. Tudo isso, pois o legislador quis com que na possibilidade de não haver necessidade o operador abandone o acolhimento do dado recolhido.

Enfim, dada a explicação introdutória necessária aos direitos do titular, verifiquemos, portanto, o rol de direitos estabelecidos no artigo 18º e seus respectivos incisos abaixo:

‘’Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados;

IV - Anonimização ou bloqueio;

V - portabilidade;

VI - eliminação;

VII - informação de compartilhamento;

VIII - informação sobre a possibilidade de não consentir;

IX - revogação do consentimento;’’

Os direitos dos titulares descrito no rol do artigo 18º é a efetivação do princípio da transparência estabelecido no artigo 7º da LGPD, onde os agentes devem na prática estar aptos a desenvolver com maestria todos os requisitos acima apontados sob pena de incorrer em eventuais ações tanto no âmbito da responsabilidade civil como do CDC (princípio da informação art. 6º, III) também aplicável em situações que envolva o adestramento correto de dados dos particulares.

III. COMO PROSSEGUIR COM A TUTELA DEVIDA DOS DIREITOS PERSONALÍSSIMOS DO TITULAR.

De acordo com dados divulgados pela Agência Nacional de Saúde Suplementar (ANS) no ano de 2020, existem em média no Brasil 46,7 milhões de beneficiários de convênios médicos (quantitativo esse considerando pessoas com ou sem assistência odontológica). Estabelecendo uma média com o número de 209 milhões de habitantes no Brasil significa uma porcentagem de 22,34 % do total.[1]

Dessa forma, considerando a informação acima conclui-se a existência de muitos dados pessoais (comuns e sensíveis) que dependerão de novas políticas de gerenciamento de dados e boas práticas de governança das cooperativas de saúde para que não incorram em violações e consequentemente possíveis punições tanto no âmbito jurídico quanto pela Autoridade Nacional de Proteção de Dados - ANPD. Assim, quais medidas práticas a serem tomadas?

Observemos algumas medidas que devem ser implantadas tanto pela cooperativa, quanto pela Home Care:

1. Treinar toda a equipe de trabalho, instruindo a todos para que sejam atenciosos com relação ao CONSENTIMENTO FORMAL do titular dos dados, explicando o porquê o recolhimento de dados é necessário e qual tratamento será feito. [2]
2. Além do recolhimento, as empresas têm como missão facilitar os dados pessoais para que o usuário possa por livre e espontânea vontade e sobretudo de maneira direta, realizar modificações com relação ao seu cadastro. Para isso pode ser uma plataforma online segura ou até mesmo com a instalação de uma ‘’ouvidoria’’ para que as solicitações do usuário sejam atendidas.
3. Investir em tecnologia de ‘’ponta a ponta’’, ou seja, em um sistema de criptografia que permita maior segurança nas conversas com os pacientes. Isso é de extrema relevância, pois com o avanço da ‘’telemedicina’’, informações privativas entre médico e paciente, psicólogo e paciente e até dados a serem inseridos para fins de prontuário médico devem permanecer em sigilo;
4. Investir em um Data Protection Oficcer - DPO[3], ou seja, um ''Encarregado de Proteção de Dados'', o qual munido de todo conhecimento a respeito da a LGPD, saberá com bastante sobriedade manejar ‘’reclamações e comunicações dos titulares’’; ‘’receber comunicações da autoridade Nacional e adotar providências’’; ‘’Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação ao tratamento de dados pessoais’’ e por fim ‘’executar as demais atribuições determinadas pelo controlador ou estabelecimentos em normas complementares.’’
5. O Compartilhamento no caso das cooperativas de saúde e home care que são do âmbito privado, diferente do setor público, não podem realizar compartilhamento de dados sem o consentimento prévio do titular;
6. Exclusão dos dados pessoais quando for concluída a real finalidade pela qual foi armazenado;
7. Destaca-se ainda como medida a ser adotada a boa prática de governança[4] a qual por meio do dispositivo 50º da LGPD prevê um ‘’ambiente de autorregulação regulada'', em que é facultado o estabelecimento de padrões e boas práticas de atuação, dentro dos esquadros normativos estabelecidos pela lei e pela regulamentação posta pela autoridade competente.’’[5]. Com isso, conclui-se que os agentes econômicos possuem liberdade na adoção de padrões de segurança, ao escolher por livre convencimento associações representativas e organizações padronizadas. Destas destacam-se como a mais relevante a: ISO - International Organization for Standardization.[6]

