Proteção de dados para clínicas médicas
por Gabriel Bender
Objetivo do Artigo
O presente artigo objetiva a análise acerca da importância da adequação das Clínicas Médicas Brasileiras para com as disposições da Lei nº 13.709, a Lei Geral de Proteção de Dados (LGPD). Nesse sentido, o artigo visa reforçar a importância dos médicos brasileiros em agirem em conformidade com o disposto na lei em questão, para conferir maior segurança aos seus pacientes e colaboradores, além de evitar a incidência de possíveis sanções para a clínica médica.
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD), instituída pela Lei nº 13.709/18 e sancionada em 14 de agosto de 2018, consiste na legislação que regula o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica, de direito público ou privado, no Brasil. Em vigor desde setembro de 2020, com as sanções começando a ser aplicadas a partir de agosto de 2022, a LGPD é destinada a todas as empresas, sejam elas públicas ou privadas, independentemente de seu porte. Isso inclui, exemplificativamente, as clínicas médicas, foco do presente artigo.
À vista disso, a LGPD estabelece que quaisquer pessoa física ou jurídica, que colete dados pessoais (informações relacionadas à pessoa natural identificada ou identificável), sejam eles físicos ou digitais, deva seguir uma série de regras para garantir a segurança e a privacidade dessas informações, protegendo a imagem, a intimidade e a honra das pessoas envolvidas. Isso se deve ao fato de que, a partir da promulgação desta lei, os dados pessoais passaram a pertencer exclusivamente aos seus titulares, conferindo-lhes o direito de dispor, livremente, acerca de suas informações, fato esse que aumentou ainda mais a necessidade das empresas em salvaguardar esses dados, com o intuito de evitar responsabilizações legais decorrentes do mau tratamento dessas informações.
A clínica médica precisa seguir as disposições da LGPD mesmo que já atue em conformidade com a Ética Médica e o Sigilo Profissional?
Esse questionamento é frequentemente levantado quando se aborda a temática da proteção de dados, tornando-se indispensável sua explicação. O Código de Ética Médica, estabelecido pela resolução CFM nº 2.217/2018 e atualizado pelas Resoluções CFM nº 2.222/2018 e 2.226/2019, define as normas que os médicos devem seguir para o exercício de sua profissão, abrangendo regras de ensino, pesquisa, administração de serviços e uso do conhecimento médico, avaliando méritos, riscos e preocupações sociais decorrentes da prática médica, conforme o contexto e a época em que foram fundamentados. A LGPD, por sua vez, regula o modelo de tratamento de dados pessoais de pacientes e colaboradores. Em vista da natureza distinta desses institutos, evidencia-se a atuação em conjunto desses, para conferir maior segurança aos titulares de dados.
Como uma empresa do setor da saúde deve tratar dados pessoais?
O setor da saúde, devido à natureza dos serviços prestados, envolve, intrinsecamente, o tratamento de dados pessoais considerados sensíveis, informações que, quando reveladas, podem desencadear em discriminação. Por consequência, esse fator exige, por parte da equipe médica, um cuidado redobrado, com o cumprimento rigoroso de regras específicas e, em caso de vazamento de dados, com a incidência de penalidades severas. Assim, as clínicas médicas devem garantir a proteção, o controle e o tratamento adequado dos dados pessoais de seus pacientes, colaboradores e parceiros.
Para isso, é essencial que a clínica médica estabeleça uma política clara de coleta de dados e informações, baseada no princípio da necessidade, em que se requisitam apenas dados estritamente necessários. É importante informar ao paciente quais dados serão coletados, com qual finalidade, se serão compartilhados com terceiros e por quanto tempo serão armazenados, para que, com essas informações, o indivíduo, seja ele paciente ou colaborador, possa consentir de forma coerente. Nesse viés, ressalta-se que, em caso da ocorrência de quaisquer alterações no mecanismo de tratamento desses dados, necessita-se uma nova anuência do paciente e/ou colaborador, para que os titulares possam exercer, com transparência, o seu direito sobre os seus dados pessoais. Existem casos em que o direito de anuência poderá ser disposto, que será melhor abordado abaixo.
Como forma de elucidar essa situação, citamos o caso de um agendamento de consulta via WhatsApp. Nessa situação, os primeiros dados sensíveis já são coletados desde esse primeiro momento, como, por exemplo, o nome completo do futuro paciente, a idade, o CPF, o endereço de sua residência, o telefone e algumas informações relevantes para a consulta. Desde esse primeiro contato, as clínicas, que atuam, nesse caso, como controladoras de dados, devem estar em conformidade com as regras da LGPD, assumindo a obrigação de armazenar e proteger os dados do novo paciente adequadamente. Esses dados deverão ser adequadamente tratados até o pós-processamento (descarte), incluindo etapas como o armazenamento, o arquivamento e transmissão dos dados (caso necessário).
