Lei Geral de Proteção de Dados na Saúde

Por: Tertius Rebelo
Tertius Rebelo

A inteligência artificial (AI) e internet das coisas (Internet of Things – IoT) estão, incessantemente, ressignificando a tecnologia e prestação de serviços na saúde. Com isso, a proteção de dados também está em alta.

A indústria 4.0, a qual estamos vivendo agora, vem transformando nossa atual sociedade criando um novo modelo social, a sociedade digital. Essa transformação ao nosso ver é irrefreável.

Além disso, os dados agora são o novo “petróleo” do mundo e, em tempos de Big Data, todas as pessoas e empresas vivem buscando a segurança da informação, proteção dos dados e a privacidade com base em suas informações digitais.

Isso ocorre seja em seu computador, smartphone, servidores PACS, sistemas HIS/RIS ou qualquer local onde possa armazenar dados pessoais, estejam esses em empresas privadas ou públicas.

Com efeito, mesmo com o uso cada vez mais intenso de dados sensíveis no setor de saúde e nos mais diversos setores de mercado, o Brasil só ganhou em agosto de 2018 uma legislação específica para a proteção dessas informações.

Por que os profissionais e empresas de saúde precisam se adequar à Lei Geral de Proteção de Dados?

A Lei n° 13709, conhecida como Lei Geral de Proteção de Dados (LGPD), cria obrigações e impõe sanções às instituições que não cuidarem dos dados com responsabilidade. Esse fato pode parecer novo, mas já é um aspecto fundamental de toda organização que digitaliza suas informações. O principal objetivo da lei é garantir a proteção das informações pessoais compartilhadas nos meios digitais, além da liberdade e o livre acesso dos proprietários aos dados. 

Deve-se ter atenção à falta de conformidade na busca ou aplicação de normas de segurança da informação, de leis de proteção de dados, de gestão de TI, e no Compliance digital. Visto que, isso pode determinar fortes penalidades para os proprietários, sua equipe, assim como os prestadores de serviço em saúde. Sendo essa conformidade um fator determinante para os profissionais da saúde manterem seus empreendimentos e a proteção de sua profissão. O conhecimento nestas áreas será não mais um conhecimento opcional para essa classe de profissionais, assim como para as demais profissões que manuseiam dados sensíveis.

São diversas atividades rotineiras que envolvem grande quantidade de dados digitalizados e considerados sensíveis, o que requer atenção redobrada das empresas do setor de saúde.

Principais impactos da legislação para o Health Care

Prontuários eletrônicos e dados dos pacientes

Os dados armazenados pelo prontuário eletrônico e outros sistemas só poderão ser usados com autorização expressa de seus proprietários (de forma escrita ou digital). Contudo, existem exceções à regra, como, por exemplo, os casos de proteção da vida, incolumidade física e psíquica ou tutela da saúde. Mas essa dispensa de consentimento informado ainda precisa ser melhor debatida, para evitarmos intrusões indevidas na privacidade e intimidade dos pacientes e usuários do SUS e de planos de saúde.

Direito de Restrição às informações

Os pacientes terão o direito de saber para que, quando e por quem os seus dados foram utilizados, e poderão restringir o direito de acesso a eles. Como na regra geral do consentimento livre e esclarecido, esse também pode ser alterado a qualquer momento pelo titular dos dados; em como pode haver a solicitação para exclusão dos dados.

Principais impactos da legislação para a Gestão Hospitalar

Sensibilidade na proteção de dados

Precisa-se pensar sobre a sensibilidade dos dados gerados pela tecnologia aplicada na Saúde. Por exemplo, a geolocalização, com os últimos locais visitados pelo paciente, pode parecer, à primeira vista, inofensivos na área de saúde. Mas, essas informações podem ser usadas para levantar hipóteses sobre possíveis doenças preexistentes, contagiosas, dentre outras. Assim, por consequência, quanto mais dados forem considerados sensíveis por uma grande corporação de Health Care, provavelmente serão maiores os custos de tratamento, de plano ou seguro de saúde.

