Introdução
Doutor (a), Bem-vindo ao Manual sobre a Lei Geral de Proteção de Dados (LGPD) para médicos e profissionais da saúde do escritório Palova Amisses Advocacia Especializada.
Este guia possui o objetivo de fornecer informações relevantes e orientações práticas sobre a LGPD no cenário de consultórios, clínicas médicas, e atendimentos em saúde no geral. Com a entrada em vigor da LGPD (Lei n° 13.853/2019), a proteção dos dados pessoais tornou-se uma prioridade essencial para todas as organizações, inclusive para os profissionais da saúde.
A LGPD foi criada para estabelecer diretrizes claras e rígidas sobre a coleta, o uso, o armazenamento e o compartilhamento de dados pessoais, buscando garantir a privacidade e a segurança dessas informações. Na área da saúde, onde o tratamento de dados pessoais é parte integrante das atividades, a adoção de práticas adequadas de proteção de dados se torna ainda mais crucial.
Neste sentido, a LGPD assegura que os pacientes tenham controle sobre seus dados pessoais e possam exercer seus direitos em relação a eles. Isso cria um ambiente de confiança entre médicos, clínicas e pacientes, fortalecendo o vínculo e a qualidade da assistência médica prestada. Além disso, a LGPD promove a segurança dos dados pessoais dos pacientes, reduzindo os riscos de vazamento, acesso não autorizado e uso indevido dessas informações sensíveis.
Outro aspecto importante da LGPD é a necessidade de conformidade com a legislação. O não cumprimento das disposições da LGPD pode acarretar em consequências jurídicas e financeiras significativas para as clínicas médicas, como multas e ações judiciais. Portanto, compreender e aplicar corretamente os requisitos da LGPD é fundamental para evitar problemas legais e manter a reputação e a credibilidade da clínica.
Neste manual, abordaremos os principais pontos da LGPD que são relevantes para clínicas médicas, fornecendo explicações claras e práticas sobre como garantir a conformidade com a legislação. Discutiremos as bases legais para o tratamento de dados pessoais, os direitos dos titulares dos dados, as medidas de segurança recomendadas e o compartilhamento de dados com prestadores de serviço. Também forneceremos um checklist para auxiliá-lo na avaliação da conformidade da sua clínica com a LGPD.
Princípios da LGPD
A Lei Geral de Proteção de Dados (LGPD) estabelece uma série de princípios fundamentais que devem ser seguidos pelas clínicas médicas no tratamento de dados pessoais. Esses princípios objetivam garantir que o uso de dados pessoais seja feito de maneira adequada e em conformidade com os aspectos legais.
1. Finalidade
A Finalidade é um princípio essencial da LGPD, que exige que os profissionais da saúde coletem e tratem os dados pessoais dos pacientes para propósitos específicos e legítimos. No contexto médico, isso significa que as informações pessoais dos pacientes devem ser coletadas e usadas exclusivamente para fins relacionados à prestação de cuidados médicos, diagnóstico, tratamento, acompanhamento do paciente e atividades relacionadas.
2. Adequação
O princípio da adequação requer que as clínicas médicas coletem apenas os dados pessoais necessários e relevantes para alcançar as finalidades estabelecidas. É importante garantir que o tipo e a quantidade de informações coletadas sejam proporcionais aos serviços médicos prestados. Por exemplo, a coleta de informações de saúde anteriores e histórico médico é essencial para garantir um diagnóstico preciso e um tratamento adequado.
3. Necessidade
O princípio da necessidade está relacionado à minimização dos dados. Isso significa que as clínicas médicas devem limitar a coleta de dados pessoais aos estritamente necessários para as finalidades estabelecidas. É importante evitar a coleta excessiva de informações pessoais dos pacientes, garantindo que apenas os dados essenciais sejam obtidos para a prestação de cuidados médicos adequados.
4. Transparência
A transparência é um princípio fundamental da LGPD, que exige que as clínicas médicas forneçam informações claras e acessíveis aos pacientes sobre como seus dados pessoais são coletados, usados, armazenados e compartilhados. Isso pode ser feito por meio de uma política de privacidade clara e facilmente compreensível, disponível em formato físico ou digital, que explique os procedimentos adotados pela clínica em relação à proteção de dados pessoais. Ex: informar ao paciente de forma clara e objetiva que a clínica XX ou o(a) Dr.(a) utiliza determinado software de gestão de guarda de prontuários, etc.