IV - IMPOSSIBILIDADE DO CONSENTIMENTO POR CONTA DA INCAPACIDADE ABSOLUTA OU RELATIVA DO PACIENTE, COMO PROSSEGUIR NESSE MOMENTO?

Crianças e adolescentes também são pessoas que necessitam de cuidados médicos, seja em uma clínica particular como em casa no caso de uma Home Care devido às peculiaridades que ela possui. Assim, o agente econômico deve atentar-se para a regra descrita no artigo 14º, parágrafos 1º e 5º da LGPD e sobretudo observações relacionadas à capacidade absoluta ou relativa descrita no Código Civil.

Embora o legislador tenha cometido um equívoco em função do estabelecimento de uma certa tutela ao público adolescente, como poderá ver abaixo, com relação às crianças ele é bastante claro ao definir que no parágrafo 1º:

‘’Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.’’ (Grifo Nosso)

No caso das crianças, ou seja, meninos e meninas que possui até 12 (doze) anos de idade como preceitua o Estatuto da Criança e do Adolescente - ECA, elas ainda possuem um desenvolvimento psíquico ainda incompleto para tomar decisões complexas que podem incorrer em complicações futuras e por isso cabe aos pais ou responsável legal (sempre tomando por base o melhor interesse) dar o consentimento específico.

Cumpre destacar que os dados recolhidos devem estar acessíveis de maneira pública, sobretudo a forma de sua utilização bem como a exercício de direito já descrito no artigo 18º da referida lei. As cooperativas de saúde e Home Care também não poderão condicionar a participação dos responsáveis pelo consentimento descrito no § 1º em ‘’jogos, aplicações da internet, ou outras atividades’’ com a finalidade de extrair mais informações além das necessárias, observemos:

‘’(...) § 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.’’ (Grifo Nosso)

Existe uma certa exceção a qual pode ser empregada de maneira excepcionalíssima que é a coleta de dados sem o aval dos titulares descritos no § 1º que se dará para contatar os pais ou responsáveis, nesse caso não poderá haver ‘’armazenamento’’ desses dados coletados e esse processo só poderá ocorrer uma única vez e muito menos as informações colhidas será passada a terceiro sem consentimento prévio.

§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.

A medida deve ser bem pensada pela empresa, visto que é uma utilidade única e não do âmbito do dia a dia. Com isso, concluindo esse tópico as empresas deverão agir da seguinte maneira:

• Deve promover esforços tecnológicos que comprovem a participação de pelo menos um dos pais ou responsáveis com relação ao ‘’consentimento específico’’ apresentado ao tratamento dos dados pessoais dos seus filhos e assistidos. Para isso, devem estar disponíveis tecnologias e programas digitais que proporcionem esse quesito.
• Conscientização a todos os profissionais da empresa, em especial aos que lidam com o acolhimento e manejo de dados pessoais para que não colham informações além das que são ‘’estritamente’’ necessárias ao tratamento médico.
• Como em outros casos descritos no artigo 18º da LGPD, o setor da saúde precisa modernizar a forma como operacionaliza o armazenamento e gerenciamento de dados, tendo em vista que neste tópico as informações deverão estar em caráter público e disponível para possíveis alterações e remoções por parte das figuras responsáveis previstas no parágrafo 1º do art. 14 da LGPD.

