A nova Lei Geral de Proteção de Dados (LGPD) vai exigir que empresas adequem o tratamento de dados pessoais dos clientes a regulamentos específicos. Um cenário mundial marcado por informações vazadas pela internet e a ameaça constante dos hackers, o projeto é considerado um marco na história da cibersegurança no Brasil, trazendo maiores garantias às instituições e pessoas físicas.
A adaptação à LGPD por parte das instituições de saúde, a grande novidade é o ajuste de todos os processos internos, sobretudo aqueles nos quais transitam informações sensíveis inerentes ao paciente/cliente. Portanto, clínicas, hospitais e laboratórios precisarão reavaliar o ciclo de vida de todos os dados coletados no atendimento ao paciente, além de seus dados internos. Tudo deverá ser inspecionado e documentado.
O sistema de segurança deverá ser atualizado e otimizado, sendo esse o primeiro passo. Por outro lado, a equipe que compõe o quadro de prestadores de serviços internos e externos deverá ser atualizada, ressaltando-lhe adequação à política interna de segurança, para a importância de informar antes ao paciente qual o uso das suas informações, bem como conferir se eles irão consenti-lo.
O ideal é que todos os funcionários entendam a responsabilidade do tratamento de dados em suas rotinas de trabalho. Será preciso criar uma verdadeira cultura de proteção de dados nas organizações.
Com a chegada da nova Lei Geral de Proteção de Dados, os pacientes assumem o papel de protagonista, com o direito de retificar os seus dados, excluí-los, restringir o tratamento das informações, portabilizar, revogar o seu consentimento e saber exatamente para que os seus dados serão utilizados.
A solicitação de atualização de dados deverá ser realizada de maneira clara para que o paciente saiba exatamente o que vai ser coletado, para que finalidade, se haverá compartilhamento de suas informações e com quem. Em caso de menores de idade ou dependentes, os dados somente poderão ser tratados com o consentimento dos pais ou responsáveis legais.
No caso de envio de dados a parceiros, é preciso que novos formulários de consentimento sejam solicitados.
Com isso, os pacientes têm todo o direito de, quando quiserem, pedir a correção dos dados, acesso a eles, ou, até mesmo, sua exclusão por parte da instituição. Além disso, informações relativas a posicionamento político, condições de saúde, vida sexual e características físicas devem ser resguardadas por se tratar de dados sensíveis, sendo proibido seu uso para discriminação.
A dica importante é que as instituições de saúde devam investir fortemente na contratação de um profissional para gerenciar todo fluxo de informações dentro da empresa, desde a etapa inicial, como por exemplo: Data Protection Officer (DPO).
O maior desafio nesse processo de adequação será alcançar o controle total do tratamento de dados que transitam nas instituições.
E esse desafio pode ficar ainda maior quando se trata de dados sensíveis, como os que revelam convicções religiosas, opiniões políticas, raça ou orientação sexual, que devem ser coletados com um cuidado a mais, além de apenas em situações específicas.
É um momento de mudança que precisa de atenção dos seus gestores. Em caso de infração comprovada, a organização envolvida pode receber advertências simples e multas (equivalentes a 2% do seu faturamento, inclusive) limitadas ao valor de R$50 milhões. Corre o risco ainda de ter seu acesso aos dados do usuário inacessível temporária ou totalmente, assim como pode responder judicialmente, a depender da violação.
Dr. Leonardo Dominiqueli Pereira
Advogado atuante na área de compliance penal, sócio do escritório Barros de Moura & Dominiqueli Pereira Advogados Associados, prestador da APM Santo André
Artigo publicado na revista Notícias Médicas
