O Tratamento de Dados Pessoais na Área na Saúde

Atualmente, as instituições de saúde, bem como seus profissionais, deram início a adoção de novas tecnologias no ambiente de trabalho e, para tanto, passaram a fazer o uso de armazenamentos de dados em nuvens, prontuários eletrônicos e manuseio de aplicativos de saúde para garantir o acesso das informações médicas aos pacientes.

Os dados médicos dos pacientes trazem benefícios para o aperfeiçoamento dos serviços em saúde, no entanto, a grande preocupação na prática é sobre a segurança e a privacidade do paciente.

Quando se fala em quebra de segurança no manuseio de informações de pacientes, tem-se a falha de segurança que ocorreu em 2018 no aplicativo E-Saúde, disponibilizado pelo Ministério da Saúde, o qual teria exposto, durante meses, dados pessoais de milhares de usuários do Sistema Único de Saúde (SUS). Por meio dessa brecha, foi possível obter dados básicos, como o cartão do SUS em nome do titular, informações médicas detalhadas, histórico de retirada de medicamentos e a agenda de consultas na rede pública.[i]

Nesse caso, é possível identificar a vulnerabilidade desses dados médicos e o valor econômico que podem representar, além da violação da privacidade dos usuários que tiveram suas informações íntimas expostas.

A Redbelt, consultoria especializada em segurança cibernética, mapeou quais são os dados que os hackers buscam ao invadir os sistemas das instituições de saúde, sendo eles[ii]: informações bancárias; dados pessoais que podem ser vendidos no mercado negro para fraudes de seguros, para realização de identidades falsas ou ainda para a obtenção ilegal de medicamentos; e a violação de dados privados sensíveis de pessoas públicas ou políticas.

Verifica-se através de pesquisas, que grande parte dos problemas enfrentados pelas instituições são resultados da falta de investimento no tratamento de dados, o que consequentemente facilita o ataque de hackers.

Umas das vulnerabilidades encontradas dentro das instituições é a utilização de sistemas tradicionais que foram programadas por fornecedores que não estão mais no mercado, rede wi-fi com senhas inseguras, ausência de módulos de backup, sistemas sem recursos de proteção extras, compartilhamento de funcionários, firewalls inadequados, má-fé dos agentes de tratamento, falta de política interna, dentre outros.[iii]

Oportunamente, o tema vazamento de dados merece ênfase em razão da Lei Geral de Proteção de Dados (LGPD) nº. 13.709/2018, sancionada no dia 14 de agosto de 2018.

A inovação desse novo marco regulatório trouxe para o processo de tratamento, diretrizes que se aplicam a todos os setores, principalmente para a área da saúde. Sua aplicação é transversal e multisetorial, tanto no âmbito público e privado, online e off-line.[iv]

A LGPD regulamenta o tratamento de informações relacionadas as pessoas físicas, contudo terá impacto nas atividades das pessoas jurídicas, utilizando ou não meios digitais, com o objetivo de proteger a privacidade e o livre desenvolvimento da personalidade (Artigo 1º).

Na esteira dessa regulamentação, importante frisar que as pessoas jurídicas, seja na esfera privada ou pública e independente do seu tamanho, deverão seguir as medidas determinadas pela Lei, bem como se preocupar com a cibersegurança, pois as que não se adequarem sofrerão multas e penalidades a ponto de comprometerem suas operações econômicas.

A referida Lei tipifica os dados de saúde como dados sensíveis (Artigo 11) e estabelece que o tratamento deve ser realizado de forma diferenciada, com camadas de segurança adicionais, com bases legais distintas e mais restritivas do que as demais. Prevê também a obrigatoriedade do consentimento expresso do titular.

Com isso, as instituições de saúde devem entender o impacto da LGPD em suas atividades e saber como se adequar às suas regras. É necessário que os agentes de tratamento adotem medidas efetivas para que as operações estejam de acordo com os seguintes princípios estabelecidos na lei: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, não discriminação, responsabilização e prestação de contas.

Em razão desses princípios é fundamental que as instituições revisem e adequem suas políticas internas, contratos, procedimentos e demais atividades que contenham tratamento de dados pessoais, tanto de clientes como de empregados. As instituições devem manter também o registro de todas as medidas de adequação que foram adotadas, independente da base de dados existentes, a fim de trazer segurança jurídica as suas adequações.

Ademais, o artigo 42 da Lei determina que os agentes de tratamento de dados, o controlador e o operador, responderão solidariamente pela reparação de danos por incidentes de segurança da informação, uso indevido e não autorizado dos dados e pelo não cumprimento da lei. Todavia, a responsabilidade do operador poderá ser limitada às suas obrigações contratuais e de segurança da informação, caso não viole as regras impostas pela LGPD.

Sobre esses sujeitos, a lei estabelece que o controlador é a pessoa física ou jurídica, de direito público ou privado que tem a competência para tomar as decisões referentes ao tratamento de dados pessoais e o operador é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. Por isso, é fundamental definir nas instituições de saúde quem é o controlador e quem é o operador para definir os limites da responsabilidade.

Contudo, as instituições de saúde deverão se adequar até a vigência da norma prevista para agosto de 2020 conforme a MP nº 869/18 e assim evitar suas sanções e multas.

Para tanto, é primordial o auxílio técnico jurídico para se adequar a proteção de dados pessoais, e a segurança da informação e a adequação à norma nas instituições não devem ser encaradas como uma despesa, mas sim como um investimento, um diferencial de mercado. Em época de grandes escândalos de vazamento de dados, se adequar à norma é garantir a segurança, aumentar a confiança dos seus clientes, dar qualidade aos seus serviços e principalmente, se destacar no mercado de trabalho.

[i]<https://www1.folha.uol.com0.br/cotidiano/2018/01/1953472-brecha-em-aplicativo-do-sus-expos-informacoes-de-saúde-ate-de-temer.shtml> Acesso em 13 de janeiro de 2019.

[ii]<http://forumsaudedigital.com.br/crescem-os-ataques-de-hackers-as-instituicoes-de-saúde/> Acesso em 13 de janeiro de 2018.

[iii]<http://forumsaudedigital.com.br/crescem-os-ataques-de-hackers-as-instituicoes-de-saúde/> Acesso em 13 de janeiro de 2018

[iv]< https://www.jota.info/opiniaoeanalise/colunas/agenda-da-privacidadeeda-proteçâo-de-dados/lgpd-analise-detalhada-14072018> Acesso em 13 de janeiro de 2018.

#direitoetecnologia #inovaçãonasaude #leideprotecaodedados #lgpd

#lgpdnasaude #mmcadvocacacia #protecaodedados #tecnologianasaude

#direitodasaude