COMPLIANCE

A importância das
normas de Compliance alinhadas com a Lei Geral
de Proteção de Dados no ambiente hospitalar.

Rubens Sales Silva
Sócio Proprietário do Escritório Fernandes, Sales & Guarneri Advogados Associados, especialista em Direito Empresarial com
ênfase em Direito do Trabalho e Previdenciário, Advogado, inscrito na ordem dos Advogados desde o ano de 2012, sob o nº 64.835.

 

Anselmo Gonçalves
Consultor de riscos e compliance no Grupo Boticário. Mestre em Governança e Sustentabilidade pela ISAE/FGV Brasil,
especialista em finanças corporativas e bacharel em Administração de Empresas pelas UniBrasil.

O surgimento da Lei 13709/2018, intitulada Lei Geral de Proteção de Dados, busca regulamentar uma conhecida “terra sem lei”, que é o ambiente digital, onde dados pessoais são facilmente expostos sem consentimento dos cidadãos, empresas, órgãos governamentais, hospitais e clínicas, dentre outras entidades. 

O presente artigo busca demonstrar a importância da adaptação do ambiente hospitalar aos moldes estabelecidos na referida lei, que alinhada com as normas de compliance certamente dará maior segurança quanto aos dados pessoais relacionados principalmente a saúde. Importante destacar que os dados tratados dentro do ambiente hospitalar, que pela Lei Geral de Proteção de Dados, se trata de dados sensíveis, englobando resultados de exames, prescrições médicas, dentre outros dados que são coletados dentro do nosocômio. Ainda, não se pode deixar de atentar para a severidade das sanções legais em caso de descumprimento dos ditames expostos na Legislação Geral de Proteção de Dados, que dependendo da gravidade da infração, pode acarretar a interdição dos serviços hospitalares.

Introdução

A finalidade do presente artigo é de demonstrar a importância das práticas de compliance, bem como, com o advento da Lei Geral de Proteção de Dados, que entra em vigor a partir do mês de agosto do ano de 2020, a necessidade de se ter um setor de compliance alinhado com os critérios impostos pela Lei de Proteção de dados.

Os dados pessoais são extremamente valiosos, e o seu vazamento pode acarretar inúmeros prejuízos aos cidadãos, tanto na esfera pessoal, quanto patrimonial do titular, principalmente por afrontar um direito fundamental, qual seja, o direito de não ter a sua intimidade e vida privada violada, conforme dispõe o artigo 5º, predominantemente nos incisos X e XII da nossa Carta Magna. (BRASIL, 1988).

Uma das formas de demonstrar o quão valiosos são os dados pessoais, cito como exemplo a esfera da relação de consumo, onde as empresas violam a privacidade dos cidadãos para otimizar o marketing e melhorar as vendas, hoje facilmente se sabe os hábitos de consumo de uma pessoa através de um estudo de suas redes sociais.

Os dados pessoais dos consumidores sempre foram atraentes para o mercado. Com dados precisos sobre os consumidores é possível, por exemplo, organizar um planejamento de produtos e vendas mais eficiente, ou mesmo uma publicidade voltada às reais características dos consumidores, entre diversas outras possibilidades. Há pouco tempo atrás, o custo para se obter tais dados pessoais costumava restringir severamente a quantidade destas informações que eram efetivamente coletadas e utilizadas.
(BRASIL, 2010)

A Comissária Europeia do consumo, Meglena Kuneva, em um discurso proferido, disse algo que impactou a todos, ficando bastante conhecido e sintetizando o entendimento sobre o quão valiosos são os dados pessoais, ela disse de forma bastante clara que, “os dados pessoais são o novo óleo da internet e a nova moeda do mundo digital” . (KUNEVA, 2009)

Em um passado recente, mais precisamente no mês de julho do ano de 2019, estourou um escândalo no Brasil, onde a Empresa Ypê, marca bastante conhecida, foi responsável pelo vazamento de dados pessoais de 1,2 milhões de brasileiros que se cadastraram em uma promoção da marca, expondo dados como, nome completo, RG, CPF, ID de participação, data de nascimento, sexo, cidade, e-mail, senha, telefone, idade cadastro, dentre outros. (PAYÃO, 2019)

A posse desses dados em mãos erradas pode ocasionar prejuízos, pois é cediço que um cibercrimonoso pode, além de acessar suas finanças, até roubar outros dados pessoais, e ainda, proceder a instalação de vírus nos computadores.

Mas para que fique clara a importância desses institutos para o ambiente hospitalar, inicialmente devemos conceituar compliance, também, a famigerada Lei Geral de Proteção de Dados.

Cumpre destacar que a Lei Geral de Proteção de Dados, trata os dados relacionados a saúde como sendo dados sensíveis, portanto, possui uma importância maior do que os outros, e nesse prisma, dada a grande manipulação desses dados pelos ambientes hospitalares, é que se faz necessário o presente estudo e adequação.

