A importância do encarregado de proteção de dados nas instituições de saúde

Não há dúvidas que os dados são ativos de grande importância em qualquer empresa, mas a área da saúde tem uma preocupação especial. São os renomados dados sensíveis.

De acordo com a Lei Geral de Proteção de Dados (lei 13.709/18), os dados sensíveis são aquelas informações pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, ou ainda aqueles referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural (art. 5º, inciso II).

Sendo assim, verifica-se que a importância de ter um DPO (Data Protection Officer) nas instituições de saúde vai muito além do cumprimento da LGPD, uma vez que seu desempenho corrobora em questões organizacionais, de governança e econômicas. Além desse profissional qualificado ser o elo entre agentes de tratamento, titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), ele auxiliará na escolha de relações comerciais mais seguras para a instituição, em termos de proteção de dados, como por exemplo, empresas que já estejam se adequando à Lei e à utilização de serviços e produtos que já envolvam privacy by design (privacidade desde a concepção) e privacy by default (privacidade por padrão).

Importante lembrar que além da LGPD, o DPO deverá ter conhecimento jurídico em outros regulamentos normativos específicos da área da saúde. Entre eles, o Código de Ética de Medicina (CRM), Resoluções da Agência Nacional de Vigilância Sanitária (Anvisa) e do Ministério da Saúde, normas da Agência Nacional de Saúde Suplementar (ANS), dentre outros, aumentado assim o leque de exigências legais e aplicações práticas que fazem parte do arcabouço legislativo de compliance.

Ter um DPO numa instituição de saúde impacta não somente na nova forma de tratar fluxos e processos internos da área, mas também na continuidade de negócios das instituições, na medida que a sua atuação diminui os riscos de sanções administrativas e judiciais, evitando prejuízos de imagem e financeiros.

Vale lembrar que a LGPD, em seu art. 5º, dispõe sobre as regras de boas práticas e governança. Contudo, estar em compliance digital não é uma tarefa das mais fáceis. Recentemente, diversos casos de vazamentos de dados sensíveis em laboratórios renomados foram noticiados em vários jornais em decorrência de ataques cibernéticos, os famigerados ransonware.

Nessa seara, mapear processos e analisar riscos de uma instituição de saúde é uma das tarefas mais complexas para os profissionais de privacidade. O Data Mapping de um hospital, a título de exemplo, é um dos mais difíceis de ser elaborado. E como definir uma base legal (art. 7º da LGPD)? Ainda que o consentimento não seja a resposta para tudo, como muitos pensam erroneamente, quando falamos em dados sensíveis, sua força é notória.

É muito importante ressaltar que nas instituições de saúde serão tratados documentos como prontuários médicos, exames laboratoriais com dados biométricos, receitas etc. Assim sendo, torna-se imperiosa a necessidade de criar fluxos e processos para a elaboração e entrega de exames, agendamento de consultas, atendimentos de pacientes e seus acompanhantes, atendimento aos planos de saúde e fluxo de medicações.

E, ainda, ocorrerão situações que envolverão o tema "transferência internacional de dados" (art. 33 da LGPD), que trata de dados de pacientes estrangeiros. Como será a tratativa com um plano de saúde em outro país? Será que o país de destino proporcional tem um nível de proteção de dados adequado, ou ao menos equiparável à nossa legislação? Fato é que fluxos e processos deverão ser adaptados com base no disposto na lei.

Outro ponto que merece atenção são os dados pessoais de crianças e adolescentes (art. 14 da LGPD) inerentes ao setor de pediatria. Como coletar o consentimento dos pais e/ou responsáveis legais? Como serão os fluxos desses dados com as assistências sociais e os planos de saúde?

Elaborar um registro das atividades de tratamento e criar um plano de ações e de governança, por exemplo, são responsabilidades primordiais, no entanto, as instituições de saúde devem pensar nas próximas etapas de adequação, como por exemplo, criar um comitê de privacidade com os principais stakeholders da instituição, revisar contratos, fluxos, políticas, elaborar um plano de resposta a incidentes, dentre outros, sempre levando em consideração a sensibilidade das situações e dos dados pessoais que serão tratados.

Destarte, quando falamos de adequação à LGPD em instituições de saúde, fica evidente a necessidade de que o DPO conheça não somente a lei de proteção de dados pessoais, como também as demais normas e regulamentos do setor. Tendo em vista, que a área de saúde é intensa, onde seus profissionais primam não somente pelo conhecimento técnico, mas igualmente, capacitados a atuar com toda complexidade e sensibilidade necessárias numa área tão peculiar.