A LGPD nas clínicas médicas

Toda a empresa terá que se adaptar à Lei Geral de Proteção de Dados, e aquela que não a cumprir, terá que arcar com multas milionárias. A Lei nº 13.709, de 14 de Agosto de 2018, se enquadra a qualquer pessoa física ou jurídica que colete dados pessoais tanto por meio digital ou presencial. Dados pessoais são considerados, pela lei, qualquer informação relacionada a pessoa natural identificada ou identificável. Dados pessoais sensíveis são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

A LGPD visa principalmente o respeito à privacidade e à inviolabilidade da intimidade, da honra e da imagem de uma pessoa. É importante que gestores, médicos e equipe estejam cientes da atenção à LGPD e ao tratamento dessas informações.

1. Clínicas devem se adequar a LGPD?

 Sim. Conforme a LGPD, toda a clínica médica e consultório que coleta dados de pacientes deve criar uma política pública de coleta de dados. Deve ficar clara a razão pela qual a organização médica coleta esses dados, onde eles são armazenados e por quanto tempo eles ficam armazenados.

A clínica deve nomear um Encarregado de Proteção de Dados, uma nova função que surge com a LGPD, conhecida também como DPO (do inglês, Data Protection Officer), e deve tomar diversas outras ações, as quais abordaremos ainda neste artigo.

Se a organização de saúde não adotar a política completa de “compliance”, será advertida e penalizada com multas que vão de 2% do faturamento anual até o limite de R$ 50 milhões. A instituição médica que não se adequar à nova LGPD pode ser impossibilitada de promover suas atividades. Além das multas terá a suspensão do direito de tratamento de qualquer dado pessoal durante 6 meses – e assim prorrogável por igual período até a regularização.

2. LGPD simplificada para clínicas

 A Lei Geral de Proteção de Dados Pessoais visa proteger o tratamento dos dados pessoais de pacientes, colaboradores e parceiros. Além de dados de identificação, endereço IP, número de ID, login e demais objetos da tecnologia, também podem ser pertinentes à LGPD.

A LGPD confere que os dados coletados ou enviados por um paciente, neste caso, sejam mantidos e tratados com segurança. Além do consentimento do paciente, a política definida pelo serviço de saúde para coleta de dados deve cobrir o armazenamento, o compartilhamento, o arquivamento e a transmissão de suas informações. A LGPD tem como intuito reforçar a segurança de toda e qualquer informação, não apenas da empresa. Além disso, transparecer o tratamento destes dados: motivo da coleta, por quem serão utilizados, etc.

3. Somente o sistema de prontuário eletrônico adequado à LGDP não é o suficiente.

Ter um sistema de prontuário eletrônico adequado a LGPD é apenas um dos diversos passos exigidos pela implementação da nova lei. Compliance – conformidade em português, visa disciplinar a conduta e adequação da empresa para cumprimento de todas as políticas, normas regulamentares, diretrizes, regras. Portanto, o compliance, nesse caso, será um guardião da LGPD.

Uma foto ou informação que chega através de e-mail ou mensagem instantânea, até mesmo para o médico, deverá ter um procedimento exclusivo. Pois, essa é uma informação relacionada a pessoa natural identificada ou identificável. Portanto, se ocorrer um vazamento deste dado, pode acontecer a violação da intimidade, da honra e da imagem do paciente. Assim, é notório que apenas um sistema de prontuário eletrônico adequado a LGPD não é o suficiente para que a clínica médica ou hospital estejam de acordo com a Lei Geral de Proteção de Dados Pessoais. Por fim, quem deverá orientar e monitorar a equipe quanto a esses procedimentos e quanto a reclamação deles, como também sua devida importância, será o DPO da organização.

4. Quem pode ser o DPO da clínica médica?

 O DPO de uma clínica ou hospital é aquela pessoa responsável por assegurar o compliance, ou seja, a execução da política interna de tratamento de dados. Isso significa: verificar que os procedimentos dentro da organização estejam sendo executados e seguidos de acordo com a LGPD, tanto por médicos, enfermeiros, auxiliares, secretários e demais profissionais contratados – vale também para terceirizados.

A LGPD exige a nomeação de um Encarregado de Proteção de Dados dentro da organização. Entretanto, não especifica particularidades dessa posição. Fato é que, toda a equipe deve estar engajada neste assunto, principalmente a gestão.

Naturalmente, a recomendação é que a posição de DPO dentro de uma clínica seja preenchida por um profissional que reúna habilidades de comunicação e conhecimentos multidisciplinares da organização e também da LGPD. Isso porque o DPO deverá aceitar reclamações e se comunicar com o paciente a respeito dos seus dados pessoais, quando preciso, e também com a autoridade nacional (ANPD – Agência Nacional de Proteção de Dados). Além disso, deverá avaliar e orientar a equipe quanto aos procedimentos de acordo com o compliance.

5. Relação do Termo de Consentimento Livre e Esclarecido com a Lei Geral de Proteção de Dados (LGPD)

O Termo de Consentimento Livre e Esclarecido (TCLE) é conhecido em clínicas porque a relação médico-paciente é cheia de momentos de tomadas de decisão. O TCLE é um instrumento que visa esclarecer aos pacientes (ou responsáveis) detalhes sobre procedimentos diagnósticos e terapêuticos a serem realizados, mencionando de forma transparente a complexidade, tal como possíveis riscos e benefícios, da assistência prestada. Portanto, ao assinar o TCLE, o paciente declara automaticamente que está de acordo com esses procedimentos.

6. Como os dados devem ser coletados e manuseados?

Uma clínica só pode coletar e armazenar os dados pessoais de um paciente com sua devida autorização, tendo assinado o Termo de Consentimento Livre e Esclarecido e disposto as devidas informações conforme orienta a LGPD.

É necessário que a empresa defina para quê e por que os dados serão coletados e armazenados, tal como compartilhados com outras organizações. Se houver uma mudança no percurso desses dados, como por exemplo a contratação de um serviço terceirizado, uma nova autorização deve ser solicitada.

Algumas dicas importantes e que não podem ser deixadas de lado na elaboração dos termos é que a clínica ou hospital:

• Especifique o propósito de coletar esses dados;
• Informe se as informações serão compartilhadas com terceiros, assim como o motivo do compartilhamento;
• Esclareça e ofereça informações de um contato específico (DPO) para os pacientes em caso de dúvidas.

7. Penalidades para clínicas que não se adequarem à LGPD

As penalidades para clínicas e hospitais que não se adequarem à LGPD podem variar de acordo com a gravidade da violação. As multas podem chegar a 2% do faturamento, com teto de R$ 50 milhões, e a organização ter suas atividades suspensas parcial ou totalmente.

Segundo o artigo 52 da LGPD, em razão das infrações cometidas às normas previstas, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o teto no item anterior;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Fonte:  Ana Paula Delgado é especialista em gestão de clínicas médicas