Por fim, restará demonstrada a importância do ambiente hospitalar possuir uma política de compliance devidamente alinhada aos termos da Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, para que se evite sansões administrativas e judiciais, bem como, os cidadãos, usuários desses sistemas, possam ter a certeza de que seus dados estão protegidos, pois existem políticas rígidas de proteção.

A metodologia utilizada para elaboração do presente estudo foi a dedutiva, por meio da revisão bibliográfica de doutrinadores, bem como de artigos específicos no tema em questão, voltados para a área da Administração, do Direito Empresarial e do Direito Digital.

Contextualização

É importante frisar que este trabalho está direcionado para o ambiente hospitalar, sendo este o foco. Todas as empresas têm devidamente caracterizado quais são as suas missões, visão e valores, inclusive uma casa hospitalar, sendo assim, o compliance está diretamente ligado as ferramentas que buscam a realização dessas premissas, as quais não devem ser colocada apenas no papel, mas sim, ser um objetivo concreto de uma empresa.

Na língua inglesa, a palavra compliance significa “estar em conformidade”, portanto, uma instituição hospitalar não pode se ater apenas ao cumprimento de regras para poder dizer que a sua governança se dá com excelência, mas sim, a definição de compliance é muito ampla, dentre alguns conceitos, “é um conjunto de regras, padrões, procedimentos éticos e legais, que, uma vez definido e implantado, será a linha mestra que orientará o comportamento da instituição no mercado em que atua, bem como, a atitude dos seus funcionários” (CANDELORO; RIZZO; PINHO, 2012, p. 30).

Portanto, como se vê, o conceito de compliance vai muito além do que o mero cumprimento de regras formais ou informais, se trata de uma política de gerenciamento de riscos, se preocupa com a reputação da empresa perante a sociedade e parceiros diretos, exige condutas éticas e dentro da lei, sendo que os ambientes hospitalares podem perseguir sua lucratividade de forma sustentável, buscando alinhar o desenvolvimento socioambiental e econômico nas diretrizes de seu negócio.

“no cenário mundial, casos como os atos terroristas nos Estados Unidos, em 2001, os escândalos de governança, como, por exemplo, os relacionados ao Banco Barings, Enron, WordCom e Parmalat e a mais recente crise financeira mundial, além da divulgação de casos de corrupção envolvendo autoridades públicas e também desvios de recursos em entidades do terceiro setor, acentuaram a necessidade de maior conformidade a padrões legais e éticos de conduta. O aumento da pobreza, dos problemas sociais, ambientais, e neste último caso, a chamada crise ambiental ampliou a abrangência do Compliance para novos padrões desejáveis de comportamento” (COIMBRA; MANZI; 2010, p. 1-2)

Como se vê, o compliance compreende, dentre outras diretrizes, o gerenciamento e controle de riscos de uma empresa, sendo independente, tendo acesso direto ao Conselho Administrativo, além de exigir o cumprimento de atitudes éticas e de acordo com a Legislação, e essa última é onde se encaixo o dever legal de cumprir com os requisitos da Legislação de Proteção de Dados, que entra em vigor no mês de agosto do ano de 2020.

Conforme estou demonstrado que as políticas de compliance exigem o cumprimento da lei, e é nesse ponto que devemos alinhar os critérios da Lei 13.709/2018, as normas de compliance já existentes dentro do ambiente hospitalar. Mas antes de entrarmos especificadamente nesse ponto, é importante entender o contexto e o que dispõe a referida legislação.

Nós temos dois paralelos que se encontraram, e desse encontro resultam as preocupações, quais sejam, os dados pessoais e a tecnologia de informação, essa última, utiliza a internet como uma das ferramentas. No tópico 1 deste artigo, falei sobre a internet como sendo “uma terra sem lei”, pelo fato de que nesse ambiente não é respeitado a imagem, honra e nome das pessoas.

Basta uma rápida verificação online para saber de suas preferências musicais, hábitos de vida, operações financeiras, orientação sexual, dentre outros, e segundo preceitua a doutrina de Pérez Luño, o cruzamento destes dados pode resultar na “síndrome do aquário”, porque os cidadãos vivem em uma casa de cristal, que pode ser constantemente observada e controlada (PÉREZ LUÑO, 2004, p. 96).

Hoje as coisas acontecem muito rápido, existe “[...] gama crescente de dados consultados diretamente, o que lhes conferiu maior autonomia de escolha, pois a informática permitiu digitalizar as informações, armazená-las, trata-las automaticamente, transportá-las e colocá-las à disposição do usuário final, o que antes não acontecia” (SILVA, 2010, p. 3907).

