Quais riscos devem ser considerados pelas empresas para não expor informações de pacientes?

Quais riscos devem ser considerados pelas empresas para não expor informações de pacientes?

A privacidade das informações é uma preocupação da área da saúde há muito tempo. Trata-se de um setor extremamente regulado, que possui diversas normas da Agência Nacional de Saúde Suplementar (ANS), do Conselho Federal de Medicina (CFM), da Agência Nacional de Vigilância Sanitária (Anvisa) e do Conselho Nacional de Saúde (CNS), que se dedicam ao tema. Entretanto, de alguns anos para cá, tivemos alterações relevantes no cenário político, econômico e tecnológico, além da criação da Lei Geral de Proteção de Dados (LGPD).

A LGPD trouxe uma maior atenção para a privacidade e proteção dos dados pessoais tratados pelas organizações. Na área da saúde, a lei teve um impacto ainda maior, principalmente, devido à realização de reiterados tratamentos de dados pessoais sensíveis, que demandam ainda mais cuidados por parte das clínicas, hospitais, laboratórios e operadoras de planos de saúde.

Com o avanço tecnológico, a área da saúde sofre um processo de digitalização constante. Sua cadeia complexa de interoperabilidade se torna cada vez mais dependente de dados digitais, coletados das mais diversas formas. Nesse sentido, o tratamento de dados pessoais sensíveis1 se coloca como de alto risco e, por isso, demanda medidas de mitigação e de controle capazes de garantir a proteção e a privacidade das informações.

O volume de dados pessoais sensíveis tratados no âmbito da área da saúde é, de forma geral, naturalmente superior se comparado a outros segmentos econômicos, uma vez que identificam dados pessoais relacionados à saúde do titular de dados, por exemplo, quem está realizando tratamento de saúde ou quem está utilizando certo medicamento. Dados pessoais sensíveis são aqueles capazes de ocasionar uma discriminação ao seu titular e, por isso, merecem maior proteção. 

Outro ponto de atenção é a obtenção desses dados pessoais sensíveis, eles são coletados tanto de forma direta quanto indireta. Em suma, os dados diretos são dados clínicos, guardados no prontuário do paciente, a título de exemplo temos: exames laboratoriais, imagens, anamnese, valores de pressão, frequência cardíaca, relatos clínicos, medicações e diagnósticos. 

Os dados indiretos fazem parte de uma categoria que vem crescendo muito por conta da tecnologia. Por exemplo, nos dias atuais, um simples smartwatch pode determinar sua frequência cardíaca, ter um histórico da sua rotina de atividade física, uma live em redes sociais pode ser utilizada como prova em caso de algum problema de saúde, além de fotografias, dados pessoais e até mesmo mecanismos de voz em celulares que podem acabar evidenciando sintomas de algumas doenças.

Inerente à própria natureza dos dados pessoais tratados, a área da saúde possui obrigações específicas relacionadas a sigilo que já estavam presentes nos códigos de éticas da atuação de médicos2 e enfermeiros3por exemplo. Além do mais, a área da saúde que já é complexa, com o avanço da tecnologia, digitalizou seus procedimentos, o que pode ser visto como um elemento de melhoria, mas também aumento do risco quando pensamos em tratamento dos dados pessoais dos pacientes. 

Além do alto risco mencionado envolvido nos fluxos de tratamento de dados do setor, que lida com dados pessoais sensíveis, a área da saúde realiza seu atendimento por meio de uma cadeia com emaranhado de diversos controladores e operadores. Nesse sentido, é muito comum encontrar fluxos de tratamento de dados pessoais que envolvam a terceirização de serviços, por exemplo, de alimentação, limpeza ou até mesmo de exames laboratoriais. Deste modo, os terceiros envolvidos nos tratamentos de dados pessoais na área da saúde merecem atenção bastante detida para que estejam aderentes à adequação e cumprimento da LGPD. 

O fator de interoperabilidade na cadeia de relacionamento com os terceiros dificulta o controle das empresas da área da saúde com relação ao ciclo de vida e de tratamento de cada dado pessoal. Por exemplo, com as questões de retenção e exclusão de dados pessoais, compartilhamento das informações e aplicação das bases legais corretas em cada um dos tratamentos realizados. É necessário um acompanhamento próximo desses terceiros para que o controlador possa adotar medidas preventivas de adequação à privacidade dos dados, bem como para corrigir eventuais práticas que não estejam em sua plena conformidade com a LGPD.

A área da saúde, pelo tratamento de informações sensíveis, possui questões específicas de utilização de bases legais (tutela da vida e da saúde ou consentimento do titular) que demandam uma maior rastreabilidade e, por consequência, um maior controle de cada um dos agentes de tratamento, sejam controladores ou operadores, envolvidos na cadeia de tratamento de dados pessoais.

Destaca-se que a tutela da vida só pode ser utilizada como base legal em uma situação concreta e real em que a vida do paciente esteja em eminente risco. Já o consentimento abrange as situações que não sejam presentes e urgentes, de modo que é extremamente necessário que o paciente seja consultado e autorize a utilização dos seus dados sensíveis, principalmente nas entidades privadas que prestam serviços de saúde e farmacêuticos.

Considerando o cenário colocado acima, as empresas do setor de saúde possuem muitos desafios a serem enfrentados sob a ótica de privacidade e proteção de dados pessoais. A realização de um risk assessment e/ou uma auditoria periódica, focada nos procedimentos criados para a adequação à LGPD são essenciais para garantir que a manipulação de dados pessoais de pacientes seja realizada de forma a garantir seus direitos fundamentais.

*Isabela Almeida e Gabriela Ruivo são advogadas da área de Compliance, Investigações Internas e Privacidade de Dados do WFaria Advogados.

pt_BR