A Lei nº 13.709, de 14 de Agosto de 2018 (Lei Geral de Proteção de Dados), em seu art. 1, “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” .
Diante desse aspecto disposto na LGPD, podemos perceber que a área da saúde deve implantar, com urgência, um programa de adequação das clínicas e/ou hospitais à referida legislação.
Normalmente, as clínicas e hospitais acabam recebendo dados sensíveis das pessoas.
Dados pessoais sensíveis são aqueles que tratam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O prontuário médico, por exemplo, vai muito além da patologia e tratamento, contendo inúmeros dados e informações sensíveis de uma única pessoa.
De que forma o hospital ou a clínica irão tratar esses dados?
Como pode ser implantado um programa para que esses dados não sejam vazados?
Esse é o maior desafio às clínicas e hospitais!
Precisamos estar atentos que a LGPD visa principalmente o respeito à privacidade e à inviolabilidade da intimidade, da honra e da imagem de uma pessoa.
Para dar cumprimento à LGPD, a clínica e o hospital deve começar pelo comprometimento do GESTOR, demonstrando o envolvimento da instituição com as normas de proteção de dados e principalmente, o efetivo interesse em desenvolver o compliance, integrando a conformidade das normas internas à política de adequação.
O Programa de Governança necessita de gestão e atualização contínua, e, para tanto, deverá sempre ser revisado e reavaliado, de modo a garantir que continue fazendo sentido para a organização. Ou seja, o Programa de Privacidade e Proteção de Dados vai muito além de criar políticas e procedimentos.
Dito isso, a construção de um Programa de Privacidade não ocorre do dia para a noite e, sim, no longo prazo, posto que é, antes de mais nada, uma questão de cultura organizacional.
A adequação precisa ser feita em partes, vejamos:
- Definir equipe multifuncional para desenvolvimento e implementação do projeto de adequação
- Nomear DPO: recomenda-se que haja uma equipe de suporte à pessoa designada para o cargo. Necessária independência do DPO perante as demais áreas, inclusive perante a Diretoria executiva
- Compartilhamento de risco: entre as áreas envolvidas, sobretudo Jurídico e TI
- Elaborar um projeto de avaliação de maturidade dos controles e fluxos internos existentes referentes à privacidade e à proteção de dados
- Envolver as áreas de Segurança da Informação, TI, Riscos, Compliance, Controles Internos e Jurídico nesta análise
- Contratar serviços de softwares seguros, utilização de programas licenciados
- Identificar possíveis gaps no tratamento
- Elaborar plano de adequação e novas políticas aplicáveis, interna e externamente (também aos fornecedores)
- Atualizar as políticas de compliance
As sanções pelo descumprimento da legislação vão de 2% do faturamento anual até o limite de cinquenta milhões de reais.
Também poderá ter a suspensão do direito de tratamento de qualquer dado pessoal durante 6 meses – e assim prorrogável por igual período até a regularização, o que irá inviabilizar a atividade empresarial da clinica ou do hospital.
A LGPD determina o tratamento dos dados coletados.
Há, portanto, a necessidade de que os dados coletados sejam mantidos e tratados com segurança, havendo a necessidade do consentimento do titular dos dados, bem como que os dados sejam tratados de acordo com a finalidade para a qual foram coletados.
Caso os dados coletados sejam utilizados para finalidades diferentes para a qual foram coletados, restará caracterizada a ilicitude e a empresa sujeita às sanções.
Há a mais absoluta necessidade das clínicas e hospitais nomearem/contratarem um DPO, que será o encarregado que garantirá, de forma independente, que a organização siga a legislação de proteção de dados.
Portanto, estando, já, a LGPD em vigência, a área da saúde deve, o quanto antes, adequar todo o seu procedimento para fazer cumprir a legislação.
Assim, trará mais segurança aos pacientes e irá mitigar os riscos de ações cíveis indenizatórias e sanções administrativas a serem impostas pela ANPD.
Dr. Alexandre Sutkus de Oliveira
OAB/PR 33.264
