Advogado e economista, mestre pela Florida Christian University, Renato Opice Blum é sócio fundador e chairman do escritório Opice Blum, Bruno, Vainzof e associados. Além de professor do Insper e da pós-graduação de Direito Digital da Faap, é o atual presidente da Associação Brasileira de Proteção de Dados. À Revista da APM, falou sobre os efeitos da Lei Geral de Proteção de Dados (LGPD) no dia a dia dos médicos, o que inclui treinamento para secretárias, termo de consentimento dos pacientes para coleta e uso de dados, atualização de contratos com empresas de prontuários e, acima de tudo, mudança na cultura do tratamento das informações.
O que muda de maneira geral com a LGPD?
A Lei Geral de Proteção de Dados traz uma série de regras, tanto na coleta de dados, que nós chamamos de tratamento, quanto na manutenção e gestão deles. Para o médico, esse tratamento dos dados começa a partir da comunicação inicial com o paciente, por exemplo na marcação de uma consulta, por algum meio digital ou canal telefônico. No momento em que o paciente vai ao consultório, realiza o seu cadastro, portanto existe uma coleta e respectivo tratamento de dados pessoais (ordinários), com encaixe na LGPD das regras para manutenção. Existem ainda dados de uma categoria mais delicada e especial, que chamamos de dados sensíveis, relacionados à raça, cor, religião opção sexual, político-partidária e de saúde – como biometria, exames médicos, precedentes, doenças etc. Esses dados sensíveis exigem um consentimento específico para coleta e oportuno tratamento.
Deve haver algum termo que os pacientes assinam?
Como o paciente tem o interesse em procurar o médico, os dados ordinários vão ser coletados para o que chamamos de execução do contrato. Já para os dados sensíveis, é preciso um consentimento específico e separado, com todas as informações sobre o tratamento dos dados – onde e como ficam armazenados, quanto tempo, quem tem acesso, quais são as medidas de segurança etc. Inclusive, esses dados podem ser requeridos pelo próprio paciente, a quem a lei chama de Titular dos Dados Pessoais. A LGPD recomenda que dados médicos tenham, quando possível, anonimização ou pseudoanonimização, para que não seja possível relacionar as informações com as pessoas – por exemplo, vinculando os dados sensíveis a números ou códigos, e não a nomes.
No caso dos médicos que utilizam sistemas de prontuários, é importante ter algum termo de ajuste no contrato com as empresas?
Sempre que possível, em se tratando de dados médicos, camadas extras de segurança e proteção devem ser adotadas. É importante ajustar contratos para que o médico possa eventualmente exercer o direito caso seja acionado por um paciente e, ao mesmo tempo, ter acesso aos sistemas, exigir auditorias e toda a parte de regulamentação de protocolos técnicos por parte do contratado. Ainda recomendo ter seguros cibernéticos específicos e exigir também que os contratados tenham essas apólices de seguros, o que ajuda bastante a diminuir os riscos. Chamo atenção também ao aumento dos ataques e invasões a partir de fraudes direcionadas não só aos médicos, mas a todos. Por isso, é fundamental manter os softwares atualizados e possuir back up adequado dos arquivos.
E para arquivos físicos, como proceder?
Pela interpretação da LGPD, qualquer tipo de dado que esteja sob o seu tratamento, armazenado por você, mesmo que antigo, deve se encaixar em alguma das hipóteses legais. Neste caso, seria necessário fazer o tratamento adequado, com coleta de autorizações para o armazenamento das informações, anonimização, pseudoanonimização ou mesmo a eliminação dos dados.
Os funcionários de consultórios e outros serviços de Saúde precisam de algum treinamento especial?
É importantíssimo nos projetos de conformidade e adequação que esses treinamentos sejam feitos e repetidos de tempos em tempos, para que haja atualização dos profissionais para tratar os dados. Como a LGPD é uma prática recente, as iniciativas nesta linha de treinamentos ainda são escassas, mas acredito que isso irá aumentar de forma natural, à medida em que o mercado for se acostumando. É preciso uma mudança de cultura, já que estamos acostumados com relativa precariedade no tratamento desses dados [por exemplo, com documentos e prontuários médicos deixados em cima de balcões].
É necessário alterar os contratos de trabalho desses profissionais?
Sim, é importante fazer algumas atualizações com relação à atividade em si, que envolve acesso e manipulação de dados pessoais dos clientes. Nessas alterações, é preciso aumentar a responsabilidade pessoal, pela natureza do próprio dado. E no tratamento dos dados dos colaboradores dos consultórios, em algumas situações é importante ter o consentimento, a exemplo de plano de saúde, caso haja acesso a algum tipo de dado médico desses funcionários.
Para os médicos que utilizam sites e mídias sociais, o que muda?
Tem esse ajuste de cookies dos sites, que nada mais é do que um aviso sobre a gravação de dados pessoais eventualmente gerados na navegação. Com relação às redes sociais, além da preocupação da não exposição e divulgação de dados de pacientes – a não ser em casos especiais, com consentimento – é importante o respeito às regras dos Conselhos Regionais e Federal de Medicina, que têm regulamentação específica para isso. Mesmo em posts normais do dia a dia, que não vão revelar dados de saúde, eu optaria por também obter consentimento com relação ao uso da imagem dos pacientes.
Como está a questão da multa em relação à LGPD?
Estamos aguardando a publicação oficial do regulamento que vai embasar a aplicação de multas, provavelmente até o final do ano. Porém, já é possível a aplicação de outras multas com inspiração na LGPD, por exemplo pelo Procon, Anvisa ou os próprios Conselhos de Medicina. Isso vem acontecendo com processos e ações judiciais movidas por pacientes por meio de associações, chamadas de ações civis públicas. Qualquer tipo de sanção aplicada por qualquer órgão gera o direito de defesa. O médico pode recorrer às instâncias de esfera administrativa e, caso não tenha sucesso, precisa consultar um advogado, que ajudará a decidir se deve ou não recorrer ao Judiciário.
Caso ocorra vazamento de dados médicos, como proceder?
Costumo dizer que vazamento é algo que todos nós experimentaremos, o que vai mudar é o momento, a proporção e o dano causado. O foco principal hoje é que aqueles que tratam dos dados pessoais estejam preparados para isso e consigam reagir da melhor forma possível no caso de vulnerabilidades. Com relação ao vazamento de dados sensíveis, em muitos casos pode ser necessária a comunicação à Autoridade Nacional de Proteção de Dados (ANPD). Essa comunicação precisa ser técnica, com a ajuda de profissionais especializados, e na prática também serve de apoio, pois transparência e boa-fé contam muito na aplicação das sanções, uma vez que o médico também pode ter sido vítima de invasões e vazamentos.
Publicada na edição 728 – set/out de 2021 da Revista da APM
Fotos: Divulgação
