COMPLIANCE

A importância das
normas de Compliance alinhadas com a Lei Geral
de Proteção de Dados no ambiente hospitalar.

Rubens Sales Silva
Sócio Proprietário do Escritório Fernandes, Sales & Guarneri Advogados Associados, especialista em Direito Empresarial com
ênfase em Direito do Trabalho e Previdenciário, Advogado, inscrito na ordem dos Advogados desde o ano de 2012, sob o nº 64.835.

 

Anselmo Gonçalves
Consultor de riscos e compliance no Grupo Boticário. Mestre em Governança e Sustentabilidade pela ISAE/FGV Brasil,
especialista em finanças corporativas e bacharel em Administração de Empresas pelas UniBrasil.

O surgimento da Lei 13709/2018, intitulada Lei Geral de Proteção de Dados, busca regulamentar uma conhecida “terra sem lei”, que é o ambiente digital, onde dados pessoais são facilmente expostos sem consentimento dos cidadãos, empresas, órgãos governamentais, hospitais e clínicas, dentre outras entidades. 

O presente artigo busca demonstrar a importância da adaptação do ambiente hospitalar aos moldes estabelecidos na referida lei, que alinhada com as normas de compliance certamente dará maior segurança quanto aos dados pessoais relacionados principalmente a saúde. Importante destacar que os dados tratados dentro do ambiente hospitalar, que pela Lei Geral de Proteção de Dados, se trata de dados sensíveis, englobando resultados de exames, prescrições médicas, dentre outros dados que são coletados dentro do nosocômio. Ainda, não se pode deixar de atentar para a severidade das sanções legais em caso de descumprimento dos ditames expostos na Legislação Geral de Proteção de Dados, que dependendo da gravidade da infração, pode acarretar a interdição dos serviços hospitalares.

Introdução

A finalidade do presente artigo é de demonstrar a importância das práticas de compliance, bem como, com o advento da Lei Geral de Proteção de Dados, que entra em vigor a partir do mês de agosto do ano de 2020, a necessidade de se ter um setor de compliance alinhado com os critérios impostos pela Lei de Proteção de dados.

Os dados pessoais são extremamente valiosos, e o seu vazamento pode acarretar inúmeros prejuízos aos cidadãos, tanto na esfera pessoal, quanto patrimonial do titular, principalmente por afrontar um direito fundamental, qual seja, o direito de não ter a sua intimidade e vida privada violada, conforme dispõe o artigo 5º, predominantemente nos incisos X e XII da nossa Carta Magna. (BRASIL, 1988).

Uma das formas de demonstrar o quão valiosos são os dados pessoais, cito como exemplo a esfera da relação de consumo, onde as empresas violam a privacidade dos cidadãos para otimizar o marketing e melhorar as vendas, hoje facilmente se sabe os hábitos de consumo de uma pessoa através de um estudo de suas redes sociais.

Os dados pessoais dos consumidores sempre foram atraentes para o mercado. Com dados precisos sobre os consumidores é possível, por exemplo, organizar um planejamento de produtos e vendas mais eficiente, ou mesmo uma publicidade voltada às reais características dos consumidores, entre diversas outras possibilidades. Há pouco tempo atrás, o custo para se obter tais dados pessoais costumava restringir severamente a quantidade destas informações que eram efetivamente coletadas e utilizadas.
(BRASIL, 2010)

A Comissária Europeia do consumo, Meglena Kuneva, em um discurso proferido, disse algo que impactou a todos, ficando bastante conhecido e sintetizando o entendimento sobre o quão valiosos são os dados pessoais, ela disse de forma bastante clara que, “os dados pessoais são o novo óleo da internet e a nova moeda do mundo digital” . (KUNEVA, 2009)

Em um passado recente, mais precisamente no mês de julho do ano de 2019, estourou um escândalo no Brasil, onde a Empresa Ypê, marca bastante conhecida, foi responsável pelo vazamento de dados pessoais de 1,2 milhões de brasileiros que se cadastraram em uma promoção da marca, expondo dados como, nome completo, RG, CPF, ID de participação, data de nascimento, sexo, cidade, e-mail, senha, telefone, idade cadastro, dentre outros. (PAYÃO, 2019)

A posse desses dados em mãos erradas pode ocasionar prejuízos, pois é cediço que um cibercrimonoso pode, além de acessar suas finanças, até roubar outros dados pessoais, e ainda, proceder a instalação de vírus nos computadores.

Mas para que fique clara a importância desses institutos para o ambiente hospitalar, inicialmente devemos conceituar compliance, também, a famigerada Lei Geral de Proteção de Dados.