Com relação ao Brasil, não podemos deixar de lembrar o grande escândalo de espionagem norte-americano, conhecido como o “caso Snowden”, onde houve o vazamento de dados sobre o país, demonstrando a fragilidade que o Brasil possuí quando o assunto é a proteção de dados.

A presidente Dilma Rousseff, em seu discurso durante a 68ª Assembleia Geral das Nações Unidas, disse o seguinte; “Imiscuir-se dessa forma na vida dos outros países fere o direito internacional e afronta os princípios que devem reger as relações entre eles, sobretudo, entre nações amigas” (PASSARINHO, 2013).

Diante do ocorrido, conforme noticiário, inclusive, a Polícia Federal foi acionada para investigar os vazamentos apontados por Snowden em que fere a soberania nacional, violando a privacidade de cidadãos brasileiros. (NÉRI, 2013).

A preocupação com os dados pessoais, principalmente diante da fragilidade aqui apresentada, sendo que a internet torna a veiculação desses dados de forma imediata, vários países criaram normas regulamentadoras, e no Brasil, cumpre destacar a Lei 12.965/2014, conhecida como o Marco Civil da Internet, criada no Governo da Presidente Dilma Rousseff, onde estabelece princípios, garantias, direitos e deveres que norteiam o uso da internet em nosso país.

Contudo, a legislação citada, em que pese constar a proteção de dados como princípio, até por regulamentar questões gerais com relação ao uso da internet, acabou por não atender a todos os anseios com relação a proteção dos dados pessoais, deixando lacunas, dentre elas, a questão dos dados pessoais no âmbito digital.

O Governo Brasileiro, diante dos escândalos citados, bem como, observando que o mundo inteiro está preocupado com a proteção de dados, no entanto, diante da urgência de tal medida, foi por meio do Projeto de Lei nº 5.276/16, onde formulou-se o regulamento que busca centralizar as diretrizes de proteção de dados em uma única legislação.

Vale destacar que o projeto de Lei nº 5.276/16 foi baseado no regulamento 679/2016 da União Europeia, inclusive com artigos que possuem redação muito próxima. Pode se dizer que as legislações aqui citadas foram o estopim para a criação e aprovação da Lei Geral de Proteção de Dados, Lei nº 13.709/2018, que entrará em vigor no mês de agosto do ano de 2020.

Ainda, não se pode deixar de citar que, com o advento da legislação de proteção de dados aos países da União Europeia, a esses países restou vedado realizar negócios comerciais com países que não possuam uma regulamentação rígida no que tange a proteção de dados.

Portanto, a ausência de regulamentação por parte do Brasil certamente afetaria a sua economia, motivo pelo qual houve a necessidade de criação da referida LGPD.

Conforme dito, a referida legislação está em seu período de vacatio legis, pois entra em vigor somente no mês de agosto do ano de 2020, contudo, as Empresas vivem em um momento de adaptação, pois quando a lei entrar vigor, a política de proteção de dados já deve estar devidamente instalada e em pleno funcionamento.

A Lei nº 13.709/2018, em seu artigo 1º, caput, aduz que “Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” Brasil (2018).

Para que possamos compreender qual a finalidade desta norma, é imprescindível compreender o que são dados pessoais, pelo viés da legislação aqui estudada. Pois bem, nesse tocante, segundo o artigo 5º da referida norma, existem alguns tipos de dados, o dado pessoal, dado anonimizado, dado pessoal sensível.

Dados pessoais, segundo a lei, é uma informação relacionada a pessoa natural identificada ou identificável, o que implica em dizer que:

 

“[...] Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da internet) e cookies, entre outros” (SERPRO, 2019), como se vê, o conceito é amplo, e ao analisa-lo se observa facilmente a fragilidade em que vivemos, pois é incontroverso que dados pessoais vazam a todo momento, ou ainda, são manipulados sem qualquer consentimento do verdadeiro dono. 

Por outro lado, não há como vedar plenamente o tratamento de dados pessoais, pois tais dados são essenciais, por exemplo, para o desenvolvimento da inteligência artificial, melhorias na segurança pública, pois podem ser tratados pelos governos para otimizar a segurança, no auxílio para analises comportamentais, contudo, tais dados devem ser anonimizados, mas o que isso quer dizer. Dados anonimizados, segundo a lei 13.709/2018, são aqueles onde o titular desse dado não pode ser identificado, e isso se dá através de meios técnicos para tratamento deste dado.

Em suma, o dado anonimizado, é um dado que foi tratado de tal forma que, mesmo utilizando meios eficazes de rastreamento, não é possível chegar ao seu titular, e é importante destacar que tal dado não é sancionado pela LGBT, contudo, se em algum momento esse dado for analisado e de alguma forma puder alcançar o seu titular, ai se trata de um dado falsamente anonimizado, podendo então, sofres as sansões estipuladas na Lei 13.709/2018. Ainda com relação aos dados anonimizados, é importante destacar que estes só podem ser tratados seguindo os critérios definidos pela lei.