Mas e aos que possuem capacidade relativa, ou seja, aos jovens (‘’adolescentes’’) entre 16 dezesseis e 18 dezoito anos de idade? O legislador nesse ponto comete um equívoco que acredito ser relevante, pois embora o Código Civil e o ECA presumem certa autonomia, eles não aboliram o fato desse grupo também estar em desenvolvimento maturo incompleto e que, portanto, a opinião e supervisão dos pais ou do responsável legal devem fazer parte das situações que eles estiverem passando.

Isso, portanto, significa que deveria haver tutela dos pais nem que seria na supervisão do recolhimento e dos sistemas e não necessariamente na tomada de decisão direta, esta que se dá pelo adolescente. Nesse caso, mesmo com a LGPD estabelecendo bastante autonomia com relação aos adolescentes e não estabelecendo um papel para os pais/responsáveis é recomendável o seguimento desse quesito:

• Explicar e oferecer não apenas ao adolescente que seus dados serão tratados com a finalidade estritamente voltada para a área médica, contudo incluir a participação dos pais, dispondo para eles a mesma explicação e outras formas de segurança apresentadas ao relativamente capaz.
• Seguir os mesmos padrões de segurança estabelecidos a criança com relação ao compartilhamento de dados com terceiro e recolhimento do mesmo na hipótese do ‘’não consentimento’’.

Tudo isso é preciso, porque a lei ainda é um pouco incipiente e com certeza estará sujeita a mais regulamentações quando atingir certo grau de efetividade. Inclusive, não podemos nos abstrair do fato que o ordenamento jurídico é uma comunhão entre normas e princípios e por esse motivo importante é que os conceitos teóricos e práticos fixados no ECA e no Código Civil com relação à criança e ao adolescente não podem ser deixados de lado.

Para finalizar, apenas para complementar, no caso de a pessoa ser considerada 'relativamente incapaz judicialmente', recomenda-se o seguimento das observações acima apresentadas no caso da paciente não conseguir tomar decisões por si próprio por conta de alguma morbidade física ou mental que o comprometa estar a par do ‘’consentimento específico’’. Na situação do pródigo e outros casos relativamente capazes que conseguem discernir graus de consentimento não será necessária a presença de um titular, pois nesse quesito estará apto a prestar essas informações.

V - FOCO DA AGENDA REGULATÓRIA BIANUAL 2021-2022 DA AUTORIDADE NACIONAL DE PROTEÇÃO TEM COMO FOCO EMPRESAS DE PEQUENO/MÉDIO PORTE E STARTUPS.

Neste ano, a Agência Nacional de Proteção de Dados - ANPD lançou a Portaria nº 11 de 2021, tornando pública a agenda regulatória a qual tem validade para os próximos dois anos, estabelecendo dez temas prioritários. O documento ainda prevê o prazo previsto para o início do processo de regulamentação dos temas, dividindo o lapso temporal em três frases.

Observemos o que nos infere o interior teor da agenda que terá como foco as pequenas e médias empresas no adestramento de tratamento de dados:

• Divisão de fases:

‘’(...) CONSIDERANDO o constante dos autos do Processo nº 00261.000027/2021-64, resolve:

Art. 1º Tornar pública a Agenda Regulatória da Autoridade Nacional de Proteção de Dados - ANPD para o biênio 2021-2022, na forma do Anexo a esta Portaria, aprovada pelo Conselho-Diretor na Reunião Deliberativa nº 1.

Art. 2º Os Projetos de Regulamentação recebem as seguintes classificações de priorização nesta Agenda Regulatória:

Fase 1 - iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano;

Fase 2 - iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano e 6 meses;

Fase 3 - iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 2 anos.’’ (Grifo nosso)

Dentro da agenda estão inseridas diversas atividades, como a confecção do ‘’Regimento Interno da ANPD’’; ‘’Planejamento Estratégico'' e dentre outras ‘missões’ com a função de fortificar a estrutura da autoridade nacional e a ampliação da aplicação da LGPD em empresas:

Para tanto, esses são um dos temas a serem abordados em fases pela agenda estabelecida pela ANPD. Abrangendo várias situações e setores, como a regulamentação diferenciada da LGPD para startups, empresas de pequeno porte. Isso significa que além das mudanças gerais a serem aplicadas desde já, essas terão que estar atentas a questões específicas que estarão disponíveis em breve.

