COMO A NOVA LEI DE PROTEÇÃO DE DADOS INTERFERE NA ÁREA MÉDICA
Com a nova Lei Geral de Proteção de Dados Pessoais (“LGPD”), qualquer espécie de utilização de dados pessoais no país, que circulem em meio físico ou digital, estará sujeita às novas regras e princípios tais como o da transparência, finalidade, coleta da menor quantidade possível de dados e o “security and privacy by design”.
O titular dos dados pessoais será sempre a pessoa física identificada ou identificável, que passará a ter o direito de saber como seus dados serão utilizados, com quem serão compartilhados e se oporem ao seu uso casos específicos.
Apesar de novo no País, este tipo de legislação teve origem na Europa e consolidou-se como tendência mundial após os sucessivos escândalos envolvendo vazamento de dados ou mesmo direcionamento de campanhas com base em perfis comportamentais.
Isto porque, se “os dados são o novo petróleo”, a sua coleta e utilização devem ser pensadas para minimizar eventuais danos em caso de vazamento ou uso irregular, bem como a sua utilização deve seguir regras comuns.
Além da GDPR, como é conhecida a Lei Geral de Proteção de Dados Europeia, outras regulamentações internacionais já existiam e traziam restrições para a área da Saúde. Nos Estados Unidos, os procedimentos devem seguir a HIPA (Health Insurance Portability and Accountability Act) e Protected Health Information (PHI – Informações de saúde protegidas). No Brasil, os atos médicos e prontuários também já haviam sido regulamentados por Normas Regulamentadoras do então Ministério do Trabalho e Emprego, bem como pelo CRM caso do prontuário eletrônico.
Mesmo com todos os avanços e novos conceitos, a área da saúde será uma das mais impactadas pela nova Lei.
Sendo uma legislação geral, feita para todos os tipos de negócios e de forma genérica, muitas das questões médicas e que envolvem o tratamento de informações sobre doenças e pacientes não foram pensadas durante a fase de tramitação do projeto original. Isso criou uma série de obstáculos práticos para que hospitais e médicos possam compartilhar informações com planos de saúde, farmácia e empresas de medicina.
Na prática já são muitas as situações onde a medicina conflita com o direito e geram revisões judiciais. Agora situações específicas também precisarão ser repensadas sob o ponto de vista ético, finalístico e legal conjuntamente com o exercício da profissão.
No tocante à Medicina do Trabalho, são comuns discussões sobre os limites da conduta profissional ao reportar doenças ocupacionais e outras situações para as empresas contratantes. Avolumam-se na Justiça do Trabalho ações que pedem a reintegração de funcionários com doenças específicas. Na justiça civil também existem pedidos de indenizações contra médicos por violação de sigilo ou prejuízo à imagem.
Agora a LGPD nos faz pensar além. Na Europa, um hospital português foi multado em 400 mil euros por não ter o controle sobre os usuários que tinham acesso aos prontuários médicos. No Brasil há ações do Ministério Público contra uma rede de farmácias que compartilha dados de compra de medicamentos com planos de saúde e laboratórios e casos nos quais a justiça houve indenizações por vazamento de prontuários.
Deveremos então repensar algumas condutas para garantir o sigilo das informações e exames solicitados.
Para a Lei, qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa ou dados referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, são considerados sensíveis. Dados sensíveis só deverão ser utilizados com o consentimento do titular ou em casos específicos, como na tutela da saúde, sob pena de multa que podem chegar a R$ 50 milhões.
O desafio prático será saber a quem recairá a responsabilidade: para a empresa contratante ou para o médico do trabalho? Quem deveria ter acesso ao prontuário médico e como ele é arquivado, fisicamente ou por todo o período de retenção legal? Como o médico do trabalho poderá se precaver se uma informação sensível relatada por um paciente for compartilhada ou acessada indevidamente através de um sistema informático da própria empresa? E no caso de o sigilo médico-paciente ser comprometido pela solicitação de exames complementares específicos?
São indagações como estas que precisam ser debatidas até agosto de 2.020, quando a LGPD entrará em vigor. Não só a área médica, mas todos os segmentos terão a oportunidade de revisar seus procedimentos internos e normas gerais, buscando uma nova harmonização e integração entre o que deverá ser feito e os novos conceitos ligados à proteção de dados.
Na grande parte do tempo, todos nós somos clientes ou fontes de coletas de dados e hábitos de consumos por empresas que sequer conhecemos. Mesmo parecendo mais uma obrigação legal e novas burocracias para a área médica, vale lembrar que o espírito da Lei é a educação e conscientização de quão importante nossas informações pessoais são.
ADRIANO MENDES é advogado e sócio do Assis e Mendes Advogados, atua nas áreas de Direito Empresarial, Digital e Proteção de Dados Pessoais. adriano.mendes@assisemendes.com.br.