Agora, o dado mais importante para o deslinde desse trabalho, sendo o foco do presente estudo, é o que a Lei chama de dado pessoal sensível, que são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, e dado genético ou biométrico, quando vinculado a uma pessoa natural.

 

Como se vê, o vazamento desses dados considerados sensíveis, pode acarretar inúmeros prejuízos ao seu titular, desde uma discriminação, até a privação do seu direito à liberdade e quiçá, a sua vida.

Uma vez entendido a classificação dos dados para a Lei 13.709/2018, vamos nos ater ao foco do estudo que é o tratamento com relação aos dados sensíveis dentro do ambiente da saúde, com mais ênfase, no ambiente hospitalar.

2.1 Tratamento dos dados segundo a Lei 13.709/2018

Qualquer operação realizada com os dados pessoais se encaixa no conceito de tratamento, ou seja, o simples fato de você receber um dado pessoal já se encaixa em uma espécie de tratamento. O Artigo 5º da LGPD, em seu inciso X, deixa claro a amplitude do significado de tratamento dos dados pessoais, destacando que é toda a operação realizada com os referidos dados, vale dizer que a regra constante nesse dispositivo legal não é taxativa.

Sem uma regulamentação legal, os possuidores dos dados pessoais, não importa a forma como foi obtido, se de boa ou má-fé, poderiam tratá-los como lhes fosse conveniente, sem se preocupar com eventual dano que poderia causar ao titular dos referidos dados.

A Lei Geral de Proteção de Dados (LGPD), além de delimitar em que consiste o tratamento de dados, também elencou os princípios que devem ser seguidos para quem irá efetuar o referido tratamento, e esses princípios estão consubstanciados no artigo 6º do referido diploma legal.

Existem princípios norteadores que dão o suporte para à Lei Geral de Proteção de Dados, devendo ser respeitados, sendo assim, podemos dizer que são 11 (onze) princípios que norteiam a utilização lícita dos dados pessoais, quais sejam, a finalidade, adequação, necessidade, acesso livre, qualidade dos dados, transparência, segurança, prevenção não discriminação, responsabilização e por fim, o consentimento. (SERPRO, 2019).

A finalidade, ou seja, o titular dos dados pessoais necessita saber de forma especifica e devidamente informada o que será feito com seus dados pessoais, também, adequação, pois a finalidade informada deve ser compatível com o tratamento utilizado aos dados, o princípio da necessidade, sendo que deve ser extraído do titular somente os dados pessoais necessários para a finalidade anteriormente informada, por exemplo, uma casa hospitalar não precisa saber o número do PIS de um paciente, isso não tem relevância nenhuma para a finalidade que o titular busca nesse ambiente. 

Ainda, temos o princípio do acesso livre, sendo que o cidadão tem o direito de saber e acessar a forma como seus dados estão sendo tratados, e quais dados estão sendo efetivamente utilizados.

Um outro princípio é o da qualidade dos dados, deixando-os exatos e atualizados, atendendo a real necessidade do tratamento, ademais, não se pode deixar de citar o importantíssimo princípio da transparência, pois o titular deve saber de forma clara o agente que está realizando o tratamento, ressalvado nesses casos os segredos comerciais e industriais, pois esse não é o objetivo da lei.

Temos também o princípio da segurança, para que possamos evitar atos acidentais ou condutas ilícitas como por exemplo, um vazamento indevido dos dados, invasão, perda ou ainda, difusão dos referidos dados, o princípio da prevenção, que se tratam de condutas que visam evitar danos ao titular dos dados pessoais, ou a demais envolvidos, o princípio da não discriminação, não podendo ser a finalidade do tratamento dos dados o uso para atos discriminatórios e abusivos, e por fim, o princípio da responsabilização, onde o agente do tratamento é obrigado a demonstrar que fez o tratamento adequado para a finalidade proposta, adotando as medidas corretas e em observância a Lei Geral de Proteção de Dados.

Agora, a premissa maior que está demonstrada na LGPD, sendo a sua base, é o consentimento, o qual deve ser dado de forma explicita e inequívoca, implica em dizer que o autor dos dados deve autorizar o uso, e o mais importante, essa autorização deve ser dada antes de qualquer tratamento. Contudo, se faz necessário destacar que existem algumas exceções na lei, a qual dispensa o consentimento, como por exemplo, quando é necessário proteger a vida e a incolumidade física do titular ou de terceiros, mas é necessário destacar que, o fato de poder usar os dados sem consentimento, não exime o agente de cumprir com os princípios e demais critérios estabelecidos na LGPD.