5. Segurança
O princípio da segurança estabelece a obrigação de as clínicas adotarem medidas técnicas e organizacionais adequadas para proteger os dados pessoais dos pacientes contra acesso não autorizado, perda, alteração ou divulgação indevida. Isso inclui a implementação de sistemas de segurança, como firewalls, criptografia, controle de acesso, backup regular dos dados e treinamento da equipe em práticas de segurança da informação.
6. Prevenção
O princípio da prevenção enfatiza a necessidade de as clínicas médicas adotarem medidas proativas para evitar danos aos dados pessoais dos pacientes. Isso envolve a identificação de riscos potenciais e a implementação de controles adequados para mitigar esses riscos. É essencial ter políticas e procedimentos claros para a prevenção de incidentes de segurança, como violações de dados.
7. Não discriminação
O princípio da não discriminação estabelece que as clínicas médicas não devem utilizar os dados pessoais dos pacientes para discriminar ou prejudicar de alguma forma. Isso significa que não se deve usar informações sensíveis, como histórico de doenças, para tomar decisões que possam afetar negativamente o paciente, como negar o acesso a serviços médicos ou discriminar no fornecimento de tratamentos. Ao entender os princípios da LGPD, a clínica médica estará apta com a conformidade legal
LGPD: o que se entende por dados?
De acordo com a LGPD, dados são informações relacionadas a uma pessoa natural identificada ou identificável, podendo ser de natureza pessoal, sensível ou anônima.
Os dados pessoais são todas as informações que possam identificar uma pessoa, de forma direta ou indireta. Ex: Nome, CPF, RG, Endereço, Número de Telefone, Endereço, Email, ou qualquer elemento que possa identificar uma pessoa.
Dados sensíveis, como o próprio nome sugere, referem-se a informações mais sensíveis e privadas sobre uma pessoa. Esses dados exigem um cuidado especial em sua proteção e tratamento. Ex: Dados de saúde, informações genéticas, dados biométricos, origem racial ou étnica, opinião política, religiosa ou filosófica, etc.
Por fim, dados anônimos são aqueles que não permitem a identificação de uma pessoa.
Quando os dados são tratados de forma a não serem mais associados a uma pessoa específica, eles são considerados anônimos e não estão sujeitos à mesmas obrigações de proteção estabelecidas pela LGPD.
Ex: Dados estatísticos, dados de pesquisa dados anonimizados (dados pessoais anônimos por meio de técnicas e processos que removam ou tornem irreversíveis as informações que poderiam identificar uma pessoa, tornando impossível de vinculá-lo a um indivíduo específico).
LGPD: como são chamados os envolvidos no tratamento de dados?
A LGPD trouxe consigo alguns termos importantes, destinados aos players envolvidos no tratamento de dados, são eles:
- Titular dos Dados: Refere-se à pessoa física a quem os dados pessoais se referem.
Ex: Seu paciente - Controlador: É a pessoa física ou jurídica que toma as decisões referentes ao tratamento desses dados e é responsável por determinar as finalidades, meios e formas de tratamento.
Ex: O Médico - Operador: É a pessoa física ou jurídica que realiza o tratamento dos dados em nome do controlador, atuando de acordo com as suas instruções.
Ex: Softaware/Empresa de gestão de prontuários
LGPD: Etapas do processamento de dados
1. Coleta
Nesta fase, ocorre a obtenção dos dados pessoais dos pacientes da clínica. Esse processo pode envolver a coleta direta dos próprios titulares do dados, por meio do preenchimento de formulários, questionários, registros médicos, anotações em prontuário, entre outros.
Também é possível que ocorra a coleta de maneira indireta, por meio de fontes públicas, bancos de dados de terceiros ou informações fornecidas por terceiros.
É necessário ressaltar que a coleta de dados aqui descrita diz respeito e todo e qualquer dado relevante que o titular (neste caso, o paciente) tenha informado ao longo de toda a relação médico-paciente que fora criada.
Ou seja, todos esses dados coletados poderão servir para fins distintos ao longo dessa relação, podendo ou não ser necessário observações específicas na utilização, armazenamento e exclusão desses dados.
2. Registro de Armazenamento
Após a coleta, os dados pessoais devem ser registrados e armazenados em um sistema ou banco de dados seguro.
Os dados pessoais, portanto, precisam ser armazenados de forma segura e protegida contra acessos não autorizados.Isso envolve a adoção de medidas técnicas e organizacionais adequadas, como a criptografia, o controle de acesso, a implementação de firewalls e realização de backups regulares.
