A LGPD afeta as empresas de saúde?

A Lei Geral de Proteção de Dados (“LGPD” – Lei nº 13.709/2018) trata sobre privacidade e proteção de dados de pessoas naturais, tratados em meio físico ou digital, por pessoas físicas ou jurídicas, sejam elas de direito público ou privado.

De acordo com a LGPD, dados pessoais são todas as informações que identificam ou podem identificar uma pessoa natural, como, por exemplo, documentação pessoal, nome completo, endereço, telefone, entre outras.

A lei também classifica os chamados dados pessoais sensíveis, caracterizados por tratar informações relacionadas à origem racial ou étnica, opinião política, convicção religiosa ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural, como também os dados referentes à saúde.

Por abordar informações que podem expor os titulares a situações discriminatórias, constrangedoras ou que firam o limite de sua vida particular, o tratamento de dados sensíveis deve ser realizado em observâncias aos mais elevados níveis de proteção e segurança. Nesse sentido, empresas atuantes na área de saúde, como laboratórios, hospitais, clínicas médicas e de exames, consultórios, seguradoras etc., precisam redobrar seus cuidados com o tratamento de informações sensíveis, uma vez que incidentes de segurança podem acarretar prejuízos não só à reputação e credibilidade das empresas envolvidas, mas principalmente aos titulares dos dados.

Assim, é altamente recomendada a prática de medidas que tenham como principal objetivo a proteção e sigilo dos dados tratados por empresas atuantes no ramo da saúde. A adoção de alguns processos e procedimentos pode ser útil para garantir a privacidade dos dados de paciente, entre elas: garantir a legalidade das bases de dados tratados pela empresa ou compartilhados com terceiros, especialmente quanto à sua origem, definição de base legal de tratamento e observância das determinações legais;

elaboração de políticas e conscientização dos colaboradores, visando a criação, revisão e comunicação de diretrizes considerando melhores práticas para garantir o entendimento sobre a relevância da proteção dos dados pessoais;

gestão de identidades e limitação de acesso às informações médicas, sendo fornecido acesso somente aos colaboradores autorizados, com a devida revogação dos acessos em caso de desligamento;

avaliação de parceiros de negócios e fornecedores, a fim de verificar se estes tratam dados pessoais em observância à lei, na hipótese de necessidade de compartilhamento ou recebimento de dados pessoais;

garantir a integridade e segurança do acesso físico às informações tratadas em mídia eletrônica, papel e sistemas;

avaliar a utilização de pseudo-anonimização dos dados, quando viável;

avaliar a aplicação de recursos de criptografia dos dados pessoais, quando necessária sua utilização, como em casos de compartilhamento dos dados via mensagens eletrônica, por exemplo.

Sendo considerados dados sensíveis, as informações constantes do prontuário de pacientes, que é um documento essencial para o desempenho das atividades relacionadas à saúde, por médicos, dentistas, fisioterapeutas, entre outros, deve ser protegida contra o acesso, uso, alteração, reprodução ou destruição realizados de forma indevida, já que esses documentos devem ser preservados por ao menos 20 (vinte) anos, nos termos do artigo 6º da Lei nº 13.797/18.

. Por: Rogério Agueda Russo, advogado de Nogueira, Elias, Laskowski e Matias Advogados, atuante nas áreas de Direito Empresarial, Privacidade de Dados e Inovação e Startups. Colaborador do guia “Empreendendo Direito: aspectos legais das startups” e o levantamento “Panorama Legal das Startups”. Formado pela Pontifícia Universidade Católica de São Paulo (PUC/SP). Especialista em Direito Societário e Contratos pelo Instituto Internacional de Ciências Sociais (IICS). Especialista em Direito Civil pela Escola Paulista da Magistratura (EPM). Mestre em Direito Comercial pela Pontifícia Universidade Católica de São Paulo (PUC/SP).

Enviar Imprimir