Ainda, referente ao consentimento, vale frisar que a finalidade pela qual se exige o tratamento dos dados pessoais não pode ser genérica, mas sim, específica, caso o consentimento seja obtido para uma finalidade genérica, a autorização é nula.

2.2 O Alinhamento da LGPD às normas de Compliance

Antes de adentrarmos especificamente no ambiente hospitalar, cabe demonstrar como a Lei Geral de Proteção de Dados deve ser alinhada as práticas de compliance de uma empresa, ou seja, delimitar a importância do trabalho em conjunto destes dois institutos.

A importância é tão evidente, que a própria Lei 13.709/2018, trouxe uma seção chamada de “Das Boas Práticas de Governança”, e governança atuando em conjunto com as políticas de compliance asseguram uma boa gestão e reputação da empresa. 

Nos dias de hoje, conforme já dito em tópicos anteriores, para que se tenha uma boa gestão, é imprescindível a implantação de uma política de compliance, o que implica em dizer que a governança está intimamente ligada há uma boa política de compliance.

Partindo desse pressuposto, assim como a governança atua em conjunto com a política de compliance da empresa, a Lei Geral de Proteção de Dados deve estar alinhada a essa política de compliance, para que, em conjunto se crie diretrizes que visem adequar as empresas aos requisitos legais exigidos pela LGPD.

Nesse ponto, destaco o que diz o artigo 50, caput, parágrafos e incisos, da Lei 13.709/2018, sendo que ao interpretar o referido dispositivo, está claro que se trata de condutas amparadas em regras de compliance, pois a boa prática de governança vai melhorar a reputação da empresa, dando mais credibilidade ao usuários, passando segurança para quem fornece os dados pessoais, minimizando os riscos de danos.

2.3 Das sanções administrativas impostas pela LGPD

O estudo sobre o tema apresentado nesse trabalho é de fundamental importância, pois as sanções impostas pela LGPD são severas, podendo variar de uma advertência com a determinação de prazo para que se adote as medidas corretivas, até uma multa pecuniária, que vária de 2% (dois por cento) do faturamento da empresa, até o limite de R$ 50.000.000,00 (cinquenta milhões de reais), conforme dispõe o artigo 52 da Lei 13.709/2018. Brasil (2018).

Além das sanções citadas acima, uma empresa que se preocupa com sua reputação acaba por não perder só na esfera patrimonial, mas a sua credibilidade e reputação é colocada em “cheque”, pois as advertências e multas serão publicadas pela ANPD (autoridade nacional de proteção de dados), órgão governamental criado para fiscalizar e determinar as diretrizes referente a Lei Geral de Proteção de Dados.

Agora, nesse tópico vemos mais uma vez a importância de a LGPD estar devidamente alinhada com as regras de Compliance, pois umas das medidas atenuantes do valor da multa é a adoção de política e de boas práticas de governança, conforme preceitua o artigo 52, parágrafo 1º, inciso IX, da referida lei.

Como dito nesse estudo, tanto as políticas de proteção de dados, quanto as regras de compliance devem atuar em conjunto, para que se tenha a excelência em governança.

2.4 Ambiente Hospitalar e o tratamento dos Dados Sensíveis

Conforme já destacado, os dados sensíveis são aqueles que demandam um pouco mais de atenção, pois qualquer problema relacionado a esses dados pode causar danos catastróficos, prejuízos imensuráveis, por conseguinte, uma responsabilização mais severa ao causador do dano.

Dentre os considerados dados pessoais sensíveis, estão os dados sobre a saúde, conforme dispõe o artigo 5º, inciso II da Lei 13.709/2018, e é incontroverso que os hospitais fazem tratamento diário desses dados, e muitas vezes não se atentam aos eventuais danos que possam ser causados.

Com o surgimento da LGPD, as casas hospitalares deverão fazer uma “força tarefa” para adequação das suas rotinas aos moldes legais, pois existem várias fragilidades que devem ser sanadas, os riscos devem ser diminuídos, a segurança dos dados pessoais sensíveis necessita ser aprimorada.

É cediço que os hospitais usam sistemas de informação para fazerem a gestão de seus serviços, dentre esses sistemas, o mais conhecido é o software TASY, lançado pela empresa PHILIPS, que é uma solução completa de informática em saúde que integra todas as áreas da instituição, conectando os pontos de cuidado dos pacientes e otimizando os processos. Evita desperdício e retrabalho e aumenta a produtividade independente do seu porte e da complexidade dos seus processos. Aderente as mais variadas realidades de negócios o Tasy atende a: prestadores de serviços: hospital, clínica, banco de sangue, home care entre outros. O Tasy possibilita gerenciamento eficiente das atividades administrativas, financeiras, assistenciais e operacionais. Isso ajuda você a acompanhar as mudanças e enfrentar os desafios da instituição, dos profissionais e do paciente. (KONINKLIJKE PHILIPS N.V., 2019). 

