Do tratamento dos dados pessoais referentes à saúde em conformidade com a LGPD

Diante do atual cenário em que vivemos, o tema saúde se tornou um dos mais presentes em nossas vidas, não só pela pandemia causada pelo Covid-19 mas também pela tutela da saúde em si, como um direito fundamental previsto na Constituição Federal.

Em meio a esse cenário, também observamos o avanço de novas tecnologias e melhorias na área da saúde, onde cada vez mais a inteligência médica trouxe um grande fluxo de tratamento e compartilhamento de informações por parte de clínicas, médicos e pacientes. Diante deste contexto, as instituições da área da saúde precisaram se adequar aos termos da Lei Geral de Proteção de Dados (LGPD) quando do tratamento de dados pessoais de um titular, relacionados ao seu estado de saúde física ou mental.

Em aspectos gerais, a LGPD (Lei nº 13.709/2018) é a lei que regulamenta o tratamento de dados pessoais por meio de pessoas físicas ou jurídicas de direito público ou privado, através de meios físicos e/ou digitais, a fim de assegurar a inviolabilidade da intimidade, da honra, da imagem do titular dos dados, dentre outros fundamentos elencados na legislação.

A referida legislação traz um capítulo destacado acerca dos Dados Pessoais Sensíveis (art. 5º, II), os quais se tratam de dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Estes dados apenas podem ser tratados através do consentimento do seu titular ou responsável legal, de forma específica e destacada para a finalidade a que se destina (art. 11, I) ou, sem o consentimento do titular, em situações excepcionais (art. 11, II, a, b, c, d, e, f, g).

Resumindo, dado pessoal sensível é qualquer tipo de dado que possa gerar alguma situação de discriminação para com o titular daquela informação. Neste sentido, a título de exemplos de dados sensíveis referentes à saúde, poderíamos citar os exames médicos, informações de consulta, doenças, deficiências, prontuários médicos, imagens de cirurgias, etc.

Portanto, a proteção ao dado sensível pela LGPD causa forte impacto ao setor da saúde, já que esse setor também tem se utilizado do emprego de novas tecnologias as quais demandam grande manuseio de dados sensíveis, como, por exemplo, a utilização de inteligência artificial visando a novos tratamentos, a melhoria e redução de custos de procedimentos médicos e a prevenção de epidemias.

Mas, a pergunta que fica é: todos os dados tratados no serviço de saúde são considerados dados sensíveis aos olhos da LGPD? A LGPD não traz uma definição do que deve ser considerado dado de saúde. No entanto, pode-se extrair do Regulamento Europeu sobre privacidade e proteção dos dados pessoais (GDPR, ou General Data Protection Regulation), o qual inspirou a regulamentação da LGPD, a seguinte definição: “deverão ser considerados dados pessoais relativos à saúde todos os dados relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro” (Considerando 35).

Assim, podem ser considerados dados de saúde e, portanto, dados sensíveis aos olhos da LGPD, o histórico de saúde, informações sobre o uso de medicamentos, doenças atuais ou preexistentes, laudos, dados biométricos, guia de solicitação de exames, informações sobre alergias e até mesmo o mapeamento genético para saber se o paciente tem probabilidade de desenvolver uma determinada doença.

A distinção é relevante, pois a LGPD prevê bases legais diferenciadas para o tratamento de dados pessoais (artigo 7º) e de dados sensíveis (artigo 11), exigindo maior rigor no tratamento desses últimos e ainda a possibilidade de aplicações de sanções mais severas para o caso de vazamento dos referidos dados (artigo 52, I A XII e §1º, I A IX).

Portanto, os hospitais, clínicas e consultórios médicos, laboratórios e demais empresas da área da saúde terão que se adequar às exigências da Lei Geral de Proteção de Dados Pessoais, sobretudo, por lidarem rotineiramente com dados sensíveis de saúde dos pacientes.

Nesta perspectiva, os operadores da área da saúde deverão coletar apenas os dados estritamente necessários para o fim a que se destinam, garantir a transparência com os pacientes sobre as finalidades dos tratamentos de dados e os compartilhamentos que serão realizados com terceiros, realizar treinamentos de equipe, implementar controles de acesso, estabelecer Políticas de Privacidade e Segurança da Informação, aditar contratos para definir a responsabilidade e a posição de controlador ou operador de dados em cada contexto, dentre outras medidas.

Além da preocupação de garantir a proteção dos dados pessoais dos pacientes, os hospitais, clínicas e consultórios médicos, laboratórios e demais empresas da área da saúde também precisam tratar os dados dos seus colaboradores (médicos, enfermeiros, secretárias, assistentes e demais profissionais colaboradores) em conformidade com as normas da LGPD. Assim, a privacidade e a proteção de dados pessoais é um novo valor que deve ser perquirido por todos estes operadores da área da saúde.

Por fim, o alinhamento das instituições da área da saúde e de seus colaboradores aos preceitos da Lei Geral de Proteção dos Dados deve ser interpretado como um investimento de ganho imediato, pois estar compliance com a referida legislação é uma excelente oportunidade para a realização de novos modelos de negócios, tendo em vista que aumentar o nível de privacidade, segurança, gerenciamento e até de descarte de dados pode ser encarado também como um diferencial em um mercado tão competitivo como o de hoje.

Ficou com alguma dúvida? O Garcia & Garcia Advogados Associados se coloca à disposição para auxiliar você.