Vários meios de comunicação noticiaram que a vigência da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) foi postergada através da Medida Provisória 959 (MP 959) em razão dos impactos econômicos e sociais da crise provocada pela pandemia do Coronavírus, de acordo com o Ministro Paulo Guedes.
A LGPD veio trazer novo regramento sobre o tratamento de dados. Segundo a própria lei, em seu art. 5º, tratamento é toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Mas, quais dados devem ser protegidos? Os dados pessoais protegidos são: CPF, RG, nome completo, telefone, endereço, data de nascimento, passaporte, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, entre outros tantos, que são essenciais para a nossa vida cotidiana.
A lei em seu artigo primeiro encerra o seu principal intuito que é dispor sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, com o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e de livre desenvolvimento da personalidade da pessoa natural.
Grande parte dos artigos da LGPD teve a sua vigência postergada conforme a MP 959, exatamente em razão das dificuldades de adaptação de diversos setores ao momento da pandemia do Coronavírus. Portanto, até o momento, estão vigentes os artigos que disciplinam a criação da Autoridade Nacional de Proteção de Dados (ANPD) e dá outras providências relativas a este órgão da administração pública federal integrante da Presidência da República (art. 55- A até 55-L, 58-A e 58-B). Os demais artigos somente vão entrar em vigor a partir de 3 de maio de 2021.
Os hospitais, assim como outras instituições de direito público e privado, deverão observar o que disciplina a LGPD, principalmente no que diz respeito aos dados dos seus pacientes, sendo estes dados pessoais (nome completo, CPF, RG e outros) e dados pessoais sensíveis (prontuário, por exemplo). O tratamento destes dados somente poderá ser realizado mediante o fornecimento de consentimento de seus titulares (art. 7º). O consentimento é definido como a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5º, XII) e este consentimento não pode ser viciado. Assim, todo cuidado é necessário, devendo ficar explicito o motivo de coletá-los, para qual finalidade e quando serão utilizados, inclusive quem poderá ter acessos a estes dados.
Contudo, em várias ocasiões esse consentimento pode ser dispensando como, por exemplo, para cumprimento de obrigação legal ou regulatória pelo controlador; tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (art. 11, inciso II, alíneas “a”, “b”, “c”, “d”, “e”, “f”). Inclusive a interpretação das últimas hipóteses expostas, muito possivelmente, deverá gerar acaloradas discussões no âmbito das instituições de saúde.
Assim mesmo, não somente os dados já coletados bem como os que ainda vão ser tratados deverão estar em sistemas seguros de armazenamentos de dados, tanto os prontuários em meios físicos bem como os em meios eletrônicos e ainda os físicos digitalizados. Ademais, os cuidados deverão ser dirigidos também aos sistemas de trocas de informações do SUS, da Saúde Suplementar, perante os laboratórios, inclusive nas transferências inter-hospitalares. Além disso, estes dados devem estar à disposição da Autoridade Nacional de Proteção de Dados (ANPD) e inclusive a LGPD determina a eliminação dos dados após o término do tratamento, disciplinando a sua conservação para algumas finalidades específicas (art. 16).
Ainda há a previsão de responsabilização por danos patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, sem contar as sanções administrativas aplicáveis pela autoridade nacional que pode chegar a multa de até 2% do faturamento da pessoa jurídica de direito privado, limitada no total a R$ 50.000.000,00 por infração, além de multa diária, publicização da infração, bloqueio e eliminação dos dados (art. 42 c/c 52).
O adiamento da vigência da LGPD possibilitará que as entidades de saúde tenham um pouco mais de tempo para se adaptar às profundas mudanças em sua estrutura para o tratamento de dados, o que deve ser iniciado desde já, uma vez que em menos de ano estarão em vigor todas as suas determinações. De outro modo, a mudança da vacatio legis poderá significar prejuízos em negociações com empresas estrangeiras desenvolvedoras de tecnologias para combater o Coronavírus, exatamente em razão da inadequação do Brasil às diretrizes preconizadas pela União Europeia e a Lei de proteção de Dados de lá, a General Data Protection Regulation– GDPR.
Por: Lílian Morais Guimarães
Advogada pós-graduada em Direito Empresarial e pós-graduanda em Direito Médico. Setor Cível e Empresarial com ênfase em Direito da Saúde do escritório Kátia Rocha Advogados.
Para saber mais:
Hi, this is a comment.
To get started with moderating, editing, and deleting comments, please visit the Comments screen in the dashboard.
Commenter avatars come from Gravatar.