Esses sistemas para gestão hospitalar estão interligados por uma rede de computadores, em alguns casos, dispõe de acesso remoto para profissionais que estão fora do ambiente hospitalar.

Os hospitais deverão rever suas políticas de proteção de dados, para que se evite o vazamento, difusão ou ainda, eliminação destes, também, restringindo acesso a colaboradores que não estão diretamente ligados aqueles dados, como exemplo, um funcionário do setor administrativo do hospital não precisa ter acesso a evolução médica do paciente, aos medicamentos que esse paciente irá receber, aos laudos de exames que esse paciente realiza, pois essas informações são médicas, sigilosas.

Mas porque restringir o acesso a dados pessoais sensíveis? Conforme analisamos anteriormente, dentre os princípios de tratamento de dados está a segurança e prevenção, ou seja, permitir o acesso de um colaborador administrativo aos dados de evolução médica de um paciente, certamente se cria um risco desnecessário de vazamento, destruição, perda, comunicação, alteração ou difusão de tais dados, ainda que acidentalmente. Dessa forma, é preciso restringir o acesso, para que somente pessoas autorizadas possam tratar os dados sensíveis, com isso, mitigar os riscos de danos, ou até eliminá-los.

Nesse tocante, cumpre esclarecer que esse trabalho demanda um comprometimento de vários setores da casa hospitalar, principalmente, o setor de compliance, jurídico e o de TI (Tecnologia de Informação), esse último é fundamental para prover a segurança e forma de tratamento dos dados sensíveis.

Nos dias de hoje, sabemos que os dados pessoais veiculam de uma forma rápida, e em poucos segundos podem atravessar o mundo, portanto, deve se ater a forma e finalidade de compartilhamento desses dados, para que não caia em mãos erradas.

Nesse sentido destaco que, em notícias recentes, houve investigação do Ministério Público em face de grandes redes farmacêuticas tendo em vista os indícios de que as referidas redes estariam vendendo dados pessoais de seus consumidores para planos de saúde, com isso, os planos de saúde poderiam cobrar taxas mais caras para quem faz compras de determinado medicamento, enfim, com base nesses dados o plano de saúde pode tomar atitude para obter ganho econômico e prejudicar o consumidor.

A notícia publicada pela (VEJA, 2018), destaca a intervenção do Ministério Público, o qual busca esclarecimentos junto as redes farmacêuticas, e ainda assevera que, caso as redes de farmácia não respondam ao seu questionamento, deverão assinar um TAC (termo de ajuste de conduta), se comprometendo a eliminar o que foi armazenado, explicando quais dados coletam e para qual finalidade, sempre mediante o consentimento inequívoco do consumidor.

Com base nas informações acima, resta claro que, se existe indícios de que as grandes redes de farmácia estão agindo dessa maneira, certo é que os hospitais também poderiam, pois dispõe de dados mais sensíveis dos coletados pelas redes farmacêuticas. 

Desde o momento que você dá entrada na qualidade de paciente em um ambiente hospitalar, ali já começa a veiculação dos dados pessoais, inclusive, dados sensíveis, motivo pelo qual desperta a importância de uma boa prática de proteção de dados.

Possivelmente, em breve, a Autoridade Nacional de Proteção de Dados, irá criar regras mais especificas para estes entes da saúde, buscando evitar práticas como as noticiadas nesse trabalho. Enquanto regras mais específicas não são criadas, os hospitais precisam se adequar aos moldes da LGPD, o que já demanda muito trabalho.

É preciso que os hospitais, em termos de segurança dos dados pessoais sensíveis, criem níveis de acesso para usuários, de modo que, somente pessoas que precisam usar os referidos dados tenham o devido acesso, além disso, se faz necessário obter toda a proteção possível dos dados pessoais, investindo em novos software e hardware, em um trabalho constante e conjunto com o setor de Tecnologia de Informação.

Conforme se extraí da nova legislação de proteção de dados, criou-se a necessidade de contratação de um DPO (Data Protection Officer), e sua função “[...] consiste em atuar como o canal de comunicação perante os usuários titulares dos dados pessoais e autoridades governamentais controladoras, e de forma geral, prestar assistência sobre as práticas de tratamento de dados, bem como, verificar se estas estão em conformidade com a legislação e políticas internas”(ASSIS E MENDES DIREITO DIGITAL....), ou seja, o DPO é indispensável para a política de proteção de dados a ser implantada nos hospitais.

