Dados médicos com frequência são objeto da ação de hackers em razão de seu altíssimo valor no mercado ilegal. Nos Estados Unidos, recentemente foram colocados à venda os registros de 10 milhões de pacientes na Deep Web.
Stefanie Rosso Sarnick (*)
A Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD), regulamenta a maneira pela qual os dados pessoais são utilizados por empresas, criando exigências para sua coleta, utilização, armazenamento e eliminação no meio físico e digital. Ainda, estabelece severas penalidades para as empresas que atuarem em desconformidade.
O intuito da LGPD é a proteção dos dados pessoais contra os abusos de empresas, que coletam informações de forma indevida para finalidades não especificadas, mas também a proteção em relação a cyberataques que possam colocar informações pessoais nas mãos de criminosos.
Os dados médicos, em especial, são objeto da ação de hackers com frequência em razão de seu altíssimo valor no mercado ilegal de dados. Nos Estados Unidos, recentemente foram colocados à venda os registros de 10 milhões de pacientes na Deep Web, contendo, além de dados pessoais como nome e dados de identificação, os históricos médicos pessoais.
Em contrapartida, é notável o grande fluxo de dados que empresas que atuam diretamente ou indiretamente no setor de saúde tratam, como prontuários, estado de saúde, laudos de exames, tratamentos realizados, histórico clínico, medicação indicada, entre outros.
A LGPD, com o objetivo de dar maior proteção ao tratamento de dados relacionados à saúde do titular, categoriza tais informações como “dados sensíveis”, cujas regras de coleta e utilização são ainda mais rígidas. Isso ocorre em razão da natureza de tais dados, que é potencialmente prejudicial ao titular, na medida em que a sua mera divulgação pode causar grandes prejuízos.
É, contudo, autorizado o tratamento de dados pessoais, inclusive sensíveis, em situações delimitadas pela própria LGPD, entre as quais se destaca a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Existem, ainda, outras normas que devem ser levadas em consideração quando se fala em tratamento de informações na área da saúde, como, por exemplo, a Lei nº 13.787/2018, que trata da digitalização de prontuários, que também prevê o tratamento de dados pessoais relacionados à saúde em situações específicas.
É relevante que toda empresa que atue no setor de atendimento à saúde observe, quando da implementação dos programas de conformidade, as normas aplicáveis ao seu ramo de atuação, e de que forma que elas se comunicam com as exigências da Lei Geral de Proteção de Dados.
Revisão do tratamento de dados
Em muitos casos, será necessário rever o tratamento realizado, eliminando dados não necessários, inclusive os já existentes nas bases antigas. Ainda, pode ser necessário solicitar o consentimento dos titulares para realizar o tratamento de alguns tipos de dados, e isso deverá ser analisado caso a caso.
A LGPD traz, também, a previsão de diversos direitos para o titular dos dados, que já podem ser exercidos a qualquer momento. Um deles é o de ter livre acesso aos dados pessoais tratados pela empresa, sabendo quais são e quais as finalidades do tratamento deles. Isso pode tornar necessária a criação de mecanismo centralizador das informações para facilitar esse processo.
As mudanças trazidas pela Lei Geral de Proteção de Dados são muitas, e exigem uma mudança de postura de todas as organizações, que estão habituadas a tratar dados pessoais sem muitas exigências. Isso impacta, em muito, empresas que atuam no setor de saúde, tratando dados pessoais potencialmente sensíveis.
Contudo, embora desafiador, o resultado de um programa de conformidade à LGPD bem estabelecido é, acima de tudo, a mudança cultural nas empresas, que passarão a ter o cuidado com dados pessoais inerente ao seu dia a dia.
(*) Advogada empresarial no escritório Rücker Curi Advocacia e Consultoria