REFERÊNCIAS:

ANTUNES, Thais. Segurança de Dados: O que muda na área da saúde com a LGPD?. Blog Helio Print. 2020. Disponível em: https://helioprint.com.br/blog/segurança-de-dados-saúde-lgpd/

‘’Dados Gerais: beneficiários de planos privados de saúde, por cobertura assistencial (Brasil 2010 - 2020)’’ . ANS: Agência Nacional de Saúde Suplementar. 2020. Disponível em: https://www.ans.gov.br/perfil-do-setor/dados-gerais

BRASIL. Lei Geral de Proteção de Dados. Capítulo II - Do Tratamento de Dados Pessoais (Seção I - Dos Requisitos para o Tratamento de Dados Pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

BRASIL. Lei Geral de Proteção de Dados. Capítulo III - Dos Direitos do Titular. Art. 18. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

BRASIL. Lei Geral de Proteção de Dados. Seção III - Do Tratamento de Dados Pessoais de Crianças e Adolescentes. Art. 14º, § 1º, 2º, 3º Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

BRASIL. Lei Geral da Proteção de Dados. Seção II - Das Boas Práticas de Governança. Art. 50º. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

BRASIL. Portaria nº 11 de 2021 de 27 de janeiro de 2021. Anexo 1 - Agenda Regulatória 2021-2022. Disponível em: https://www.in.gov.br/en/web/dou/-/portarian11-de-27-de-janeiro-de-2021-301143313

STINGHEN, João; MARTINELLI, Anielle; ALVES, Davis. ‘’LGPD ESSENTIALS: Cartilha de comentários aos principais artigos da lei.’’. Associação Nacional dos Profissionais de Privacidade de Dados - ANPPD. 2021

‘’O que é LGPD: como essa lei impacta o setor da saúde e a entrega de valor.’’ Blog do Valor em Saúde. 2020. Disponível em: https://www.drgbrasil.com.br/valoremsaude/o-queelgpd/

1. ANS. ‘’Dados Gerais: beneficiários de planos privados de saúde, por cobertura assistencial (Brasil 2010 - 2020)’’ . ANS: Agência Nacional de Saúde Suplementar. 2020. Disponível em: https://www.ans.gov.br/perfil-do-setor/dados-gerais ↑

2. Obs: No quesito ‘’1’’ seria interessante incluir na explicação o período que aqueles dados permaneceram no sistema. Informando que após o tratamento os mesmos serão excluídos, informando ainda que como prova de tal feito o titular receberia tal confirmação por alguma plataforma digital. ↑

3. Além do ‘’Encarregado’’ há também a figura de outras três pessoas na proteção dos dados e elas são: ‘’Controlador de Dados’’ responsável pelo uso de dados da empresa ‘dominando’ a maneira com que são utilizados e ‘’Operador’’ responsável por processar as informações, armazenando e operacionalizando sob a supervisão das orientações do Controlador. O interessante é que diferente da GPDR europeia, no Brasil as cooperativas de saúde como a Home Care poderão ‘’terceirizar’’ esse serviço para empresas especializadas no ramo. ↑

4. ‘’Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.’’ ↑

5. STINGHEN, João; MARTINELLI, Anielle; ALVES, Davis. ‘’LGPD ESSENTIALS: Cartilha de comentários aos principais artigos da lei.’’. Associação Nacional dos Profissionais de Privacidade de Dados - ANPPD. 2021 ↑

6. A International Organization for Standardization - ISO dentre a Associação Brasileira de Normas Técnicas - ABNT e o Instituto Nacional de Padrões e Tecnologia é a que possui mais relevância nas instituições certificadoras. Ela possui alto padrão de segurança de informação (SI) sendo seu eixo temático: ISO 27001; ISO 27002; ISO 27005; ISO 27701 conforme descreve a cartilha lançada pela ANPPD. ↑