Sabemos que a área da saúde sempre foi norteada por princípios relacionados ao sigilo profissional e proteção de dados dos seus pacientes em respeito à privacidade de cada um. O sigilo médico, que já é tratado no Código de Ética Profissional, no Código Penal Brasileiro e no Juramento de Hipócrates – que todo formando faz durante a cerimônia de diplomação – passou a ter maior relevância com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), isso porque, na área da saúde as informações dos pacientes sobre o quadro clínico são classificadas como “dados sensíveis”.
Vale lembrar, “dados sensíveis” são aqueles determinados no artigo 5, inciso II da LGPD, vejamos:
Art. 5º Para os fins desta Lei, considera-se:
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Nestes casos, os dados de pacientes, por se tratar de “dados sensíveis”, recebem um tratamento ainda mais protetivo pela LGPD, especialmente porque a divulgação indevida de tais informações pode levar o seu titular a ser alvo de eventuais discriminações.
A relação da LGPD com os códigos de ética da área da saúde
Como dito anteriormente, a proteção aos dados de saúde de um paciente, já estava sendo observada anteriormente através dos códigos de ética de cada profissional da área da saúde, para orientar, regular a conduta destes profissionais e eventualmente penalizar, caso haja violação ao sigilo sobre essas informações. Abaixo, um breve panorama:
O Código de Ética Médica (Resolução CFM nº 2.227/2018) elege como infração ética o ato de:
“Art. 73: revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por motivo justo, dever legal ou consentimento, por escrito, do paciente”.
Ainda, ao corroborar preceito da Declaração de Genebra de 1924, prevê que o sigilo deve ser respeitado mesmo após a morte do paciente e sobre fatos que sejam de conhecimento público (Art. 73, § único, “a”).
Disposições semelhantes estão presentes nos códigos de étaca (i) de enfermagem (Art. 52 da Resolução COFEN nº 564/2017), (ii) fisioterapia (Art. 32 da Resolução COFFITO nº424/2013), (iii) psicologia (Art. 9º da Resolução CFP nº10/2005), (iv) odontologia (Art. 14 da Resolução CRO nº 112/2018), (v) educação física (Art. 6, XII, da Resolução CONFEF nº 307/2015) e (vi) nutrição (Art. 20 da Resolução CFN nº 599/2018).
O regramento ético médico também veda o médico de fazer referência a casos clínicos identificáveis, exibir pacientes ou imagens, mesmo com a autorização deste, bem como de permitir o manuseio e o conhecimento de prontuários por pessoas não obrigadas ao sigilo profissional quando sob sua responsabilidade (art. 75 e 85 da Resolução CFM nº 2.227/2018). Exceção feita à possibilidade de acesso aos prontuários por médicos para fins de pesquisa em estudos retrospectivos com questões metodológicas justificáveis e autorizado pelo Comitê de Ética em Pesquisa (CEP) ou pela Comissão Nacional de Ética em Pesquisa (Conep) (Art. 101, §2º, da Resolução CFM nº 2.227/2018).
Neste passo, há grande importância de se garantir a segurança desses dados, que transitam de forma às vezes desordenada em redes informatizadas de várias instituições, há um enorme esforço do ponto de vista regulatório para proteger essas informações, em respeito à privacidade dos pacientes, mediante regulamentos editados pelos conselhos profissionais, pelo Ministério da Saúde (MS), pela Agência Nacional de saúde (ANS) e pela Agência Nacional de Vigilância Sanitária (ANVISA), referentes a sigilo profissional, segurança na adoção de TICs, bem como guarda e manuseio das informações por parte de seus profissionais.
Por outro lado, a partir de 2018, quando foi criada a “Lei Geral de Proteção de Dados”, temos hoje um novo regramento a ser seguido além dos códigos supracitados, pois estes apenas estavam destinados à ética dos profissionais da área da saúde, regulamentando sua conduta frente ao paciente.
Com a criação da LGPD, temos agora uma lei específica que trata destas informações, estendendo “a todos” que de certa forma possam participar do processo de tratamento desses dados, como a coleta, acesso, armazenamento, compartilhamento e entre outros, ou seja, de modo geral os colaboradores das clínicas, hospitais ou de qualquer outra empresa que tenha acesso a esses dados têm que respeitar as diretrizes determinadas pela LGPD.
Como já mencionado acima, o artigo 5º, II, da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) inclui os dados referentes à saúde na categoria de dados pessoais sensíveis.
Quanto ao conceito de “dado referente à saúde”, não há uma definição específica na LGPD. Entretanto, vale relembrar que o conteúdo da lei brasileira foi produzido à semelhança do regulamento europeu de proteção de dados, o General Data Protection Regulation – GDPR (Regulamento UE 2016/679), que, por sua vez, traz um conceito extensivo de dados relativos à saúde, descrevendo diversas ocorrências práticas, conteúdo que serve inclusive de ferramenta interpretativa para se chegar ao conceito aplicável à lei brasileira:
(35) Deverão ser considerados dados pessoais relativos à saúde todos os dados relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro. O que precede inclui informações sobre a pessoa singular recolhidas durante a inscrição para a prestação e serviços de saúde, ou durante essa prestação, conforme referido na Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, a essa pessoa singular; qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro (UNIÃO EUROPEIA, 2016)
Dito isso, o artigo 11 da LGPD enumera as hipóteses autorizadoras de tratamento de dados pessoais sensíveis, de forma mais restritiva se comparada aos dados pessoais (não sensíveis). A hipótese autorizadora para tratamento de dados pessoais sensíveis que se destaca como regra geral é a hipótese de consentimento:
“O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu representante legal consentir, de forma específica e destacada, para finalidades específicas; (…)”
Possibilidades de dispensa do consentimento para o tratamento de dados sensíveis na área da saúde
Dentre as hipóteses de tratamento de dados de saúde que dispensam o consentimento do titular, merece destaque aquela relativa à “tutela da saúde” em procedimentos realizados por profissionais da área de saúde ou entidades sanitárias (art. 11, inciso II, “f”, da LGPD). A dispensa do consentimento ganha sentido na medida em que o atendimento a pacientes, revestido pelo sigilo profissional, não se viabiliza sem o acesso a dados sensíveis, e caso exigido o consentimento específico para todo e qualquer ato, haveria um provável impasse burocrático na atividade. Outra hipótese semelhante em que consentimento é dispensado faz referência à proteção da vida ou incolumidade física do titular ou de terceiros (art. 11, II, “e”, da LGPD) e deve ser aplicada especialmente em casos de urgência e/ou emergência.
