Desde setembro de 2020, quando a Lei Geral de Proteção de Dados Pessoais  (LGPD) passou a valer, a proteção de dados se tornou um tema amplamente divulgado, fato que se intensificou diante dos inúmeros casos de vazamento de dados noticiados.

No setor da saúde, a atenção atribuída ao tema é ainda maior, tendo em vista que, para além dos dados pessoais, como nome e CPF, o exercício da atividade implica no uso dos chamados “dados sensíveis”, incluindo exames e prontuários médicos, por exemplo.

Isso porque, tanto para a Lei quanto para os Tribunais, a natureza dos dados sensíveis demanda um cuidado redobrado. Mas por quê?

Analisando a jurisprudência, recente decisão do Tribunal de Justiça de São Paulo (TJ/SP), entendeu que, tratando-se de incidente de segurança com dados sensíveis, em virtude da natureza desses dados, que são capazes de comprometer a dignidade do indivíduo, mostra-se possível a condenação por dano moral presumido, bastando que o titular comprove o ato ilícito e o nexo causal para configurar o dano.

Agora, trocando em miúdos, não é difícil imaginar que a exposição indevida de resultados de exames e históricos médicos possa acarretar consequências gravíssimas, inclusive, discriminação no meio social do paciente.

Não por outro motivo, no início deste ano, foi publicada a Lei n. 14.289/2022 que impõe aos serviços de saúde e às operadoras de planos privados de assistência à saúde o dever de proteger as informações relativas ao HIV, às hepatites crônicas (HBV e HCV), hanseníase e tuberculose.

Embora a Lei possa ser considerada “mais do mesmo”, uma vez que a própria LGPD trata cuidadosamente dos dados sensíveis, vale observar que a verdadeira novidade está na aplicação em dobro das sanções da LGPD, incluindo multa e suspensão das atividades, nos casos em que a divulgação indevida for considerada “intencional ou com o intuito de causar dano ou ofensa” (artigo 6º).

Por falar em recursos financeiros, segundo o Relatório do Custo de uma Violação de Dados produzido pela IBM Security, o setor de assistência médica foi o que mais contribuiu para o custo total médio de uma violação de dados pelo 11º ano consecutivo.

Apesar disso, ainda existem aqueles que resistem à iminente necessidade de se adequar à LGPD, especialmente, médicos autônomos e pequenos consultórios, pois, por vezes, acreditam que já adotam todas as medidas pertinentes em razão da própria regulação do setor.

Todavia, a verdade é que, nos últimos dois anos, os efeitos advindos da pandemia aceleraram algumas mudanças, como o trabalho remoto e o uso da tecnologia, fatores que impactaram diretamente no tratamento dos dados.

Imagine que um médico possui um pequeno consultório e utiliza um software de gestão, bem como realiza teleconsultas com frequência. Note que apenas essas duas ferramentas já implicam em diversos pontos de atenção, como, por exemplo, o armazenamento dos dados pelo software e as invasões de hackers à videoconferência.

A questão não é “se”, mas sim quando qualquer incidente de segurança pode acontecer.

Aliás, como noticiado recentemente, nem mesmo o Ministério da Saúde escapou dos ciberataques, tendo o seu site, bem como do Conecte SUS mantidos fora do ar em virtude de uma invasão que culminou no sequestro de dados.

Para além do risco de um incidente, na prática, diante do compartilhamento de dados com outros estabelecimentos de saúde e com prestadores de serviço relativos à saúde suplementar, é natural que a própria categoria se autorregule, visto que, quando um agente se adequar à norma, provavelmente, ele cobrará a conformidade dos demais integrantes de toda a cadeia de prestação do serviço.

E vale o lembrete: de nada adianta apenas afirmar a conformidade com a LGPD no papel, pois, caso ocorra algum incidente, este será um forte indício de que o tratamento de dados ocorreu de forma irregular, ou seja, sem a observância da norma e desprovido de garantia de segurança (artigo 44 da LGPD).