Dentre algumas responsabilidades, o DPO é quem recebe as reclamações e comunicações dos titulares dos dados pessoais, presta os devidos esclarecimentos, orientando os usuários sobre as providencias a serem tomadas, é o canal de comunicação entre as autoridades governamentais e a empresa, responsável por orientar os funcionários sobre as políticas de proteção de dados, bem como, deve manter o registro de todas as práticas de proteção de dados.

Conforme dito, a Lei Geral de Proteção de Dados está em seu período de vacatio legis, entrará em vigor em agosto do ano de 2020, contudo, as Empresas estão preocupadas, desde já, com a implantação de políticas que se adequam a essa legislação, e tal preocupação se agrava quando falamos de um Hospital, sendo que nesse ambiente é inevitável a coleta e tratamento de dados pessoais sensíveis.

Considerações Finais

A Lei número 13.709/2018, intitulada Lei Geral de Proteção de Dados, vem para revolucionar a maneira como coletamos e tratamos os dados pessoais, vem para tutelar direitos fundamentais, como a vida, honra, nome, intimidade, privacidade, imagem, dentre outros.

Com o surgimento das práticas de compliance, que na língua inglesa significa “estar em conformidade”, já houve uma revolução na governança empresarial, hoje existe uma real preocupação com questões socioambientais, éticas, medidas para eliminar a corrupção, obediências legais.

Certamente, a implantação dos requisitos exigidos pela LGPD é algo a ser feito de forma multisetorial dentro de uma empresa, contudo, não se pode discordar que as práticas de compliance estão diretamente ligadas ao que rege a Lei de Proteção de Dados, isso ficou plenamente demonstrado.

Portanto, para que se tenha uma governança com excelência, deve se alinhar as práticas de compliance em conjunto com a LGPD, buscando dar credibilidade, segurança, prevenção, de maneira que os dados pessoais sejam dignamente tratados, de maneira lícita e com finalidade específica, e o mais importante, com o devido consentimento, ressalvado as situações legais.

Com o advento da LGPD, temos princípios a serem seguidos com relação aos tratamentos dos dados que utilizamos, de maneira que devemos observar a finalidade, adequação, necessidade, acesso livre, qualidade dos dados, transparência, segurança, prevenção não discriminação e responsabilização, o que muitas vezes não ocorre, pois nos deparamos com o tratamento indevido dos dados pessoais rotineiramente.

Outro ponto importante, que demanda uma preocupação maior pelas empresas, é que as sanções impostas pela lei pode afetar diretamente o patrimônio da instituição, ou ainda, denegrir sua imagem perante a população, desse modo, certamente esta não será apenas mais uma legislação, mas terá uma eficácia imediata, principalmente pelas sanções impostas, fazendo com que todos se amoldem as suas disposições.

No ambiente hospitalar não poderia ser diferente, e a cautela deve ser maior, conforme dito, nesse ambiente se utiliza essencialmente dados sensíveis, que demandam mais cautela por parte de quem os utiliza.

Analisamos os principais pontos constantes na legislação de proteção de dados prestes a entrar em vigor, e resta plenamente demonstrado que nos ambientes hospitalares existem fragilidades que necessitam ser corrigidas, a fim de proteger os dados sensíveis dos pacientes/usuários.

Não existe uma informação clara ao paciente, ele não sabe a forma como é feito o tratamento de seus dados, que muitas vezes circulam pelas redes de computadores do hospital sem a sua autorização. Não há qualquer documento que o paciente assine dando seu consentimento de forma inequívoca dobre a utilização e tratamento de seus dados. Não se sabe de que forma é arquivado seu prontuário médico, quem tem o acesso, e principalmente, como ele, paciente, terá o acesso, pois o prontuário médico é do paciente, conforme dispõe o artigo 88 do Código de Ética Médica, onde diz que “Art. 88. Negar, ao paciente, acesso a seu prontuário, deixar de lhe fornecer cópia quando solicitada, bem como, deixar de lhe dar explicações necessárias à sua compreensão, salvo quando ocasionarem riscos ao próprio paciente ou a terceiros”. (CONSELHO FEDERAL DE MEDICINA, 2009).

Como dito, todas as empresas ou instituições que se utilizam de dados pessoais estão preocupadas com a adequação as normas determinadas pela LGPD, mas as instituições de saúde, no caso em comento, os Hospitais, devem ter uma cautela maior, pois utilizam essencialmente dados pessoais sensíveis, que se tratados de forma equivocada, podem causar prejuízos imensuráveis, tanto para o usuário, quanto para a própria instituição.

Portanto, os hospitais devem voltar os olhos, desde já, para a implementação de uma política de proteção de dados, para que, quando a LGPD entrar em vigor, o processo de adequação já esteja plenamente implementado, evitando riscos ao paciente e empresa.

