Lei de Proteção de Dados na saúde: Médicos podem pagar multa?

por Claudio Joel Brito Lóssio - 26/07/2021

A indústria 4.0 e sociedade (quase) 5.0 que estamos vivendo agora vem transformando nossa atual sociedade, criando um modelo conhecido como sociedade digital. Nesse cenário, o tempo é completamente diferente da sociedade real; ou é rápido demais, ou demora muito. Neste contexto novos padrões de segurança e privacidade deverão ser adotados com vistas ao mundo  cibernético, onde  dados e informações são de pilares do novo modelo.

Profissões, outrora estanques, se misturam ao direito, à tecnologia, assim como com a gestão e governança. Na área da saúde não é diferente, especialmente quando se trata de Lei de Proteção de Dados,  que para ser colocada em prática exige profissional conhecido como encarregado de proteção de dados o DPO – Data Protection Officer, cuja capacitação técnica passa pela gestão, governança, direito e pela tecnologia.

Em função disto, ambientes médicos  deverão  aprimorar seus processos de segurança da informação e  estar em conformidade com  os padrões  legais, vale dizer  dispor de política de compliance com a LGPD – que é a busca por conformidade legal diante da Lei de Proteção de Dados Pessoais, para que os direitos e liberdades relacionadas com o direito à proteção de dados seja garantida, visto que a privacidade e o livre desenvolvimento da personalidade são direitos fundamentais.

Esse novo modelo social condiciona as pessoas a uma permanente reabilitação, com base em treinamentos rotineiros para proporcionar uma maior sensibilização entre os usuários e essas novas tecnologias. Isso inclui os profissionais da saúde de todos os segmentos  em todos os níveis e esferas.

Equipes  de clínicas, hospitais, laboratórios ou  empresas prestadoras de serviços na seara da tecnologia necessitam, com urgência, reinventar seu  padrão operacional, com base no conhecimento não só nas legislações de proteção de dados, mas também no direito digital, proporcionando segurança aos usuários de que seus dados  serão preservados, não esquecendo da reestruturação dos valores da organização, os direcionando para uma cultura de proteção de dados.

A  Lei  Geral de Proteção de Dados (Lei nº 13.7090), já está em vigor e deixa tempo suficiente para iniciar o processo de adequação. Para se ter um parâmetro, o Regulamento Geral de Proteção de Dados da Europa foi publicado em 2016, entrou  em vigor dois anos depois e, mesmo a Europa tendo uma Diretiva de Proteção de Dados desde 1995, até o momento ainda há permanente evolução no que toca as conformidades em relação  a dados pessoais  que geram multas expressivas.

A falta de conformidade,  tarefa setor de compliance digital,  cujo objetivo é a   aplicação de normas de segurança da informação conforme leis de proteção de dados, podem determinar fortes penalidades para os proprietários e sua equipe, assim como para  os prestadores de serviço nesta área. Em assim sendo, o conhecimento digital  deixa de ser  opcional para essa classe de profissionais,  bem como para as demais profissões que manuseiam dados sensíveis.

Ainda a lembrar que não só a conformidade com a LGPD é necessária na área da saúde. Visto que há diplomas legais que devem ser implementados em conjunto, como a Lei do PEP – Prontuário Eletrônico do Paciente, Lei 13.787 de 2018.

O usuário, independentemente de função e titulação, é a principal ferramenta de proteção dos dados armazenados em seus dispositivos, sejam pessoais ou institucionais. E aqui a necessidade imperiosa de seguir à risca  as políticas de compliance, sinônimo  de conformidade, da empresa  onde trabalha. Esta, por sua vez , deve promover  de treinamentos de proteção de dados, compliance/conformidade  digital, segurança da informação e direito digital, priorizando a importância da  segurança e privacidade. Lembrando que todos esses processos devem estar adequados e posteriores à auditorias e gestão de riscos envolvendo o hardware, software, pessoas e organização.

Os dispositivos cibernéticos com informações ficam expostos devido a práticas maliciosas de engenharia social, pelo uso inadequado das tecnologias e a outros métodos de invasão dos crackers , permitindo  que dados privados caiam sejam presas fáceis nas mãos de terceiros não autorizados.

Apenas com uma nova modelagem de educação nas escolas e um novo padrão de gestão com base na conformidade e na evolução da responsabilidade, se poderá reduzir para as futuras gerações esses métodos atuais de invasão, assim combatendo as violações e vazamento de dados, consequentemente, a cibercriminalidade.

Como diz Lei de Introdução ao Estudo do Direito, em seu artigo 3º  “ninguém se escusa de cumprir a lei, alegando que não a conhece” , não há como negar a já citada  Lei Geral de Proteção de Dados   veio para ficar , trazendo  a necessidade de repensar padrões tratamento de dados digitais ou físicos em todas as esferas.

Basta conferir o teor do artigo 1º “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Assim, no que ser refere aos profissionais da saúde autônimos, consultórios, hospitais ou clínicas que possua sistema eletrônico ou fichas em papel, todos também terão que  se adequar a tal normativo legal, seguindo o disposto na lei que define  dado pessoal como  informação relacionada a pessoa natural identificada ou identificável e dado pessoal sensível como aquele  sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Ele diploma legal define a expressão tratamento no contexto digital, dizendo que é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Diante do exposto, é cristalino que esta tarefa de adequação, compliance ou governança, é um trabalho do conjunto de pessoas, técnicos, médicos e todos os seus colaboradores diretos e indiretos assim como pela necessidade de um DPO – Data Protection Office, que é o encarregado de proteção de dados.

O processo de implementação ocorre através da alteração da cultura  organizacional em todos os níveis e funções,  gerando consciência protetiva dos dados e evitando  as sanções administrativas previstas em lei como multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração ou multa diária.

A visão de que o controlador deve ter nesse momento não é de medo das sanções pecuniárias, mas sim de mostrar que a sua organização promova segurança aos dados dos pacientes e colaboradores, agregando valor e credibilidade social, até porque tais sanções poderão ser advertências caso fique comprovado  que possui toda adequação à LGPD entre outros requisitos, mas, ainda, assim ocorreu o incidente de segurança da informação , apesar da boa fé, da política de boas práticas de um setor de compliance e da pronta adoção de medidas corretiva

Todo o exposto só ressalta a urgência de que a área da saúde como um todo em seus diferentes níveis busque com  celeridade a restruturação e adequação em seus processos e políticas internas para que o direito à proteção de dados seja garantida, visto que há vários direitos fundamentais envolvidos assim como dados pessoais sensíveis, o que torna a necessidade de adequação mais meticulosa ainda.


* Cláudio Joel Brito Lóssio é CEO SNR Sistemas | DEV | DPO | Advogado | Cybersecurity Officer.

 

 

Comentários

Veja também:

A natureza jurídica do software como propriedade intelectual
Morocha Virtual: alguns aspectos da violência de gênero na Internet
Imagens que vendem sonhos e ostentação
Marco Civil da Internet: uma questão tecnológica e jurídica

2015 - Todos os direitos Reservados