Tendo isso em vista, constata-se que, muito além do sigilo inerente à profissão, o profissional da saúde precisa estar atento a questões que, via de regra, não fazem parte do seu cotidiano, mas que são igualmente relevantes para manter os dados seguros durante o longo prazo de 20 (vinte) anos, tempo mínimo de conservação, conforme a Lei do Prontuário Eletrônico.

Diante do contexto apresentado, fica evidente que as repercussões da inobservância da Lei Geral de Proteção de Dados Pessoais ultrapassam, e muito, as sanções.

A bem da verdade, o que está em jogo é a própria manutenção da atividade, visto que, diante de um possível incidente, não somente o aspecto financeiro será atingido, mas também a reputação e, por conseguinte, a relação entre o profissional da saúde e o paciente, bem como entre este primeiro e os eventuais parceiros.

Assim, após mais de um ano do início da vigência da LGPD e diante de todos os eventos danosos já noticiados, não restam dúvidas de que, independentemente do tamanho do negócio, a proteção dos dados se tornou fator vital para a continuidade de qualquer atividade relacionada à saúde, não podendo, portanto, ser ignorada.

 

Marina Ferraz de Miranda

É Advogada e Administradora de Empresas; Mestre em Finanças e Desenvolvimento Econômico pela Universidade Federal de Santa Catarina (CPGA/UFSC); Especialista em Compliance e Gestão de Riscos pela Faculdade Pólis Civitas; Profissional de Compliance Público CPC-c pelo Centro de Estudos em Direito e Negócios (CEDIN); Auditora Líder em Sistemas de Gestão Antissuborno (ABNT NBR ISO 37001:2017). Atualmente integra o Comitê de Segurança da Informação e Proteção de Dados do Tribunal de Contas do Estado de Santa Catarina e a Comissão de Integridade do Tribunal de Contas do Estado de Santa Catarina. Possui experiência na implantação de programas de compliance e de adequação à LGPD, na condução de processos administrativos sancionatórios.

[email protected]

 

Tayná Tomaz de Souza

Advogada, Graduada em Direito pela Universidade Federal de Santa Catarina (UFSC). Pós-Graduanda em Direito Digital e Proteção de Dados pela Escola Brasileira de Direito (EBRADI). Certificada pela Exin em “Privacy and Data Protection Foundation (PDPF)” e “Information Security Foundation based on ISO/IEC 27001 (ISFS)”. Membra consultiva da Comissão de Direito Digital da OAB/SC.

[email protected]

 

Referências

BRASIL. Lei n. 13.787/2018. Dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13787.htm> Acesso em 08 de janeiro de 2022.

BRASIL. Lei n. 13.709/2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em 08 de janeiro de 2022.

BRASIL. Lei n. 14.289/2022. Torna obrigatória a preservação do sigilo sobre a condição de pessoa que vive com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e de pessoa com hanseníase e com tuberculose, nos casos que estabelece; e altera a Lei nº 6.259, de 30 de outubro de 1975. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2022/Lei/L14289.htm> Acesso em 08 de janeiro de 2022.

IBM SECURITY. Relatório do Custo de uma Violação de Dados. Disponível em: <https://www.ibm.com/br-pt/security/data-breach> Acesso em 08 de janeiro de 2022.

MARINA SOCIEDADE DE ADVOGADOS. ANPD notifica Ministério da Saúde sobre incidente de segurança. Disponível em: <https://www.marinamiranda.adv.br/post/anpd-notifica-ministerio-da-saude-sobre-incidente-de-seguranca> Acesso em 08 de janeiro de 2022.

MARINA MIRANDA SOCIEDADE DE ADVOGADOS. Como está caminhando a jurisprudência: incidente de segurança com dados pessoais gera indenização? Disponível em: <https://marinamiranda.adv.br/post/como-esta-caminhando-a-jurisprudencia-incidente-de-seguranca-com-dados-pessoais-gera-indenizacao/> Acesso em 08 de janeiro de 2022.

MARINA MIRANDA SOCIEDADE DE ADVOGADOS. Novo vazamento de dados reforça velhas preocupações. Disponível em: <https://www.marinamiranda.adv.br/post/novo-vazamento-de-dados-reforca-velhas-preocupacoes> Acesso em 08 de janeiro de 2022.