LGPD na Medicina

Leis de Proteção de Dados - LGPD/GDPR e o médico

20/02/2020

O objetivo deste artigo é apresentar algumas questões iniciais sobre as leis de proteção de dados e sua influência na atividade do profissional médico, do consultório ou clínica, em uma linguagem que não exija o conhecimento técnico do direito ou de informática, destacando os seus principais pontos.

Conceitos iniciais

A Lei 13.709/2018, ou, Lei Geral de Proteção de Dados - LGPD, é a lei brasileira que tem por objetivo a proteção de dados pessoais. Foi promulgada em 14 de agosto de 2018, mas produzirá efeitos apenas a partir de agosto de 2020.

A LGPD teve por inspiração a GDPR (General Data Protection Regulation) que entrou em vigor na União Européia em 25 de maio de 2018, trazendo uma série de regras para utilização de dados pessoais e prevendo sanções graves em caso de não conformidade.

Ambas as leis têm por objetivo a proteção de DADOS PESSOAIS, que nos termos do art.5º, I, da LGPD são toda e qualquer "informação relacionada à pessoa natural identificada ou identificável".

Alguns pontos devem ser esclarecidos nessa definição trazida pela lei. O primeiro é o conceito de pessoa natural.

Pessoa natural é o ser humano, capaz de direitos e deveres. Usualmente nos referimos à essa pessoa como "pessoa física", no entanto, embora se refira também ao ser humano, este termo é reservado ao direito tributário.

Assim, os dados da pessoa natural e não de pessoa jurídica (sociedades empresárias ou não), são aqueles que essas leis pretendem proteger.

Os dados que levem à identificação de seu titular são os que devem ser protegidos e essa proteção se refere ao seu tratamento, ou seja, toda atividade realizada com dados pessoais, tais como coleta, armazenamento, compartilhamento, dentre outras definidas no art.5º, X.

Dentre os dados pessoais, ainda se observa uma divisão de classificação feita pela LGPD no art. 5º, II, que descreve os DADOS PESSOAIS SENSÍVEIS e confere a estes dados maior proteção, conforme abordaremos mais adiante.

Assim, o médico que tem um cadastro de seus pacientes, já está tratando dados pessoais e está sujeito às disposições da LGPD e em certos casos, também da GDPR.

Nesse cenário portanto, o médico é o CONTROLADOR (art.5º, VI), o seu paciente é o TITULAR DE DADOS e a simples coleta de informações para o cadastro do paciente é a ATIVIDADE DE TRATAMENTO DE DADOS.

Note-se que no cadastro de um funcionário por exemplo, a situação é a mesma, ou seja, há o titular de dados (funcionário), o controlador (médico/clínica) e o tratamento de dados (cadastro, compartilhamento com o contador, etc).

Direitos ARCO

A LGPD traz, nos artigos 18 a 21, direitos e garantias do titular de dados (seu paciente), que deverão ser observados por todos os Controladores (médicos/clínicas), são os chamados direitos ARCO, ou seja, direito de :

- Acesso - o paciente deve ser informado sobre quais dados são tratados e quais os tipos de tratamento estão sendo realizados (i.e. como compartilhamento);

- Retificação - o paciente deve ter o direito de corrigir e retificar seus dados que estão incorretos ou imprecisos;

- Cancelamento - ao paciente deve ser facultado solicitar o cancelamento do tratamento com o qual não concorda ou a eliminação de seus dados da base de dados do médico/clínica.

- Oposição - o paciente pode se opor a algum tipo de tratamento realizado com seus dados.

Para atender a todas as determinações legais, o Controlador (médico/clínica) deverá implementar soluções que viabilizem o exercício de tais direitos e um grande controle sobre os dados colhidos e tratados.

A questão não é meramente técnica nem apenas de TI (tecnologia da informação), como alguns pensam. Não se trata simplesmente de instalar um programa de computador que separe os dados pessoais e crie registros de tratamento.