Neste cenário é que muitos médicos e clínicas optam pela adoção de softawares de gestão clínica e de prontuário eletrônico.
Neste ponto, recomenda-se buscar uma empresa confiável , qualificada no mercado e que esteja em conformidade com as normas de proteção de dados.
Além disso, verifique se esse fornecedor possui políticas de segurança robustas, como anonimização e criptografia, mecanismos de controle de acesso na plataforma, políticas de privacidade, backup de dados períodicos para evitar contingências ou vazamentos, etc.
Também é importante o assessoramento jurídico da clínica para analisar o contrato com esse fornecedor, a fim de delimitar as obrigações e responsabilidades de cada um, e evitar a existência de cláusulas abusivas.
Por fim, é essencial que a equipe responsável em lidar diretamente com os dados e com esse software estejam bem preparadas e conheçam sobre a importância do cuidado dessas informações.
2.1 Dever de guardar e sigilo
Ainda sobre o processo de armazenamento de dados, temos também que o médico, mesmo antes do advento da LGPD, já possui o dever legal de guarda e de sigilo das informações obtidas no seu exercício profissional, relativos à saúde e ao tratamento de pacientes, mesmo após o término da relação médico-paciente, tendo em vista se tratar de informações confidenciais, conforme estabelece o Código de Ética Médica.
No mesmo sentio, em que pese a LGPD tenha deixado de tratarexpressamente sobre o sigilo médico, acabou contribuindo para a sua observância, dotando de maior coercibilidade o dever de sigilo em relação aos dados dos processos clínicos.
Ou seja, do ponto de vista da ética e do dever legal do médico, temos que as normativas do Conselho Federal de Medicina continuam sendo mais específicas.
De toda forma, percebe-se que o dever de guarda e sigilo médico permanece rígido, e, aliado às novas tendências legislativas, é essencial estar em conformidade para evitar eventuais sanções e penalidades previstas em lei.
3. Uso
Nesta fase, os dados pessoais serão utilizados para a finalidade específica para o qual foram coletados. Sim, aqui estamos novamente falando do princípio da finalidade.
No contexto médico, isso pode incluir o diagnóstico, o tratamento, o monitoramento da saúde do paciente, a emissão de receitas médicas, a realização de exames, dentre outros procedimentos.
Verifica-se, portanto, que todo dado a ser utilizado precisa ter um fim específico e lícito, resguardados os deveres de informação e consentimento expresso do paciente/titular daquele dado.
Isso significa que é essencial que seu paciente saiba da finalidade pelo qual os seus dados foram fornecidos, e concorde com esse processo. No entanto, existem alguns casos que esse uso independe do consentimento do paciente, como as informações relevantes para que o profissional possa prover o tratamento adequado ao quadro clínico deste.
4. Compartilhamento
Em certas situações, pode ser necessário compartilhar os dados pessoais coletados e armazenados com terceiros, como laboratórios, farmácias, advogados, contadores, softwares de gestão de clínica ou até mesmo com outros profissionais envolvidos no caso.
Neste ponto, é essencial definir claramente a finalidade deste compartilhamento, e deixá-lo alinhado com a finalidade original desse tratamento, como por exemplo, a continuidade de um tratamento médico.
Em muitos casos, também é recomendável estabelecer um contrato com esse terceiro, afim de estabelecer uma relação jurídica mais segura e em plena conformidade legal, estabelecendo direitos e obrigações de cada parte envolvida, incluindo medidas de segurança adequadas para proteção desses dados compartilhados.
Um outro ponto essencial é que, ao compartilhar dados pessoais para terceiros, os titulares desses dados têm o direito de serem informados sobre o compartilhamento.
Por isso é importante fornecer informações claras e transparentes sobre com quem os dados serão compartilhados, a finalidade desse compartilhamento e quais medidas estão sendo adotadas para proteger os dados.
5. Exclusão
O último passo na etapa do tratamento de dados é a exclusão. Como o próprio nome sugere, uma vez que determinado dado tenha cumprido a finalidade pelo qual foi coletado, é necessário excluir ou anonimizar essas informações.
No entanto, existem casos específicos em que aquele dado deverá permanecer armazenado. Um exemplo clássico é o dever legal que o médico possui de guardar as informações do prontuário de seu paciente por 20 (vinte) anos, ainda que a relação médico-paciente tenha acabado.