Assim sendo, evidencia-se uma contraposição ao pensamento bastante difundido de que bastava a simples adequação do prontuário médico à LGPD para estar em conformidade com suas disposições. Percebe-se, então, que a adequação do prontuário médico é apenas um dos diversos passos exigidos pela implementação da lei, sendo necessária a existência de um programa de compliance, que visa disciplinar a conduta e a adequação da empresa ao cumprimento de todas as políticas, normas regulamentares, diretrizes e regras. Portanto, a conformidade com a LGPD envolve tanto a gestão adequada dos prontuários médicos quanto a implementação de um sistema de compliance abrangente, que garante a boa governança.
Nova Função: Encarregado de Proteção de Dados (DPO)
Uma inovação promovida pela LGPD foi a introdução da função do Encarregado de Proteção de Dados (ou DPO, sigla proveniente do termo em inglês, “Data Protection Officer”), que consiste no profissional que é responsável por garantir que as políticas de tratamento de dados estejam em conformidade com a lei (garantir o compliance), para evitar sanções.
Consiste na pessoa indicada pela clínica médica para atuar na conexão controladora e o paciente, a respeito dos seus dados pessoais, e também, quando preciso, com a autoridade nacional (ANPD – Agência Nacional de Proteção de Dados). Sendo assim, este profissional é o responsável por verificar se os procedimentos internos estão sendo seguidos de acordo com a LGPD por todos os funcionários, inclusive os terceirizados, zelando pela proteção de dados e educando os colaboradores em caso de necessidade.
Como funciona a relação entre Clínicas Médicas e Planos de Saúde?
Os planos de saúde compartilham uma grande quantidade de dados pessoais e dados pessoais sensíveis dos beneficiários com as clínicas médicas, com o intuito de viabilizar o atendimento médico. Nesses casos, as clínicas atuam como operadoras desses dados, conforme as disposições da LGPD. É crucial que as clínicas garantam a segurança, armazenamento e tratamento adequado dos dados em conformidade com a legislação e diretrizes das operadoras. A transferência de dados para terceiros, como laboratórios, é permitida, exclusivamente para tutelar a saúde do beneficiário, sem fins de obtenção de vantagem econômica, e geralmente requer o consentimento do paciente, embora existam situações em que esse consentimento pode ser flexibilizado, aos quais serão melhor explicadas abaixo.
Recebi uma foto do paciente via WhatsApp. E agora? Como funciona o compartilhamento de informações entre profissionais da saúde?
É permitido, pelo Conselho Federal de Medicina (CFM), a troca de informações entre médicos e pacientes, desde que os pacientes já tenham tido uma consulta prévia. Esse uso da tecnologia é autorizado para esclarecer dúvidas, acompanhar a evolução do tratamento e fornecer orientações emergenciais. As informações recebidas por aplicativos como WhatsApp, incluindo fotos, devem seguir as disposições da LGPD para o tratamento correto de dados pessoais sensíveis. Para garantir a segurança desses dados, recomenda-se que os médicos arquivem as informações nos softwares da clínica, em vez de mantê-las em seus celulares, evitando o risco de envio acidental ou divulgação não autorizada em caso de roubo do aparelho telefônico. Se isso não for possível, ao menos se certifique de que o acesso a essas informações é dificultado, como a exigência de identificação facial ou biometria para o entrar no WhatsApp.
Ademais, é permitido aos médicos mensagens e fotos em grupos compostos exclusivamente por outros médicos para esclarecer dúvidas sobre procedimentos médicos, especialmente em casos que demandem a intervenção de várias especialidades. Essas mensagens devem ter caráter privativo e se destinar exclusivamente ao esclarecimento de procedimentos médicos, mantendo sempre o sigilo das informações compartilhadas e o anonimato do paciente, quando possível.
Termo de Consentimento Livre e Esclarecido (TCLE):
O Termo de Consentimento Livre e Esclarecido (TCLE) consiste no instrumento destinado a informar os pacientes (ou seus responsáveis) acerca dos detalhes dos procedimentos e dos diagnósticos a serem realizados, abordando a complexidade, os possíveis riscos e os benefícios decorrentes da assistência médica prestada. Ao assinar o TCLE, que deve ser individualizado para cada paciente, o indivíduo deixa claro o seu consentimento para o procedimento em questão. O que se evidencia, na prática, é que, em determinados casos, pode haver flexibilização do consentimento, com o intuito de evitar barreiras ao acesso à saúde, o que será melhor abordado abaixo.
