No segundo artigo da Série Lei Geral de Proteção de Dados (LGPD), um setor importante entra em cena, o da Saúde. Este é, provavelmente, um dos setores que mais tratam dados considerados sensíveis pela nova legislação, art. 5º e 11º da LGPD (Leis 13.709/2018 e 13.853/2019) e que terá grandes desafios para se adequar.
Segundo pesquisa de setembro de 2019, realizada pela Serasa Experian, 85% das empresas ainda não se sentem prontas para atender às novas regras da LGPD. O levantamento, que ouviu um universo de 508 empresas, de todos os portes e segmentos, indicou, ainda, que os setores financeiro, serviços e varejo estão mais preparados para a lei. O de Saúde ocupa a última posição, com apenas 8,7% das companhias em conformidade com a lei.
Por certo, um dos primeiros desafios está relacionado a conseguir estabelecer uma cultura maior de segurança de informações nos operadores da Saúde, especialmente os profissionais do dia a dia, como médicos e enfermeiros, visto que nas rotinas de trabalho, devido às grandes demandas, urgências, pouco tempo e o fato de que lidam com a vida das pessoas, ainda há necessidade de se fortalecer as melhores práticas básicas como proteção de senha, controle de acesso e descarte seguro.
Quando a pauta é proteção de dados pessoais e dados pessoais sensíveis na Saúde, devemos lembrar que há todo um ecossistema interligado, que vai da clínica médica ao Hospital, perpassa o laboratório, a farmácia, o próprio paciente e os agentes de Saúde, bem como toda a esfera pública como o sistema do SUS. Ou seja, alcança desde o registro de um simples cadastro em um consultório até a entrada em um PS de um Hospital (Público ou Privado).
E é por esse mesmo motivo, devido a esse grande volume de dados pessoais sensíveis, que o setor também atrai a atenção das quadrilhas, do crime organizado digital que mira no ataque a essas estruturas, visando obter alguma vantagem. Os principais tipos de ataques envolvem o sequestro de dados (ransomware) com a prática da chantagem (crime de extorsão).
Ou seja, vamos do risco de uma exposição (vazamento) até uma situação de perda (hipótese da criptografia de dados não autorizada onde não haja backup para recuperar e a instituição fica refém do criminoso digital).
As organizações de Saúde precisam, portanto, investir tempo e capital financeiro e recurso humano para mudar sua perspectiva e abordagem, já que para estar em conformidade com a nova regulamentação de proteção de dados pessoais é essencial aplicar melhores práticas de cibersegurança.
Organizações de Saúde precisam investir tempo e capital financeiro e recurso humano para mudar sua perspectiva e abordagem
A LGPD descreve novas políticas rigorosas para o controle de todo o ciclo de vida dos dados pessoais que vai de coletar, processar até descartar os dados pessoais. As organizações de assistência médica estão em uma posição crítica nesse contexto, pois lidam com todo um espectro de dados – de registros financeiros e informações de seguro de Saúde a resultados de testes de pacientes e informações biométricas.
Ademais, há uma preocupação adicional com os fornecedores (terceirizados) e, dependendo do caso, há sim internacionalização do dado pessoal, visto que no uso das tecnologias na medicina, principalmente as que envolvem Telemedicina, as informações do paciente podem parar em outro país, inclusive para análise de outros profissionais.
Portanto, há necessidade de uma revisão e adequação documental para cumprir com a LGPD, que inicia nos avisos legais de tratamento de dados pessoais com informações para cumprir com os princípios do artigo 6º sobre finalidade, adequação e necessidade, que determina que o tratamento de dados pessoais ocorra com propósitos legítimos, específicos, explícitos e informados, compatíveis com a finalidade informada e limitados ao mínimo necessário.
Alguns desses dados são mais sensíveis do que as informações típicas coletadas por organizações que não são da área da Saúde. Isso porque elas são vinculadas exclusivamente a um indivíduo e, na maioria das vezes, são inalteráveis. Por exemplo, uma pessoa pode criar um endereço de e-mail, mas não pode alterar seu histórico médico ou seus registros dentários, tornando-se uma séria preocupação com a privacidade se esses dados forem vazados.
Você deve se lembrar que no início de 2018 uma falha de segurança no aplicativo E-Health, fornecido pelo Ministério da Saúde, teria exposto por meses dados pessoais de milhares de usuários brasileiros do Sistema Único de Saúde (SUS). Por meio de uma brecha no sistema, era possível acessar dados básicos, como cartão do SUS, o titular, informações médicas detalhadas, e histórico de abstinência de medicamentos e agendamentos.
O caso acendeu o alerta vermelho sobre a privacidade de dados, mas também sobre a posse e ao consentimento no uso dos dados médicos. Na LGDP, dado pessoal sensível é considerado o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à Saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Um ponto importante da LGPD na Saúde é que o setor não está obrigado a ter o consentimento em todas as situações de tratamento de dados (são as hipóteses de exceção tratadas principalmente nos artigos 7º, 10º e 11º). Isso mesmo! A dispensa ocorre nos casos de proteção à vida ou tutela da Saúde, exclusivamente, em procedimento realizado por profissionais de Saúde, serviços de Saúde ou autoridade sanitária; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa.
Mas neste quesito, “os fins não justificam os meios”, mesmo na causa da Saúde, houve alteração na redação final do artigo 7º, inciso VIII ficou destacado que no caso da tutela da Saúde, é exclusivamente em procedimento realizado por profissionais de Saúde, serviços de Saúde ou autoridade sanitária. Além disso, a lei revela que é vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à Saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de Saúde, de assistência farmacêutica e de assistência à Saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados.
No caso de pesquisas, o uso de dados é também limitado. Na realização de estudos em Saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
Com tudo isso, vemos que é uma legislação que exige evidência, justificativas e muita documentação. A LGPD é uma regulamentação de governança e boas práticas. Logo, é procedimental. Faz toda diferença o “como fazer” que é o processo. Desse modo, temos tido que para adequação à LGPD revisar processos, revisar políticas, normas e procedimentos e treinar novamente as equipes para executarem as novas regras. E se possível, certificar ao final (homologar) que tudo ficou conforme deveria para cumprir com a lei.
O paciente no comando
Saúde é a única área de nossas vidas que permaneceu altamente sensível e privada. Porém, os resultados dos testes geralmente são amplamente compartilhados para se chegar a um diagnóstico, com o paciente tendo pouco conhecimento sobre como essas informações são coletadas, quem tem acesso a elas e como são armazenadas. A LGPD, assim como aconteceu com a lei europeia, a GDPR, coloca os indivíduos firmemente no comando dos seus dados.
Isso também inclui os pacientes liberarem dados para seus médicos de forma remota. De acordo com dados do Future Health Index, nos Estados Unidos, 57% dos pacientes possuem ou usam um dispositivo de atendimento conectado para monitorar vários indicadores de Saúde, mas apenas um terço desses indivíduos (33%) já compartilhou essas informações com seu médico.
