• Portal do Governo Brasileiro
  • Atualize sua Barra de Governo
  • Home
  • A LGPD
    O que muda Mapa da proteção LGPD em 2 minutos Glossário LGPD
  • Proteção de dados
    Dados pessoais Dados sensíveis
    Lei nº 13.709, 14/08/2018
    Dados públicos Dados anonimizados
    Lei nº 13.709, 14/08/2018
  • Tratamento dos dados
    Princípios da LGPD Objetivo e abrangência da LGPD
  • Temáticas
    Correlações com a LGPD Gestão pública Governança Legislação Negócios Privacidade Saúde e Educação Segurança Tecnologia Utilidade pública
  • Notícias e Artigos
  • Colabore com o site
    Como colaborar Linha editorial
  • Imprensa
Busca Avançada…
Redefinir Cookies

Notícias e Artigos

Info

Artigo

LGPD e saúde: os fins justificam os meios?

A Ph.D Patricia Peck frisa que, em certos casos, o setor de saúde pode usar dados sensíveis sem pedir consentimento. Porém, a especialista em Direito Digital e Proteção de Dados reforça que o consentimento também é uma importante regra da LGPD, lei que coloca o paciente no comando de seus próprios dados

Imagem com mãos de duas pessoas (paciente e médica) e ambas segurando um celular. Na tela, dados estatísticos, como se fossem de saúde e as duas pessoas dialogando sobre esses dados.

 

23/9/2019

Neste artigo, relacionado à Lei Geral de Proteção de Dados Pessoais (LGPD), um setor importante entra em cena, o da saúde. Este é, provavelmente, um dos setores que mais tratam dados considerados sensíveis pela nova legislação - artigos 5º e 11º da LGPD - e que terá grandes desafios para se adequar.

Segundo pesquisa de setembro de 2019, realizada pela Serasa Experian, 85% das empresas ainda não se sentem prontas para atender às novas regras da LGPD. O levantamento, que ouviu um universo de 508 empresas, de todos os portes e segmentos, indicou, ainda, que os setores financeiro, serviços e varejo estão mais preparados para a lei. O de saúde ocupa a última posição, com apenas 8,7% das companhias em conformidade com a lei.

Por certo, um dos primeiros desafios está relacionado a conseguir estabelecer uma cultura maior de segurança de informações nos operadores da saúde, especialmente nos profissionais do dia a dia, como médicos e enfermeiros, visto que nas rotinas de trabalho, devido às grandes demandas, urgências, pouco tempo e o fato de que lidam com a vida das pessoas, ainda há necessidade de se fortalecer as melhores práticas básicas como proteção de senha, controle de acesso e descarte seguro. 

Quando a pauta é proteção de dados pessoais e dados pessoais sensíveis na saúde, devemos lembrar que há todo um ecossistema interligado, que vai da clínica médica ao hospital, perpassa o laboratório, a farmácia, o próprio paciente e os agentes de saúde, bem como toda a esfera pública - como o Sistema Único de Saúde (SUS). Ou seja, alcança desde o registro de um simples cadastro em um consultório até a entrada em um PS de um hospital (público ou privado).

E é por esse mesmo motivo, devido a esse grande volume de dados pessoais sensíveis, que o setor também atrai a atenção das quadrilhas, do crime organizado digital que mira no ataque a essas estruturas, visando obter alguma vantagem. Os principais tipos de ataques envolvem o sequestro de dados (ransomware) com a prática da chantagem (crime de extorsão). 

Ou seja, vamos do risco de uma exposição (vazamento) até uma situação de perda (hipótese da criptografia de dados não autorizada onde não haja backup para recuperar e a instituição fica refém do criminoso digital).

As organizações de saúde precisam, portanto, investir tempo, capital financeiro e recurso humano para mudar sua perspectiva e abordagem, já que para estar em conformidade com a nova regulamentação de proteção de dados pessoais é essencial aplicar melhores práticas de cibersegurança. 

"Organizações de saúde precisam investir tempo, capital financeiro e recurso humano para mudar a perspectiva e abordagem do setor"

A LGPD descreve novas políticas rigorosas para o controle de todo o ciclo de vida dos dados pessoais que vai de coletar, processar até descartar os dados. As organizações de assistência médica estão em uma posição crítica nesse contexto, pois lidam com todo um espectro de dados - de registros financeiros e informações de seguro de saúde a resultados de testes de pacientes e informações biométricas. 

Ademais, há uma preocupação adicional com os fornecedores (terceirizados) e, dependendo do caso, há sim internacionalização do dado pessoal, visto que no uso das tecnologias na medicina, principalmente as que envolvem telemedicina, as informações do paciente podem parar em outro país, inclusive para análise de outros profissionais. 

Portanto, há necessidade de uma revisão e adequação documental para cumprir com a LGPD, que inicia nos avisos legais de tratamento de dados pessoais com informações para cumprir com os princípios do artigo 6º sobre finalidade, adequação e necessidade, que determina que o tratamento de dados pessoais ocorra com propósitos legítimos, específicos, explícitos e informados, compatíveis com a finalidade informada e limitados ao mínimo necessário. 

Alguns desses dados são mais sensíveis do que as informações típicas coletadas por organizações que não são da área da saúde. Isso porque elas são vinculadas exclusivamente a um indivíduo e, na maioria das vezes, são inalteráveis. Por exemplo, uma pessoa pode criar um endereço de e-mail, mas não pode alterar seu histórico médico ou seus registros dentários, tornando-se uma séria preocupação com a privacidade se esses dados forem vazados.