Cumpre destacar que a Lei Geral de Proteção de Dados, trata os dados relacionados a saúde como sendo dados sensíveis, portanto, possui uma importância maior do que os outros, e nesse prisma, dada a grande manipulação desses dados pelos ambientes hospitalares, é que se faz necessário o presente estudo e adequação.

Por fim, restará demonstrada a importância do ambiente hospitalar possuir uma política de compliance devidamente alinhada aos termos da Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, para que se evite sansões administrativas e judiciais, bem como, os cidadãos, usuários desses sistemas, possam ter a certeza de que seus dados estão protegidos, pois existem políticas rígidas de proteção.

A metodologia utilizada para elaboração do presente estudo foi a dedutiva, por meio da revisão bibliográfica de doutrinadores, bem como de artigos específicos no tema em questão, voltados para a área da Administração, do Direito Empresarial e do Direito Digital.

Contextualização

É importante frisar que este trabalho está direcionado para o ambiente hospitalar, sendo este o foco. Todas as empresas têm devidamente caracterizado quais são as suas missões, visão e valores, inclusive uma casa hospitalar, sendo assim, o compliance está diretamente ligado as ferramentas que buscam a realização dessas premissas, as quais não devem ser colocada apenas no papel, mas sim, ser um objetivo concreto de uma empresa.

Na língua inglesa, a palavra compliance significa “estar em conformidade”, portanto, uma instituição hospitalar não pode se ater apenas ao cumprimento de regras para poder dizer que a sua governança se dá com excelência, mas sim, a definição de compliance é muito ampla, dentre alguns conceitos, “é um conjunto de regras, padrões, procedimentos éticos e legais, que, uma vez definido e implantado, será a linha mestra que orientará o comportamento da instituição no mercado em que atua, bem como, a atitude dos seus funcionários” (CANDELORO; RIZZO; PINHO, 2012, p. 30).

Portanto, como se vê, o conceito de compliance vai muito além do que o mero cumprimento de regras formais ou informais, se trata de uma política de gerenciamento de riscos, se preocupa com a reputação da empresa perante a sociedade e parceiros diretos, exige condutas éticas e dentro da lei, sendo que os ambientes hospitalares podem perseguir sua lucratividade de forma sustentável, buscando alinhar o desenvolvimento socioambiental e econômico nas diretrizes de seu negócio.

“no cenário mundial, casos como os atos terroristas nos Estados Unidos, em 2001, os escândalos de governança, como, por exemplo, os relacionados ao Banco Barings, Enron, WordCom e Parmalat e a mais recente crise financeira mundial, além da divulgação de casos de corrupção envolvendo autoridades públicas e também desvios de recursos em entidades do terceiro setor, acentuaram a necessidade de maior conformidade a padrões legais e éticos de conduta. O aumento da pobreza, dos problemas sociais, ambientais, e neste último caso, a chamada crise ambiental ampliou a abrangência do Compliance para novos padrões desejáveis de comportamento” (COIMBRA; MANZI; 2010, p. 1-2)

Como se vê, o compliance compreende, dentre outras diretrizes, o gerenciamento e controle de riscos de uma empresa, sendo independente, tendo acesso direto ao Conselho Administrativo, além de exigir o cumprimento de atitudes éticas e de acordo com a Legislação, e essa última é onde se encaixo o dever legal de cumprir com os requisitos da Legislação de Proteção de Dados, que entra em vigor no mês de agosto do ano de 2020.

Conforme estou demonstrado que as políticas de compliance exigem o cumprimento da lei, e é nesse ponto que devemos alinhar os critérios da Lei 13.709/2018, as normas de compliance já existentes dentro do ambiente hospitalar. Mas antes de entrarmos especificadamente nesse ponto, é importante entender o contexto e o que dispõe a referida legislação.

Nós temos dois paralelos que se encontraram, e desse encontro resultam as preocupações, quais sejam, os dados pessoais e a tecnologia de informação, essa última, utiliza a internet como uma das ferramentas. No tópico 1 deste artigo, falei sobre a internet como sendo “uma terra sem lei”, pelo fato de que nesse ambiente não é respeitado a imagem, honra e nome das pessoas.

Basta uma rápida verificação online para saber de suas preferências musicais, hábitos de vida, operações financeiras, orientação sexual, dentre outros, e segundo preceitua a doutrina de Pérez Luño, o cruzamento destes dados pode resultar na “síndrome do aquário”, porque os cidadãos vivem em uma casa de cristal, que pode ser constantemente observada e controlada (PÉREZ LUÑO, 2004, p. 96).

Hoje as coisas acontecem muito rápido, existe “[...] gama crescente de dados consultados diretamente, o que lhes conferiu maior autonomia de escolha, pois a informática permitiu digitalizar as informações, armazená-las, trata-las automaticamente, transportá-las e colocá-las à disposição do usuário final, o que antes não acontecia” (SILVA, 2010, p. 3907).