A lei trouxe princípios e bases legais para que se realize o tratamento de dados pessoais, dentre eles :

Bases Legais :

  • Consentimento;

  • Cumprimento de obrigação legal ou regulatória;

  • Execução de políticas públicas;

  • Realização de estudo por órgãos de pesquisa;

  • Execução de contrato;

  • Exercício regular de direitos em processo judicial, administrativo ou arbitral;

  • Proteção da vida ou incolumidade física do titular ou de terceiro;

  • Para a tutela da saúde;

  • Por interesse legítimo do controlador ou terceiro (o conceito de interesse legítimo demanda uma análise complexa);

  • Para a proteção do crédito;

Princípios :

  • Finalidade - o tratamento de dados deve obedecer finalidade específica, não é possível mais tratar (colher, armazenar, compartilhar, etc.) dados com fins genéricos, não explícitos e não informados; Ou seja, se no cadastro de seu paciente existem informações irrelevantes para o atendimento médico, elas não devem ser mantidas.

  • Adequação - deriva do princípio anterior, os dados tratados devem ser compatíveis com a finalidade informada ao titular. Ex. Não se justifica a coleta de uma foto do paciente pelo médico que tratará de um problema pulmonar e na hipótese de haver justificativa, ela deve ser informada ao paciente.

  • Minimização - apenas os dados estritamente necessários devem ser tratados;

  • Livre acesso - ao titular de dados deve ser garantido o acesso a todas as informações sobre os dados tratados tratamentos realizados.

O que o médico/clínica deve observar

A aplicação da base legal correta é portanto uma exigência a qual o médico/clínica deve atender e a interpretação jurídica da atividade realizada, bem como seu enquadramento segundo a lei são fundamentais para a segurança do profissional e garantia da manutenção de seu negócio.

Existem determinadas situações nas quais o consentimento do paciente é suficiente para o tratamento de dados, no entanto, o consentimento pode ser revogado a qualquer momento, obrigando o Controlador a parar o tratamento dos dados, ou até mesmo excluí-los.

Deste modo fica claro que ter o consentimento como única base legal aplicável é temeroso, devendo o Controlador conhecer suas alternativas, por meio do enquadramento jurídico de sua atividade às disposições legais.

Existem situações nas quais a identificação correta da base legal garantirá ao médico/clínica o respaldo jurídico para a manutenção dos dados em seu cadastro e até o compartilhamento da base de dados de seus pacientes, sem incorrer em qualquer ato de má-fé ou responsabilidade.

O trabalho jurídico é dirigido ao enquadramento da atividade aos princípios e bases legais e deve ser realizado com conjunto com o trabalho de um profissional de TI.

Como a LGPD é uma novidade, muitos dos exemplos que podem indicar o que acontecerá por aqui vem da GDPR- General Data Protection Regulation, vigente no Espaço Econômico Europeu.

Por lá, algumas situações inusitadas relativas ao tratamento de dados geraram multas altas e servem de alerta para todos que se submeterão às regras da LGPD.

Como exemplo, cito uma multa aplicada pela Autoridade Espanhola de Proteção de Dados à uma empresa denominada Cafeteria Nagasaki em 04/02/2020 (este mês portanto), no valor de 1.500 Euros, apenas porque suas câmeras de vigilância monitoravam o espaço público (fora das suas instalações) e com isso afetava os direitos dos pedestres.

Forçoso concluir que toda atividade deve ser analisada, mesmo em relação a terceiros, que não são necessariamente o público atendido pelo controlador (no caso do médico, o paciente).

O que o médico/clínica deve buscar no programa de conformidade

Para o sucesso da implantação de um programa de conformidade que garanta segurança para o médico/clínica, determinados procedimentos devem ser implementados, tais como:

  • Uso de sistemas de informática que viabilizem o registro do tratamento (desde a coleta até a eliminação);

  • Implementação de ferramentas de controle dos requerimentos dos titulares de dados;

  • Criação de políticas de proteção de dados;

  • Criação/revisão de contratos, Termos de Consentimento Informado, fichas cadastrais, etc.

