Ainda que a LGPD fortaleça a inviolabilidade da intimidade é de suma importância que os hospitais, médicos e operadoras de planos de saúde se adequem à nova legislação
A Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/2018, que entrará em vigor em agosto de 2020, produzirá efeitos também para o setor da saúde. Isso porque em seu artigo 11° ela prevê uma seção destinada aos dados pessoais sensíveis (classificação dada pela Lei para as informações relativas à saúde dos pacientes, além dos dados sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou política, dado genético ou biométrico, ou informações sobre a vida sexual do titular).
Como regra, a Lei estabelece que o tratamento/disponibilização dos dados da saúde somente poderá ocorrer quando houver o consentimento do paciente e deve ser para uma finalidade específica (art. 11, I). No entanto, a LGPD autoriza a disponibilização desses dados sem o consentimento do titular, para o cumprimento de obrigação legal por parte do controlador, garantir a segurança do titular, prevenir a fraude, executar políticas públicas, proteger a vida/incolumidade física, assim como a tutela da saúde.
Ainda que a LGPD fortaleça a inviolabilidade da intimidade, privacidade, honra e imagem e intensifique o dever de sigilo já existente na área da saúde, é de suma importância que os hospitais, médicos e operadoras de planos de saúde se adequem à nova legislação, sob pena de serem penalizadas com: (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples, de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração; (iii) multa diária, até o limite de R$ 50 milhões; (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e (vi) eliminação dos dados pessoais a que se refere a infração.
Além disso, poderão responder processo disciplinar perante o conselho de classe (no caso dos profissionais da saúde) e processo judicial para reparação dos danos (moral e patrimonial) causados ao titular dos dados violados (art. 42).
Assim, os hospitais, clínicas e operadoras de planos de saúde deverão contratar um encarregado para realizar o controle de dados, além de implementar políticas internas e políticas de privacidade, bem como executar programas mais rígidos de compliance digital, atualização de ferramentas de segurança de dados, revisão documental, especialmente dos contratos e dos termos de consentimento assinados pelo paciente. Enfim, deverão realizar melhorias nos procedimentos e fluxos para o tratamento dos dados pessoais dos pacientes.
Autoria: Fernando Augusto Sperb e Suhéllyn Hoogevonink de Azevedo - advogados da Sociedade de Advogados Alceu Machado, Sperb e Bonat Cordeiro