Com relação ao Brasil, não podemos deixar de lembrar o grande escândalo de espionagem norte-americano, conhecido como o “caso Snowden”, onde houve o vazamento de dados sobre o país, demonstrando a fragilidade que o Brasil possuí quando o assunto é a proteção de dados.

A presidente Dilma Rousseff, em seu discurso durante a 68ª Assembleia Geral das Nações Unidas, disse o seguinte; “Imiscuir-se dessa forma na vida dos outros países fere o direito internacional e afronta os princípios que devem reger as relações entre eles, sobretudo, entre nações amigas” (PASSARINHO, 2013).

Diante do ocorrido, conforme noticiário, inclusive, a Polícia Federal foi acionada para investigar os vazamentos apontados por Snowden em que fere a soberania nacional, violando a privacidade de cidadãos brasileiros. (NÉRI, 2013).

A preocupação com os dados pessoais, principalmente diante da fragilidade aqui apresentada, sendo que a internet torna a veiculação desses dados de forma imediata, vários países criaram normas regulamentadoras, e no Brasil, cumpre destacar a Lei 12.965/2014, conhecida como o Marco Civil da Internet, criada no Governo da Presidente Dilma Rousseff, onde estabelece princípios, garantias, direitos e deveres que norteiam o uso da internet em nosso país.

Contudo, a legislação citada, em que pese constar a proteção de dados como princípio, até por regulamentar questões gerais com relação ao uso da internet, acabou por não atender a todos os anseios com relação a proteção dos dados pessoais, deixando lacunas, dentre elas, a questão dos dados pessoais no âmbito digital.

O Governo Brasileiro, diante dos escândalos citados, bem como, observando que o mundo inteiro está preocupado com a proteção de dados, no entanto, diante da urgência de tal medida, foi por meio do Projeto de Lei nº 5.276/16, onde formulou-se o regulamento que busca centralizar as diretrizes de proteção de dados em uma única legislação.

Vale destacar que o projeto de Lei nº 5.276/16 foi baseado no regulamento 679/2016 da União Europeia, inclusive com artigos que possuem redação muito próxima. Pode se dizer que as legislações aqui citadas foram o estopim para a criação e aprovação da Lei Geral de Proteção de Dados, Lei nº 13.709/2018, que entrará em vigor no mês de agosto do ano de 2020.

Ainda, não se pode deixar de citar que, com o advento da legislação de proteção de dados aos países da União Europeia, a esses países restou vedado realizar negócios comerciais com países que não possuam uma regulamentação rígida no que tange a proteção de dados.

Portanto, a ausência de regulamentação por parte do Brasil certamente afetaria a sua economia, motivo pelo qual houve a necessidade de criação da referida LGPD.

Conforme dito, a referida legislação está em seu período de vacatio legis, pois entra em vigor somente no mês de agosto do ano de 2020, contudo, as Empresas vivem em um momento de adaptação, pois quando a lei entrar vigor, a política de proteção de dados já deve estar devidamente instalada e em pleno funcionamento.

A Lei nº 13.709/2018, em seu artigo 1º, caput, aduz que “Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” Brasil (2018).

Para que possamos compreender qual a finalidade desta norma, é imprescindível compreender o que são dados pessoais, pelo viés da legislação aqui estudada. Pois bem, nesse tocante, segundo o artigo 5º da referida norma, existem alguns tipos de dados, o dado pessoal, dado anonimizado, dado pessoal sensível.

Dados pessoais, segundo a lei, é uma informação relacionada a pessoa natural identificada ou identificável, o que implica em dizer que:

 

“[...] Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da internet) e cookies, entre outros” (SERPRO, 2019), como se vê, o conceito é amplo, e ao analisa-lo se observa facilmente a fragilidade em que vivemos, pois é incontroverso que dados pessoais vazam a todo momento, ou ainda, são manipulados sem qualquer consentimento do verdadeiro dono. 

Por outro lado, não há como vedar plenamente o tratamento de dados pessoais, pois tais dados são essenciais, por exemplo, para o desenvolvimento da inteligência artificial, melhorias na segurança pública, pois podem ser tratados pelos governos para otimizar a segurança, no auxílio para analises comportamentais, contudo, tais dados devem ser anonimizados, mas o que isso quer dizer. Dados anonimizados, segundo a lei 13.709/2018, são aqueles onde o titular desse dado não pode ser identificado, e isso se dá através de meios técnicos para tratamento deste dado.