  • Revisão de procedimentos e treinamento de equipe.

Veja que toda a atividade do médico/clínica deve ser analisada por um profissional do direito com conhecimento específico sobre o tema e um profissional de TI, que em conjunto elaborarão o Sistema de Gestão e Proteção de Dados a ser adotado (SGPD).

Os Dados Pessoais Sensíveis e a atividade médica

No caso da atividade médica é preciso ainda maior cuidado, pois dados referentes à saúde ou à vida sexual, dado genético ou biométrico estão elencados na lei como DADOS PESSOAIS SENSÍVEIS (art.5º, II) e nessa condição recebem mais proteção.

Para o tratamento desta categoria de dados, a LGPD traz na Seção II, arts.11 a 13, regras específicas aplicáveis nas hipóteses em que o consentimento é dado pelo paciente e outras nas quais ele é dispensável.

Há ainda situações nas quais os dados pessoais tratados pelo médico precisam ser compartilhados, sob pena do profissional incorrer na prática de crime. É o caso da notificação compulsória de doença prevista no art.269 do Código Penal. Para esse tipo de compartilhamento é preciso identificar a base legal e para evitar futuras discussões, ter registros e documentos sobre o tratamento de dados dos pacientes.

No art.11 a lei veda a comunicação ou uso compartilhado de dados com objetivo de obter vantagem econômica (art.11 §4º) :

"Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

[..]

§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

I - a portabilidade de dados quando solicitada pelo titular; ou

II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo."

Conclui-se que são grandes os riscos inerentes à guarda e compartilhamento de informações aos quais o médico e as clínicas estão sujeitos.

A ANPD - Autoridade Nacional de Proteção de Dados e as sanções da LGPD

Será criada a ANPD - Autoridade Nacional de Proteção de Dados e dentre outras competências, a ela caberá :

  • zelar para proteção dos dados pessoais;

  • elaborar diretrizes para uma Política Nacional de Proteção de Dados Pessoais e da Privacidade;

  • fiscalizar e aplicar sanções em caso de tratamento de dados em desconformidade com a legislação.

A LGPD traz a previsão de sanções no art.52, como abaixo transcrito :

"Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

VII - (VETADO);

VIII - (VETADO);

IX - (VETADO).

X - (VETADO);

XI - (VETADO);

XII - (VETADO);

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados."

O médico/clínica, que trata dados pessoais nos termos da LGPD está sujeito ao controle pela ANPD e às sanções previstas na lei, mas além desse controle administrativo, o que se preconiza é um cenário no qual a conscientização do titular de dados (paciente/funcionário) sobre a importância e necessidade de proteção de seus dados, levará as discussões também para o judiciário.

Não serão raros os casos de distribuição de ações com base na lei para proteção de seus direitos, bem como ações do Ministério Público no sentido de impedir práticas dos controladores que não observem as exigências da LGPD.

O valor das multas é alto, mas existem sanções ainda mais graves, como o bloqueio do tratamento de dados ou a publicização da infração cometida, o que acarretará evidentes danos à imagem do profissional médico, da clínica envolvida.

Deveres e responsabilidades do Operador e do Controlador

A LGPD traz ainda a figura do OPERADOR, que é aquele que realiza o tratamento de dados a mando do controlador.

Em determinadas hipóteses o profissional médico pode se enquadrar no papel de controlador e em outras de operador, mas em qualquer delas pode ser responsabilizado, nesses termos cabe transcrever o disposto no art.42 da lei :

"LGPD - Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo."

Já o inciso I dispõe que o operador responde solidariamente pelos danos causados pelo tratamento, caso descumpra as obrigações legais ou trate os dados não seguindo as orientações do controlador:

"LGPD - Art.42, inciso I

o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;"

A lei ainda prevê várias obrigações para o operador, tais como responder à ANPD, manter o registro das instruções dadas pelo controlador para o tratamento e observar as normas aplicáveis :

"LGPD - Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria."