Você deve se lembrar que no início de 2018 uma falha de segurança no aplicativo E-Health, fornecido pelo Ministério da Saúde, teria exposto por meses dados pessoais de milhares de usuários brasileiros do SUS. Por meio de uma brecha no sistema, era possível acessar dados básicos, como cartão do SUS, o titular, informações médicas detalhadas, e histórico de abstinência de medicamentos e agendamentos. 

O caso acendeu o alerta vermelho sobre a privacidade de dados, mas também sobre a posse e o consentimento no uso dos dados médicos. Na LGDP, dado pessoal sensível é considerado o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Um ponto importante da LGPD na saúde é que o setor não está obrigado a ter o consentimento em todas as situações de tratamento de dados (são as hipóteses de exceção tratadas principalmente nos artigos 7º, 10º e 11º). Isso mesmo! A dispensa ocorre nos casos de proteção à vida ou tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa.  

Mas neste quesito, “os fins não justificam os meios”, mesmo na causa da saúde, houve alteração na redação final do artigo 7º, inciso VIII, no qual ficou destacado que tutela da saúde é exclusivamente procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Além disso, a lei revela que é vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados.

No caso de pesquisas, o uso de dados é também limitado. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

Com tudo isso, vemos que é uma legislação que exige evidência, justificativas e muita documentação. A LGPD é uma regulamentação de governança e boas práticas. Logo, é procedimental. Faz toda diferença o “como fazer”, que é o processo. Desse modo, temos tido que para adequação à LGPD é preciso revisar processos, revisar políticas, normas e procedimentos e treinar novamente as equipes para executarem as novas regras. E se possível, certificar ao final (homologar) que tudo ficou conforme deveria para cumprir com a lei.  

O paciente no comando

Saúde é a única área de nossas vidas que permaneceu altamente sensível e privada. Porém, os resultados dos testes geralmente são amplamente compartilhados para se chegar a um diagnóstico, com o paciente tendo pouco conhecimento sobre como essas informações são coletadas, quem tem acesso a elas e como são armazenadas. A LGPD, assim como aconteceu com a lei europeia, o GDPR, coloca os indivíduos firmemente no comando dos seus dados.

Isso também inclui os pacientes liberarem dados para seus médicos de forma remota. De acordo com dados do Future Health Index, nos Estados Unidos, 57% dos pacientes possuem ou usam um dispositivo de atendimento conectado para monitorar vários indicadores de saúde, mas apenas um terço desses indivíduos (33%) já compartilhou essas informações com seu médico. 

Será muito importante, de tudo que foi exposto, que na saúde seja aplicado fortemente o princípio da transparência que a LGPD reforça tanto e que tem conexão inclusive com a legislação consumerista.

"O setor de saúde, juntamente com muitos outros, está se tornando cada vez mais dependente de dados e análises para fornecer serviços mais rápidos e melhores"

Ao capturar os consentimentos nos termos da saúde (como o de internação, o de análise laboratorial, tantos outros) ou ainda na Política de Privacidade e Proteção de Dados Pessoais publicada no portal e nos aplicativos da saúde (os quais se proliferam todos os dias) há necessidade de cumprir com as exigências dos artigos 8º e 9º. Que são taxativas: o consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular; deve constar de cláusula destacada das demais cláusulas contratuais; a informação sobre o tratamento de dados pessoais deve ocorrer de forma clara, adequada e ostensiva e trazer informações sobre a finalidade específica do tratamento, forma e duração, identificação e contatos do controlador, informações sobre compartilhamento de dados pessoais e menção explícita dos direitos dos titulares do artigo 18 (rol).

Quando o tema é saúde, então, podemos chegar até os itens cada vez mais da indústria smart, inclusive os vestíveis (vestuário com IoT que captura informações dos titulares e envia para aplicativos que podem controlar suor, pressão, temperatura), os smartwatch, os apps Fitness, todo o mercado de profissionais liberais em academias (como o personal trainer). E a LGPD aplica-se tanto para pessoa jurídica como para pessoa física. 

O setor de saúde, juntamente com muitos outros, está se tornando cada vez mais dependente de dados e análises para fornecer serviços mais rápidos e melhores. É um dos setores que passam por grande inovação e transformação digital, já com uso de IA, Big Data, machine learning, plataformas em nuvem e tudo mais. Por isso, o cumprimento da regulamentação de proteção de dados é uma responsabilidade que ultrapassa os limites geográficos, especialmente para um setor que lida com a segurança física e emocional dos indivíduos. Nesse cenário, a tríade pessoas, processos e tecnologia é mais forte do que nunca.

 

É advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança. Graduada e Doutorada pela Universidade de São Paulo (USP), PhD em Direito Internacional. Pesquisadora convidada do Instituto Max Planck de Hamburgo e Munique, e da Universidade de Columbia nos EUA. Professora convidada da Universidade de Coimbra em Portugal e da Universidade Central do Chile. Professora convidada de Cibersegurança da Escola de Inteligência do Exército Brasileiro. Certificada em Privacy e Data Protection pela Exin Foundation em GDPR e LGPD. Advogada Mais Admirada em Propriedade Intelectual de 2007 a 2019. Árbitra do Conselho Arbitral do Estado de São Paulo (Caeso), vice-presidente Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação (Aseg) e membro do Conselho de Ética da Abed. Professora e coordenadora da pós-graduação em Gestão da Inovação e Direito Digital da FIA. Autora/coautora de 25 livros de Direito Digital. Sócia do escritório PG Advogados, da empresa de educação Peck Sleiman Edu e presidente do Instituto iStart de Ética Digital. Programadora desde os 13 anos, autodidata em Basic, Cobol, C++, Html. Recebeu prêmios como Compliance Digital pelo LEC em 2018 e Security Leaders em 2012 e 2015, e foi concedorada com 5 medalhas militares.

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação
Serpro Ministério da Fazenda Governo Federal