Em suma, o dado anonimizado, é um dado que foi tratado de tal forma que, mesmo utilizando meios eficazes de rastreamento, não é possível chegar ao seu titular, e é importante destacar que tal dado não é sancionado pela LGBT, contudo, se em algum momento esse dado for analisado e de alguma forma puder alcançar o seu titular, ai se trata de um dado falsamente anonimizado, podendo então, sofres as sansões estipuladas na Lei 13.709/2018. Ainda com relação aos dados anonimizados, é importante destacar que estes só podem ser tratados seguindo os critérios definidos pela lei.

Agora, o dado mais importante para o deslinde desse trabalho, sendo o foco do presente estudo, é o que a Lei chama de dado pessoal sensível, que são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, e dado genético ou biométrico, quando vinculado a uma pessoa natural.

 

Como se vê, o vazamento desses dados considerados sensíveis, pode acarretar inúmeros prejuízos ao seu titular, desde uma discriminação, até a privação do seu direito à liberdade e quiçá, a sua vida.

Uma vez entendido a classificação dos dados para a Lei 13.709/2018, vamos nos ater ao foco do estudo que é o tratamento com relação aos dados sensíveis dentro do ambiente da saúde, com mais ênfase, no ambiente hospitalar.

2.1 Tratamento dos dados segundo a Lei 13.709/2018

Qualquer operação realizada com os dados pessoais se encaixa no conceito de tratamento, ou seja, o simples fato de você receber um dado pessoal já se encaixa em uma espécie de tratamento. O Artigo 5º da LGPD, em seu inciso X, deixa claro a amplitude do significado de tratamento dos dados pessoais, destacando que é toda a operação realizada com os referidos dados, vale dizer que a regra constante nesse dispositivo legal não é taxativa.

Sem uma regulamentação legal, os possuidores dos dados pessoais, não importa a forma como foi obtido, se de boa ou má-fé, poderiam tratá-los como lhes fosse conveniente, sem se preocupar com eventual dano que poderia causar ao titular dos referidos dados.

A Lei Geral de Proteção de Dados (LGPD), além de delimitar em que consiste o tratamento de dados, também elencou os princípios que devem ser seguidos para quem irá efetuar o referido tratamento, e esses princípios estão consubstanciados no artigo 6º do referido diploma legal.

Existem princípios norteadores que dão o suporte para à Lei Geral de Proteção de Dados, devendo ser respeitados, sendo assim, podemos dizer que são 11 (onze) princípios que norteiam a utilização lícita dos dados pessoais, quais sejam, a finalidade, adequação, necessidade, acesso livre, qualidade dos dados, transparência, segurança, prevenção não discriminação, responsabilização e por fim, o consentimento. (SERPRO, 2019).

A finalidade, ou seja, o titular dos dados pessoais necessita saber de forma especifica e devidamente informada o que será feito com seus dados pessoais, também, adequação, pois a finalidade informada deve ser compatível com o tratamento utilizado aos dados, o princípio da necessidade, sendo que deve ser extraído do titular somente os dados pessoais necessários para a finalidade anteriormente informada, por exemplo, uma casa hospitalar não precisa saber o número do PIS de um paciente, isso não tem relevância nenhuma para a finalidade que o titular busca nesse ambiente. 

Ainda, temos o princípio do acesso livre, sendo que o cidadão tem o direito de saber e acessar a forma como seus dados estão sendo tratados, e quais dados estão sendo efetivamente utilizados.

Um outro princípio é o da qualidade dos dados, deixando-os exatos e atualizados, atendendo a real necessidade do tratamento, ademais, não se pode deixar de citar o importantíssimo princípio da transparência, pois o titular deve saber de forma clara o agente que está realizando o tratamento, ressalvado nesses casos os segredos comerciais e industriais, pois esse não é o objetivo da lei.

Temos também o princípio da segurança, para que possamos evitar atos acidentais ou condutas ilícitas como por exemplo, um vazamento indevido dos dados, invasão, perda ou ainda, difusão dos referidos dados, o princípio da prevenção, que se tratam de condutas que visam evitar danos ao titular dos dados pessoais, ou a demais envolvidos, o princípio da não discriminação, não podendo ser a finalidade do tratamento dos dados o uso para atos discriminatórios e abusivos, e por fim, o princípio da responsabilização, onde o agente do tratamento é obrigado a demonstrar que fez o tratamento adequado para a finalidade proposta, adotando as medidas corretas e em observância a Lei Geral de Proteção de Dados.

Agora, a premissa maior que está demonstrada na LGPD, sendo a sua base, é o consentimento, o qual deve ser dado de forma explicita e inequívoca, implica em dizer que o autor dos dados deve autorizar o uso, e o mais importante, essa autorização deve ser dada antes de qualquer tratamento. Contudo, se faz necessário destacar que existem algumas exceções na lei, a qual dispensa o consentimento, como por exe