Outra disposição que se relaciona com o setor de saúde diretamente concerne a hipótese que autoriza o acesso a bases de dados pessoais por órgãos de pesquisa para fins de estudos de saúde pública, independentemente do consentimento específico do titular, conforme previsão do artigo 13 da LGPD:
Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas (BRASIL, 2018).
A hipótese autoriza o acesso, desde que seja seguro e em ambiente controlado, a bases de dados de pacientes por órgãos de pesquisa, mas veda sob qualquer hipótese que os resultados das pesquisas revelem dados pessoais (art.13, §1º) ou sejam transferidos a terceiros (art.13, §2º), e ainda prevê que o acesso para fins de pesquisa deverá ser regulado pela Autoridade Nacional de Proteção de Dados – ANPD e as autoridades de saúde, que deverão editar regulamento específico sobre anonimização ou pseudonimização desses dados (art. 13, §3º).
Princípios da LGPD para o tratamento de dados sensíveis
Além daqueles dispositivos que se refletem diretamente em dados referentes à saúde, incidem também sobre as atividades de tratamento de dados pessoais sensíveis os princípios enumerados no artigo 6º da LGPD: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Desses princípios emergem uma série de obrigações práticas as organizações que exercem atividade de tratamento de dados.
No caso da rede prestadora de serviços de saúde, para se adequarem à LGPD, serão necessárias medidas que assegurem o livre e fácil acesso aos dados pelos usuários/pacientes, transparência nos processos utilizados no tratamento dos dados, bem como a manutenção de registros íntegros que garantam a qualidade desses dados.
Além disso, são necessárias adoções de técnicas de segurança para proteção a acessos não autorizados e situações acidentais, bem como a implementação de sistemas interoperáveis que permitam ao titular o exercício do direito à portabilidade.
Outrossim, é comum que as clínicas médicas enviem os dados dos pacientes para hospitais em casos de internação, assim como é comum a troca de informações entre laboratórios e hospital ou laboratórios e clínica. Com a LGPD isso ainda é possível, porém, somente com o consentimento do paciente.
Além disso, todas estas informações precisarão ser criptografadas e os softwares utilizados aprovados por instituições como a Sociedade Brasileira de Informática em Saúde (SBIS).
Embora a troca de mensagens via aplicativos ou redes sociais, como o Whatsapp não estejam proibidas, os profissionais da área da saúde devem ficar atentos aos riscos assumidos para permanecer dentro das exigências legais.
Uma mensagem com informações clínicas de paciente enviada equivocadamente para outra pessoa, por exemplo, ou uma informação de paciente compartilhada com outro usuário sem autorização ou a devida proteção de dados, estará sujeita às sanções.
Ressalta-se que muitos profissionais da área da saúde acreditam que estão em conformidade com a LGPD pelo simples fato de utilizarem sistemas informacionais que tratam os dados de forma adequada. Contudo, apenas isso não é suficiente. Na realidade, dependendo de como esse sistema armazena as suas informações, a atenção deve ser ainda maior, uma vez que isso pode caracterizar uma transferência internacional de dados, que possui regras específicas na LGPD, especialmente quando os dados do sistema são armazenados em uma nuvem.
Por outro lado, as penalidades para os consultórios, clínicas, hospitais e outras empresas que fazem parte do ecossistema da área da saúde que não se adequarem a LGPD vão desde a aplicação de pesadas multas até a impossibilidade de promover a sua atividade, com a suspensão do direito de tratar qualquer dado pessoal por no mínimo seis meses.
Importância de um DPO (Data Protection Officer) ou Encarregado de Dados na área da saúde
Além das incumbências já mencionadas, cada organização deverá designar um encarregado pelo tratamento de dados pessoais, que deverá estabelecer um canal de comunicação com a organização que possui a guarda dos dados e os titulares dos dados bem como junto à autoridade nacional de dados, a fim de receber comunicações e adotar providências.
O encarregado também, é responsável por orientar funcionários a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e seu contato deverá ser divulgado publicamente, preferencialmente no sítio eletrônico do controlador.
Além dos cuidados com a segurança oferecida pelos sistemas utilizados e em adequar as tecnologias já utilizadas à nova lei, os profissionais da saúde precisarão rever a segurança na troca de informações em alguns processos usuais, orientação também ministrada pelo “DPO” .
Assim, considerando que a LGPD já está em vigor, é fundamental que os consultórios, clínicas e hospitais imediatamente revejam seus procedimentos e adequem-se à legislação, sob pena de sofrerem as consequências do seu descumprimento.
Autoras: Luísa Navarro di Gesu e Pâmela da Silva Cruz
Supervisão: Edgard Dolata
Imagem: Imagem de Racool_studio no Freepik