sexta-feira, 14 de maio de 2021

MIGALHAS DE PESO

Publicidade

Atuação do encarregado pelo Tratamento de Dados Pessoais (DPO) nas instituições de saúde

A importância de ter um DPO nas instituições de saúde não é justificada apenas pelo cumprimento da LGPD, mas também, por questões organizacionais, de governança e econômicas.

terça-feira, 12 de janeiro de 2021

(Imagem: Arte Migalhas)

(Imagem: Arte Migalhas)

Todas as áreas precisam estar atentas ao cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) - lei 13.709/18, mas a área de saúde tem uma preocupação especial: os dados sensíveis.

Dispõe a LGPD, que dados sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (artigo 5º, inciso II).

Quando a atuação prática entra em cena, há a necessidade de aplicar medidas e controles de segurança, bem como de conseguir demonstrar conformidade e cumprir o princípio da responsabilização e prestação de contas (artigo 5º, inciso X, da LGPD). Ainda que o artigo 41 da LGPD, elenque as atividades do DPO (Data Protection Officer, também conhecido como Encarregado pelo Tratamento de Dados Pessoais), é sabido que suas responsabilidades irão muito além do que ali foi indicado, trabalhando com a minúcia necessária junto com o Controlador a fim de garantir a proteção dos dados pessoais objeto do tratamento.

A importância de ter um DPO nas instituições de saúde não é justificada apenas pelo cumprimento da LGPD, mas também, por questões organizacionais, de governança e econômicas. Além desse profissional ser o elo entre agentes de tratamento, titulares de dados pessoais e ANPD (Autoridade Nacional de Proteção de Dados), atividades de extrema relevância, ele conseguirá perceber quais as relações comerciais mais seguras para a instituição, em termos de proteção de dados, como por exemplo, empresas que já estejam se adequando à Lei e a utilização de serviços e produtos que já envolvam privacy by design e privacy by default.

Além de verificar processos que envolvam dados pessoais e conscientizar as pessoas, levando em consideração a complexidade de se tratar dados pessoais sensíveis, o DPO terá como objetivo a busca e garantia da conformidade com a LGPD, evitando, assim, sanções administrativas e judiciais, perda de competitividade e até prejuízos.

Ter um DPO impacta não somente na nova forma de tratar fluxos e processos internos da área de saúde, mas também, na continuidade de negócios das instituições. Ter um DPO traz um senso maior de responsabilidade com relação aos dados pessoais e dados pessoais sensíveis dos titulares, organiza melhor a estrutura de gestão interna, com classificação de informações com base em sua sensibilidade, possibilita a escolha de fornecedores preparados para lidar com as questões que envolvam privacidade e proteção de dados pessoais, avalia a melhor forma de fechar contratos, dentre outras ações.

A LGPD não obriga que o DPO seja certificado ou tenha exercido determinada função, apenas, em seu artigo 41, no § 1º, dispõe que as informações do DPO deverão ser divulgadas publicamente. Já o GDPR (Regulamento Geral Europeu de Proteção de Dados), em ser artigo 37, dispõe que o responsável pela proteção de dados será designado com base em qualidades profissionais e, em particular, conhecimento especialista da lei de proteção de dados, bem como as práticas e a capacidade de realizar as tarefas referidas no artigo 39 (artigo que elenca as atividades do DPO, no GDPR). Logo, fica clara a importância desse profissional dentro da instituição, o qual pode ser terceirizado para se obter esta especialização e independência.

Atender às solicitações dos titulares de dados pessoais, elaborar estruturas para portabilidade de dados pessoais e criar plano de governança são tarefas do cotidiano. A LGPD, em seu artigo 50, dispõe sobre a possibilidade, por parte de Controladores e Operadores, regras de boas práticas e governança. No entanto, para chegar neste ponto, há diversas fases a serem cumpridas previamente.

Mapear processos e analisar riscos de uma instituição de saúde é uma das tarefas mais complexas para os profissionais de privacidade. O data mapping de um hospital, a título de exemplo, é um dos mais difíceis de ser elaborado. E como definir uma base legal (artigo 7º da LGPD)? Ainda que o consentimento não seja a resposta para tudo (como muitos pensam, erroneamente), quando se fala em dados sensíveis, sua força é notória. Ainda, é salutar a compreensão de que aqui serão tratados, documentos como prontuários médicos, exames e receitas. Haverá a necessidade de criar fluxos e processos para atendimentos de pacientes e seus acompanhantes, agendamento de consultas, elaboração e entrega de exames, acompanhamento de cirurgias, armazenamento e administração de medicações, atendimento aos planos de saúde, revisão de contratos com terceiros e etc.

Inclusive, ocorrerão situações que envolverão o tema transferência internacional de dados (artigo 33 da LGPD): como tratar, por exemplo, dados de pacientes estrangeiros? Como será a tratativa com um plano de saúde em outro país? Fluxos e processos deverão ser adaptados com base no disposto na Lei.

O artigo 46 da LGPD, estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Reflitamos: Como controlar acessos aos prontuários dentro de um hospital, sejam eles físicos ou eletrônicos, por exemplo? Como supervisionar a utilização de crachás, para que somente pessoas autorizadas tenham acesso à determinados setores? Como organizar um cronograma de treinamentos, considerando as extensas horas de trabalho?

Além das situações mencionadas anteriormente, salienta-se, ainda, que além da LGPD, outras leis e regulamentos deverão ser considerados, tais como o Código de Ética de Medicina, as Resoluções da ANVISA, Resoluções do Ministério da Saúde, normas da Agência Nacional de Saúde Suplementar (ANS), dentre outros, aumentando a essencialidade de análises e estruturas organizadas com prudência e atenção.

E as referências não são apenas dados de saúde, dados genéticos e dados biométricos (artigo 11 da LGPD), mas também, dados pessoais de crianças e adolescentes (artigo 14 da LGPD). Como coletar e fazer a gestão dos consentimentos dos pais e/ou responsáveis legais? Como serão os fluxos de dados com as assistências sociais e os planos de saúde?

Elaborar um ROPA (Record of Processing Activities) e criar um plano de ações e de governança, por exemplo, são responsabilidades primordiais, no entanto, deve-se pensar nas seguintes etapas: revisar fluxos, processos, políticas e demais documentos de privacidade, estabelecer um canal de comunicação com o DPO, criar comitês de privacidade e/ou riscos, criar workflow para atendimento aos titulares de dados pessoais, elaborar um plano de resposta a incidentes, dentre outros, sempre levando em consideração a sensibilidade das situações e dos dados pessoais que serão tratados.

Diante do exposto, no que tange às instituições de saúde, fica clara a necessidade de que o DPO conheça não somente a matéria de proteção de dados pessoais, gestão de pessoas, processos e de segurança da informação, mas também, domine o segmento da área em que vai atuar. A área de saúde é intensa e peculiar, primando por profissionais não somente experientes e conhecedores dos processos internos, mas também, capacitados a atuar com sua complexidade e sensibilidade.

Atualizado em: 12/1/2021 08:10

Mariana Sbaite Gonçalves

Mariana Sbaite Gonçalves

Advogada e sócia da Lee, Brock, Camargo Advogados (LBCA).

Lee, Brock, Camargo Advogados (LBCA)

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

Publicidade