Não há como dissociar a implementação das políticas de proteção de dados com as regras de compliance, as duas práticas devem estar alinhadas para que se tenha a excelência na prestação dos serviços, para que a lei seja plenamente atendida, para que as medidas sejam éticas, o usuário se sinta seguro, e efetivamente tenha a segurança, e por fim, para que se evite as sanções severas descritas na Lei de Proteção de dados, Lei nº 13.709/2018.

Referências

BRASIL. Constituição (1988). Constituição Federal nº Con/88, de 05 de outubro de 1988. Lei. Brasília, DF, Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acesso em: 29 jan. 2020. 

BRASIL. Danilo Doneda. Departamento de Proteção e Defesa do Consumidor. A Proteção de Dados Pessoais nas Relações de Consumo: Para Além da informação Creditícia. Brasília: Escola Nacional de Defesa do Consumidor, 2010. 124 p.

“Personal data is the new oil of the Internet and the new currency of the digital world”. Discurso proferido na mesa redonda sobre coleta de dados, direcionamento e perfilação. Bruxelas, 31 de março de 2009.

PAYÃO, Felipe. Vazam dados pessoais de 1,2 milhão de brasileiros cadastrados na Ypê. 2019. Disponível em: <tecmundo.com.br/seguranca/143698-vazam-dados-pessoais-1-2-milhao-brasileiros-cadastrados-ype.htm>. Acesso em: 29 jan. 2020.

CANDELORO, Ana Paula P.; RIZZO, Maria Balbina Martins de; PINHO, Vinícius. Com¬pliance 360º: riscos, estratégias, conflitos e vaidades no mundo corporativo. São Paulo: Trevisan Editora Universitária, 2012.

COIMBRA, Marcelo de Aguiar; MANZI, Vanessa Alessi (Coord.). Manual de Compliance: preservando a boa governança e a integridade das organizações. São Paulo: Atlas, 2010.

PÉREZ LUÑO, Antonio Enrique. Cibercidadani@ o ciudadani@.com? Barcelona: Gedisa, 2004.

PASSARINHO, Nathalia. Dilma diz na ONU que espionagem fere soberania e direito internacional. 2013. Disponível em: <http://g1.globo.com/mundo/noticia/2013/09/dilma-diz-na-onu-que-espionagem-fere-soberania-e-direito-internacional.html>. Acesso em: 29 jan. 2020.

NÉRI, Felipe. Polícia Federal quer ouvir Snowden em inquérito sobre espionagem. 2013. Disponível em: <http://g1.globo.com/politica/noticia/2013/10/policia-federal-quer-ouvir-snowden-em-inquerito-sobre-espionagem.html>. Acesso em: 29 jan. 2020.

SERPRO. Dados Pessoais: O que são dados pessoais, segundo a LGPD. Disponível em: <https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-pessoais-lgpd>. Acesso em: 28 ago. 2019.

SILVA, Rosane Leal da. As tecnologias da informação e comunicação e a proteção de dados pessoais. Anais do XIX Encontro Nacional do CONPEDI. Fortaleza, 09-12 junho de 2010. Disponível em: <https://s3.amazonaws.com/conpedi2/anteriores/XIX+Encontro+Nacional+-+UFC-Fortaleza+(09%2C+10%2C+11+e+12+de+junho+de+2010).pdf>. Acesso em: 28 ago. 2019.

BRASIL. Lei Federal nº 13.709/2018, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). . [Brasília], Disponível em: <www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 30 ago. 2019.

SERPRO. Dados Pessoais: O que são dados pessoais, segundo a LGPD. Disponível em: <https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-pessoais-lgpd>. Acesso em: 28 ago. 2019.

KONINKLIJKE PHILIPS N.V.. Cuidando os pontos do cuidado ao paciente: O Philips Tasy é uma solução integrada que contempla todo o ciclo do cuidado em saúde. Disponível em: <https://www.philips.com.br/healthcare/resources/landing/solucao-tasy>. Acesso em: 28 ago. 2019.

VEJA (Ed.). MP INVESTIGA SE FARMÁCIAS REPASSAM DADOS DE CLIENTES A PLANOS DE SAÚDE. 2018. Disponível em: <https://veja.abril.com.br/economia/mp-investiga-se-farmacias-repassam-dados-de-clientes-a-planos-de-saude/>. Acesso em: 26 ago. 2019.

CONSELHO FEDERAL DE MEDICINA. Código de Ética Médica. 2009. Disponível em: <http://www.portalmedico.org.br/novocodigo/integra.asp>. Acesso em: 29 ago. 2019.

Nossas redes sociais
Brasiliano INTERISK
Contato
  • Facebook - Grey Circle
  • LinkedIn - Grey Circle
  • YouTube - Grey Circle

Rua Barão de Jaceguai, 1768 - Campo Belo
São Paulo - SP - CEP: 04606-004