A Lei Geral de Proteção de Dados (LGPD) já está em vigor e se aplica aos estabelecimentos de saúde, como hospitais, clínicas médicas, consultórios médicos, operadoras de plano de saúde, laboratórios e farmácias, e todos precisam se adaptar às novas regras.
O não cumprimento da LGPD por estes estabelecimentos, a partir de 01/08/2021, pode ensejar, além de outras penalidades cabíveis no âmbito cível e penal, a aplicação de sanções administrativas, como advertências e multas.
Vale destacar que as penalidades previstas pela LGPD são severas. No que tange às punições financeiras, a lei prevê uma de multa que parte de 2% do faturamento bruto anual da empresa (considerando o último exercício fiscal), respeitando o limite de R$50 milhões na hipótese de vazamentos de dados. Ainda, a empresa poderá ter o acesso ao seu banco de dados suspenso por até 06 (seis) meses, o que de certa forma inviabilizará sua operação comercial durante este período.
Logo, a implementação da LGPD nos estabelecimentos de saúde afeta desde a elaboração de prontuários médicos, os programas de fidelidade com consumidores, até as pesquisas clínicas e as trocas de informações entre estabelecimentos (para pedidos de exames laboratoriais, por exemplo), por serem processos que envolvem inúmeros dados pessoais sensíveis.
No mais, é imprescindível ressaltar que o armazenamento e tratamento de dados pessoais pode ser realizado desde que haja o consentimento informado e escrito ou inequívoco do titular dos dados pessoais.
No tocante aos dados pessoais sensíveis, os quais demandam especial proteção, a LGPD estabelece que seu tratamento é possível apenas quando o titular dos dados ou seu responsável legal consentir, de forma específica e destacada, para finalidades pré-determinadas.
A implementação da LGPD nos estabelecimentos de saúde demanda uma série de providências, dentre elas a elaboração de um documento que elucide ao titular de dados/paciente:
1 - O que o estabelecimento faz com seus dados pessoais (desde a coleta até a destruição);
2 - Quais dados pessoais são tratados pela empresa;
3 - Quais as operações de tratamento a que esses dados são submetidos (os dados são armazenados, são processados, são transmitidos?); e
4 - Quais as medidas de segurança que protegem tais dados.
Além disso, deve ser inventariado todo o tratamento de dados pessoais, incluindo não só as operações feitas em meio eletrônico, mas também o tratamento feito de modo físico (em papel).
Para a elaboração do inventário ou mapeamento de dados, é preciso que os gestores do estabelecimento de saúde informem os dados pessoais tratados na empresa, as finalidades e as operações realizadas. Com base nisso, os profissionais da Tecnologia de Informação (TI) e os assessores jurídicos, orientados pelo Encarregado do estabelecimento de saúde, poderão mapear os dados tratados, identificando hipóteses legais e medidas de segurança e privacidade para proteção dos dados pessoais, como por exemplo a anonimização dos dados pessoais em banco.
A Lei Geral de Proteção de Dados dá especial ênfase ao consentimento do titular como um elemento autorizador do tratamento de dados pessoais. A lei estabelece que o consentimento deve ser uma manifestação livre, informada e inequívoca (preferencialmente, consignada de forma escrita) pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Por tal razão, a empresa, para evitar problemas de adequação à Lei, deve possuir meios eficazes de obter e armazenar o consentimento de seus pacientes, consumidores, usuários ou colaboradores para o tratamento de dados pessoais, sempre considerando a prevenção como o meio adequado para que vazamentos sejam evitados.
Ademais, se o estabelecimento de saúde (controlador, conforme a LGPD) necessitar comunicar ou compartilhar com outros estabelecimentos ou pessoas os dados pessoais do titular que consentiu com a coleta e o armazenamento de certos dados, devem obter consentimento específico para essa finalidade.
Recomenda-se que para uma perfeita implementação da LGPD nos estabelecimentos de saúde depende, seja feito a capacitação e do treinamento de toda a equipe que atua no local.
É importante ressaltar que, em caso de descumprimento da LGPD nos estabelecimentos de saúde, um procedimento administrativo pode ser instaurado para aplicação de uma sanção a sua empresa/clínica. Nesse procedimento, haverá a possibilidade de defesa e, para tanto, uma assessoria jurídica qualificada pode ser essencial para demonstrar que o seu estabelecimento de saúde atua em conformidade com a LGPD, que não houve descumprimento ou que a sanção é excessiva.
Judicialmente, eventuais violações à LGPD nos estabelecimentos de saúde também geram repercussões. Segundo a Lei, os agentes de tratamento de dados (controlador e/ou operador) responderão em ação judicial pelos danos patrimoniais ou morais que causarem. Nesse aspecto, para garantir uma efetiva defesa, é indiscutível a necessidade de os estabelecimentos de saúde contarem com uma equipe de advogados experiente e especializada.
Portanto, uma assessoria jurídica para acompanhar o cumprimento da LGPD nos estabelecimentos de saúde, torna-se um diferencial para que sua empresa alcance melhores resultados e reduza riscos jurídicos.
A atuação de advogados no processo de adequação à LGPD pode ser tanto preventiva quanto reparadora, iniciando-se desde o planejamento para a elaboração de um inventário de dados até o acompanhamento de eventuais procedimentos administrativos e demandas judiciais relacionados à proteção de dados pessoais.
Logo, para a aplicação da LGPD nos estabelecimentos de saúde, é aconselhável a busca por profissionais que sejam qualificados e experientes no ramo do Direito Médico.
Site: faromancini.adv.br | Email [email protected] | [email protected]
OAB/PR 98.420