Fica claro assim que mesmo não sendo o médico o controlador, mas tão somente o destinatário dos dados que gerem uma possível infração, ele pode responder administrativa e judicialmente e se sujeitar às sanções.

O Relatório de Impacto sobre a Proteção de Dados (art. 38 LGPD / Art.37 GDPR)


A GDPR (EU) determina que em determinadas atividades de tratamento, se faça a AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (AIPD), antes mesmo de realizar o tratamento. O Art.37 da GDPR (Regulamento 2016/679), dispõe:

"1. Quando um tipo de processamento, em particular utilizando novas tecnologias, e levando em conta a natureza, o escopo, o contexto e os propósitos do processamento, possa resultar em um alto risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve, previamente ao tratamento, realize uma avaliação do impacto das operações de processamento previstas na proteção de dados pessoais. 2 Uma única avaliação pode tratar de um conjunto de operações de processamento semelhantes que apresentam riscos altos semelhantes.

[..]

3. É necessária, em especial, uma avaliação de impacto na proteção de dados a que se refere o n.o 1 no caso de:

[..]

(b) Tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9º, nº 1, ou de dados pessoais relacionados com condenações e infrações penais referidas no artigo 10º ; ou"

"art.9, 1

Processamento de dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação a sindicatos, e processamento de dados genéticos, dados biométricos com o objetivo de identificar exclusivamente uma pessoa natural, dados relativos à saúde ou dados relativos a vida sexual ou orientação sexual da pessoa é proibido."

Deste modo, em determinadas situações se exige do controlador da área médica a realização da AIPD, justamente em razão da natureza dos dados pessoais com os quais trabalha e a classificação como grande escala.

Existem na GDPR 170 notas explicativas (os "considerandos"), que servem para melhor interpretar os comandos contidos nos artigos.

Em relação ao art.37, existe "Considerando 91", que traz uma hipótese de descaracterização do que se entende por grande/larga escala, no caso da atividade do médico, contador e advogado, dispensando-os do AIPD, vejamos:

"O tratamento de dados pessoais não deverá ser considerado de grande escala se disser respeito aos dados pessoais de pacientes ou clientes de um determinado médico, profissional de cuidados de saúde, hospital ou advogado. Nesses casos, a realização de uma avaliação de impacto sobre a proteção de dados não deverá ser obrigatória."

Nossa LGPD ainda carece de regulamentação em diversos pontos, até mesmo pela falta da ANPD que terá esse papel regulador, mas o modelo da GDPR já serve de orientação para o que devemos encontrar por aqui.

Na LGPD o RELATÓRIO DE IMPACTO aparece no art.38 :

"Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados."

Assim, apesar de não definida a obrigação, a ANPD já conta com a previsão legal para regulamentar as obrigações de produção deste relatório e é possível que siga os "caminhos" traçados pela GDPR acima descritos, razão pela qual é interessante a todo e qualquer programa de conformidade considerar as melhores práticas já adotadas na GDPR.

Multas na GDPR

Na Europa, a GDPR está produzindo efeitos desde 23/05/2018 e a falta de conformidade vem gerando a aplicação de sanções graves a todo tipo de controlador da área médica.

Existe um site cujo objetivo é dar transparência às multas aplicadas e informa detalhadamente, por país, valores, nomes dos controladores/processadores (equivalente ao nosso operador na LGPD) e razões da não conformidade. Link : https://www.enforcementtracker.com

Abaixo algumas multas aplicadas com valores entre 30 mil e 400 mil Euros :



País

ITÁLIA

Data

23/01/2020

Valor (Euro)

30.000

Controlador/Processador

Azienda Ospedaliero Universitaria Integrata di Verona (Hospital)

Infração

Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação

Resumo

A multa foi precedida pelo acesso aos dados de saúde por pessoas não autorizadas, permitindo que um estagiário e um radiologista obtivessem acesso aos dados de saúde de seus colegas. As investigações revelaram que as medidas técnicas e organizacionais adotadas pelo hospital para proteger os dados de saúde se mostraram insuficientes para garantir a proteção adequada dos dados pessoais dos pacientes, resultando em processamento ilegal de dados. De acordo com a autoridade de proteção de dados, a violação poderia ter sido evitada se o hospital tivesse simplesmente seguido as diretrizes para registros de saúde emitidas pela autoridade de proteção de dados em 2015, que estipulam que o acesso aos registros de saúde deve ser restrito apenas ao pessoal de saúde envolvido no paciente Cuidado.