Hospedagem de dados em servidores estrangeiros

Esse tipo de informação só poderá ser armazenada em bancos de países nos quais a segurança da informação for semelhante à brasileira. Além disso, todas as empresas e instituições que armazenam dados identificados de pessoas terão que ter políticas registradas e um sistema de gestão de segurança de informação. Será preciso também pelo menos um gestor responsável pelo sistema (requisitos que, inclusive, já são exigidos pela norma ISO/IEC 27.001).

Software para proteção de dados

As organizações terão que implementar massivas e complexas formas de proteção de dados contra vários tipos de roubo de identidade, de bancos de dados, de transações, até mesmo quando armazenados na “nuvem”.

Business Intelligence e Analytics

Para utilização dessas tecnologias, a instituição de Saúde terá de pedir autorização para o paciente e explicar qual o fim destinado aos dados e como eles podem auxiliar no tratamento. É oportuno ressaltar que as informações pessoais não podem ser usadas com finalidade de ampliação de lucro.

Inteligência Artificial (AI)

Terá de ser feita adaptação na parte de aprendizado da máquina (inteligência artificial) para que os dados possam ser utilizados para alimentar tecnologias desse tipo. Apesar do dever de garantia do anonimato dos dados é fundamental manter-se um controle da segurança e do sigilo, inclusive em termos de hospedagem e coleta.

Adaptação à Lei de Proteção de Dados

As instituições de Saúde têm 18 meses para se adaptar às mudanças. Nesse período, será necessário criar meios para que os sistemas de diferentes lugares sejam integrados e protegidos. 

Outro desafio a ser cumprido no prazo é treinar e engajar os profissionais sobre a responsabilidade no uso dos dados. Além disso, será preciso criar uma comunicação eficiente para aumentar a transparência no uso de dados e para que o paciente entenda seus direitos.

Diante dessa transformação social posta, novos padrões de segurança e privacidade deverão serem adotados, voltados ao espaço cibernético. Isto, porque dados e as informações são fundamentais para sua própria existência.

Ambientes médicos, assim como também, os profissionais, técnicos, auxiliares, gestores e operadores deverão buscar aprimorar seus processos de segurança da informação e Compliance Digital para que a proteção de dados seja garantida, visto que a privacidade é um Direito Fundamental, principalmente quando se trata de dados médicos, os quais são denominados dados sensíveis.

O aprimoramento não está relacionado exclusivamente a área dos técnicos de informática, mas também a todos os colaboradores da saúde, independentemente de seu cargo, seja tanto em ambientes de saúde públicos quanto privados. Cabe perceber que a reinvenção dos processos com base na privacidade e proteção de dados não está relacionado apenas a área digital, mas também no ambiente físico e nas pessoas. com treinamentos voltados ao Accountability e boas práticas.

Vale ressaltar que a não adequação à Legislação de proteção de dados poderá acarretar em multas altíssimas. Além disso, é uma violação de Direitos Fundamentais, podendo também gerar indenização em favor de quem teve seus dados ou tratados de maneira não consentida.

Adicione o texto do seu título aqui

Tertius Rebelo

Especialista em Direito Médico e da Saúde
Especialista em Direito Médico e da Saúde. Pós‐graduado em Direito Civil e Empresarial. Experiência em ações cíveis e criminais e procedimentos administrativos envolvendo profissionais e empresas de saúde. Membro da Comissão Especial de Direito Médico e da Saúde do Conselho Federal da OAB (2016-2019); Membro da Comissão de Direito à Saúde da OAB/RN (2012-2019); Membro do Comitê Executivo da Saúde do TJRN (2016-2019); Membro da Comissão de Direito Médico e da Saúde da ABA – Associação Brasileira de Advogados (RN); Membro da Comissão de Revisão do Código de Ética Médica no RN; Membro da World Association for Medical Law; Conselheiro da Associação dos Advogados do RN – AARN; Palestrante sobre Direito Médico, Direito da Saúde e Bioética; Professor convidados dos cursos de Medicina da UFRN e UnP (RN); Professor da Especialização em Direito Médico e da Saúde da UNI-RN, da UNIFACISA (Campina Grande/PB) e do Instituto Julio Cesar Sanches (Tocantins).