A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), tem total incidência sobre profissionais médicos, farmácias, clínicas, hospitais e planos de saúde. Engana-se quem pensa que a lei em questão está relacionada apenas às empresas e profissionais da área da tecnologia da informação.
O artigo 5º da lei em questão deixa claro que o objetivo da norma é proteger os dados pessoais, portanto, qualquer informação que permita a identificação ou a associação à pessoa natural estará protegida.
Sendo assim, quando o paciente procura atendimento em consultório, farmácia, clínica e hospitais, nenhuma dúvida subsiste sobre a coleta de dados para, ao menos, preenchimento da ficha e, posteriormente, quando for o caso, constituição de prontuário ou cadastro.
Dados coletados que sejam responsáveis por identificar o paciente são protegidos pela LGPD. Logo, médicos, clínicas, hospitais e qualquer outro profissional da área de saúde que preste serviço direto ao particular, com a coleta de informações pessoais, está obrigado a conhecer e aplicar as diretrizes previstas na lei federal apontada.
A LGPD, dentre outras classificações, individualizou como dado pessoal “informação relacionada à pessoa natural identificada ou identificável” e, como dado pessoal sensível “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Portanto, os dados pessoais relacionados à saúde do paciente são considerados dados pessoais sensíveis.
A LGPD conceituou como tratamento de dados “toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”
Conclui-se, então, que os dados sensíveis estão presentes na área da saúde e, por conseguinte, qualquer das ações consideradas como tratamento de dados impõe, por determinação legal, um maior controle e segurança.
Para que tais dados sejam tratados, é necessário que o titular ou seu responsável legal consinta, de forma expressa e destacada, para finalidades específicas. Vale ponderar que, a norma prevê algumas exceções quanto à necessidade do consentimento expresso, todavia, tais questões serão tratadas em outro momento.
Em sendo assim, não se permitirá o registro dos dados do paciente em nota fiscal, sem autorização expressa, quando se pretender o ressarcimento ou recebimento de valores, por exemplo, junto às Operadoras de Plano de Saúde e, até mesmo, encaminhamento de exames, efetivação de cirurgia ou consulta para comprovação da realização e recebimento de valores junto às cooperativas, planos de saúde, parceria com hospitais, etc.
Embora a LGPD possa gerar entendimento de que sua aplicação ocorra apenas no campo eletrônico, cabe consignar que sua incidência também se dá em qualquer meio que promova a coleta de informação, isto é, dados coletados em ficha de papel também estão protegidos.
Não descartando as sanções cíveis indenizatórias, processos administrativos junto aos Conselhos de Classe caso as determinações previstas na lei em questão não sejam cumpridas, outras penalidades são aplicáveis, tais como: advertências ou multa até proibição parcial ou total do exercício de atividades relacionadas ao tratamento das informações, sendo que a multa por infração pode ser diária.
A multa pecuniária poderá alcançar a cifra de R$ 50.000.000,00 (cinquenta milhões de reais).
Desta forma, todos os operadores da área de saúde que promovam a captação de dados e, mais, que façam a coleta de dados sensíveis, deverão adotar as medidas necessárias para instruir processo de segurança que garanta a coleta e o tratamento destes dados, o que passa também pela conscientização, educação e treinamento dos profissionais que colaboram na prestação dos serviços da área de saúde, sob pena de haver severa penalização.
Em resumo, a LGPD concedeu ao paciente / cliente o direito pleno sobre as informações coletadas, devendo ser informados sobre a finalidade de uso, impondo ao responsável pela coleta dos dados a adoção dos meios necessários para proteção dos mesmos, sob pena de severa sanção.