Tutela de saúde e a flexibilização do consentimento: Os fins justificam os meios?
Em conformidade com as disposições da LGPD, o setor da saúde possui determinadas prerrogativas que permitem às clínicas médicas e aos hospitais não obedecer ao princípio do consentimento do titular para o tratamento de seus dados. Essas exceções visam evitar barreiras ao acesso à saúde e estão dispostas, principalmente, nos artigos 7º, 10º e 11º da lei. A dispensa de consentimento ocorre nos seguintes casos: proteção à vida ou tutela da saúde, exclusivamente em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária; cumprimento de obrigação legal ou regulatória; execução de contratos com o titular dos dados; processos judiciais ou administrativos; legítimo interesse do controlador; ou estudos por órgãos de pesquisa.
Telemedicina: Como conciliar com a LGPD?
A Telemedicina consiste, de acordo com a resolução nº 2.314/2022 do CFM, no “exercício da medicina mediado por Tecnologias Digitais, de Informação e de Comunicação (TDICs), para fins de assistência, educação, pesquisa, prevenção de doenças e lesões, gestão e promoção de saúde”, em tempo real online (síncrona) ou offline (assíncrona), por multimeios em tecnologia.
Sua adoção cresceu bastante durante a pandemia de COVID-19, devido ao lockdown, e continuou a se expandir após a crise, especialmente na psicologia. A regulamentação recente da telemedicina foi fortemente influenciada pela LGPD, exigindo o consentimento do paciente para a transmissão e transferência de dados, bem como a guarda e manuseio dos prontuários médicos, conforme os princípios dessa codificação. Sendo assim, médicos devem usar plataformas digitais seguras e que garantam a confidencialidade dos dados, incluindo acesso individualizado, certificação de dados e assinaturas digitais.
Quais são as possíveis sanções em caso de descumprimento da LGPD?
Em caso de descumprimento das disposições da LGPD, o artigo 52 da codificação em questão estabelece as possíveis sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Essas sanções incluem multas de até 2% do faturamento da clínica médica, com um limite de R$ 50 milhões por infração, além da possibilidade de proibição parcial ou total do exercício das atividades relacionadas ao tratamento de dados.
No entanto, a sanção imposta pela ANPD nem sempre é a pior consequência para uma clínica médica. O descumprimento da proteção de dados pessoais pode acarretar em danos significativos à reputação da organização, levando potenciais pacientes a desconfiarem da credibilidade da empresa. Essa perda de confiança pode ter um impacto negativo duradouro, afetando a viabilidade do negócio no longo prazo.
Conclusão
Em resumo, com o sancionamento da Lei Geral de Proteção de Dados (LGPD), passou-se a exigir das empresas, especialmente aquelas que lidam com dados pessoais considerados sensíveis, como as clínicas médicas, um comprometimento mais rigoroso com a segurança e a transparência no tratamento dessas informações, garantindo o respeito aos direitos dos titulares conforme as normas estabelecidas nesta codificação. Sendo essa uma lei com enfoque procedimental, a regulamentação é feita via compliance e governança. Nesse contexto, um assessoramento jurídico qualificado se mostra essencial para assegurar a qualidade no tratamento dessas informações, em que se viabiliza a revisão das normas e dos procedimentos internos da empresa, evitando estresses desnecessários.
Referências:
Manual sobre a Lei Geral de Proteção de Dados Pessoais: LGPD / Farid Buitrago Sánchez, Carlos Guilherme Figueiredo e Lia Freire, coordenadores. Brasília: CRM-DF, 2022
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados
Pessoais (LGPD). Publicado no DOU de 15.08.2018.
BRASIL. Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Publicado no DOU de 28.01.2022.
Código de Ética Médica: Resolução CFM nº 2.217, de 27 de setembro de 2018 , modificada pelas Resoluções CFM nº 2.222/2018 e 2.226/2019 / Conselho Federal de Medicina – Brasília: Conselho Federal de Medicina, 2019.
CFM. Resolução CFM nº 2.314/2022. Define e regulamenta a telemedicina, como forma de serviços médicos mediados por tecnologias de comunicação. Publicado em: 05 de maio de 2022, seção I, p. 227
https://oabcampinas.org.br/lei-geral-de-protecao-de-dados-aplicada-as-clinicas-medicas/
https://star.med.br/lgpd-clinicas-hospitais-lei-geral-de-protecao-de-dados/#1
https://simers.org.br/noticia?name=4-perguntas-e-uma-dica-sobre-o-uso-do-whatsapp-por-medicos
https://www.serpro.gov.br/lgpd/noticias/2019/paciente-no-comando-lgpd-dados-sensiveis-saude