País
ALEMANHA

Data

03/12/2019

Valor (Euro)

105.000

Controlador/Processador

Hospital

Infração

Não conformidade com os princípios gerais de processamento de dados

Resumo

A multa é baseada em várias violações do RGPD em conexão com uma confusão do paciente na admissão do paciente. Isso resultou em faturamento incorreto e revelou déficits técnicos e organizacionais estruturais no gerenciamento de pacientes do hospital.


País
PAÍSES BAIXOS

Data

18/06/2018

Valor (Euro)

460.000

Controlador/Processador

Hospital de Haga

Infração

Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação

Resumo

O Hospital Haga não possui uma segurança interna adequada dos registros dos pacientes. Esta é a conclusão de uma investigação da Autoridade Holandesa de Proteção de Dados. Essa investigação se seguiu quando pareceu que dezenas de funcionários do hospital haviam verificado desnecessariamente os registros médicos de um conhecido holandês. Para forçar o hospital a melhorar a segurança dos registros dos pacientes, o PA impõe simultaneamente um pedido sujeito a uma penalidade. Se o Hospital Haga não tiver melhorado a segurança antes de 2 de outubro de 2019, o hospital deverá pagar 100.000 EUR a cada duas semanas, com um máximo de 300.000 EUR. Enquanto isso, o Hospital Haga indicou tomar medidas.


País

PORTUGAL

Data

17/07/2018

Valor (Euro)

400.000

Controlador/Processador

Hospital Público

Infração

Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação

Resumo

A investigação revelou que a equipe do hospital, psicólogos, nutricionistas e outros profissionais tinham acesso aos dados dos pacientes através de perfis falsos. O sistema de gerenciamento de perfis parecia deficiente - o hospital possuía 985 perfis de médicos registrados e apenas 296 médicos. Além disso, os médicos tinham acesso irrestrito a todos os arquivos dos pacientes, independentemente da especialidade do médico.


A AWD Advogados Associados possui uma equipe de advogados e parceiros da área de tecnologia para implementação de programas de conformidade com a LGPD e GDPR, elaborando Sistemas de Gestão de Proteção de Dados para pequenas, médias e grandes empresas, bem como para profissionais da área médica.

Nossa equipe é composta por advogados e profissionais de TI com certificação em:

  • LGPD - Lei Geral de Proteção de Dados;

    • Opice Blum Academy

  • GDPR - General Data Protection Regulation do EEE (Espaço Econômico Europeu);

    • Exin Privacy & Data Protection Practitioner

    • Exin Privacy & Data Protection Foundation

  • ISO 27.001 (Sistema de Gestão da Segurança da Informação)

    • Exin Information Security Management Foundation ISO/IEC 270001

Autores :

Walter B. Duque - Advogado, sócio na AWD (www.awdconsultoria.com.br), com formação multidisciplicar pela EMERJ - Escola da Magistartura do Estado do Rio de Janeiro, especialista em direito digital, com certificação pela Opice Blum Academy em LGPD, Exin Privacy & Data Protection Practitioner, Exin Privacy & Data Protection Foundation, Exin Information Security Management Foundation ISO/IEC 270001 pela AdaptNow.

linkedin.com/in/walter-duque-010061b7

José Vicente Duncan de Miranda - Advogado, UFRJ - Direito, especialização em Direito Civil-Constitucional UERJ e IBP, experiência executiva multinacional - Vice-Presidente Comissão de Petróleo, Gás OAB/RJ