Agendar visita

Está com alguma dúvida? Venha nos fazer uma visita!

Ligue:
(61) 3202 8391

ou envie-nos um e-mail:
moreira.lf@uol.com.br

3 meses ago · · 0 comments

Harmonização da LGPD frente às normas setoriais

A poucos meses da vigência da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) as notícias voltam nossos olhos para casos de vazamento de dados pessoais e as consequentes multas aplicadas em razão deles. Contudo, a legislação de proteção de dados, ao contrário do que pode parecer, não se resume a incidentes de vazamentos.  A lei cuida de quaisquer descumprimentos que coloquem em xeque a integridade, a disponibilidade e a confidencialidade de dados pessoais, sancionando tais condutas. Não precisa ser necessariamente um vazamento de dados. Pode ser, por exemplo, uma gestão negligente de acesso a dados pessoais.

Em países como Portugal e Holanda, as primeiras multas do Regulamento Geral sobre Proteção de Dados Europeu (GDPR, na sigla em inglês) foram impostas a hospitais que não observaram as restrições legais sobre acesso aos dados de prontuários médicos (de pacientes). Em Portugal, o hospital Barreiro Montijo, entre outras violações, mantinha 985 usuários cadastrados como médico, enquanto apenas 296 médicos efetivamente trabalhavam no hospital, o que lhe rendeu multa de 400 mil euros imposta pela Comissão Nacional de Proteção de Dados[1]. Já na Holanda, uma celebridade teve 85 funcionários acessando seu prontuário ao dar entrada no Hospital de Haga. Nesse caso, a autoridade holandesa[2] de proteção de dados impôs multa de 460 mil euros.

No Brasil, a Lei Geral de Proteção de Dados, lei nacional e geral, o que significa dizer, abrangente a todos os setores, demandará, naturalmente, regulamentação específica de acordo com as peculiaridades de cada setor.

A área da saúde, um segmento já extremamente regulado por conta da sua inquestionável importância, tem como desafio compatibilizar as novas regras da LGPD com as normas setoriais já existentes, de forma a definir o adequado cumprimento de suas obrigações no que diz respeito a temas como, por exemplo, a gestão de acesso a prontuários médicos (de pacientes).

Enquanto a Autoridade Nacional de Proteção de Dados, em futura cooperação com as autoridades do setor da saúde, não regulamenta a questão, é necessária uma interpretação coerente e harmônica para a condução da adequação à Lei Geral de Proteção de Dados e para a construção das primeiras teses judiciais sobre o tema.

O prontuário (na regulamentação do Conselho Federal de Medicina – CFM, prontuário médico; na lei federal da digitalização do prontuário, do paciente) é definido na Resolução CFM nº 1638/2002 como o “documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo” (artigo 1º). Logo, é um documento complexo, com informações referentes ao paciente e à produção profissional da equipe de saúde, como hip&oacu te;teses diagnósticas e tratamentos efetuados (artigo 5º, I, Resolução CFM 1638/2002).

A Lei do Prontuário Eletrônico (Lei nº 13.787/2018), por si só, já impõe a necessidade de uma gestão restritiva e cuidadosa dos prontuários digitais ao dispor que “os meios de armazenamento de documentos digitais deverão protegê-los do acesso, do uso, da alteração, da reprodução e da destruição não autorizados” (artigo 4º).

Por sua vez, a regulamentação do Conselho Federal de Medicina detalha as restrições. O médico não pode, sem o consentimento do paciente, revelar o conteúdo do prontuário (artigo 1º, Resolução CFM nº 1605/2000), nem permitir o manuseio e o conhecimento dos prontuários por pessoas não obrigadas ao sigilo profissional, quando sob sua responsabilidade (artigo 85, Código de Ética Médica). Resta também vedado prestar informações a empresas seguradoras sobre as circunstâncias da morte do paciente sob seus cuidados, além das contidas na declaração de óbito (artigo 77, Código de Ética Médica, com a alteração dada pela Resolução CFM nº 1997/2012). Mesmo em hipóteses mais graves, de saúde pública, como nos casos de comunicação co mpuls&oa cute;ria de doença, o médico apenas comunica sem a remessa do prontuário (artigo 2º, Resolução CFM nº 1.605/00).

As exceções a essas regras são bastante restritas e guardam respeito ao necessário cumprimento de ordens judiciais (artigo 89, Código de Ética Médica). Pontualmente, há também a possibilidade de o médico utilizar o prontuário para sua defesa judicial, entregando o prontuário ao juiz e solicitando que as informações sejam mantidas em segredo de justiça (artigo 89, Código de Ética Médica e artigo 7º, Resolução CFM nº 1.605/2000). Além disso, os Conselhos Regionais de Medicina podem requisitar prontuários e há possibilidade de acesso dos médicos aos prontuários, em razão de estudos retrospectivos com questões metodológicas justificáveis e autorizados pela Comissão de Ética em Pesquisa em Seres Humanos (CEPSH) ou pela Comissão Nacional de É tica em Pesquisa (Conep), conforme a Resolução CFM nº 2.217/2018.

No entanto, as normas jurídicas têm evidente caráter dúplice, decorrente da alteridade inerente ao Direito. Ao criar direitos, o legislador cria também deveres aos destinatários das normas, sejam eles titulares de dados ou agentes de tratamento. Os prontuários médicos contêm dados pessoais considerados sensíveis referentes aos pacientes (artigo 5º, II, LGPD) e por isso têm bases legais de tratamento mais limitadas, previstas no artigo 11 da LGPD, e exigem medidas de segurança técnicas e administrativas aptas a resguardar a privacidade dos titulares desses dados.

Nota-se, contudo, que mesmo as restrições específicas da Lei Geral de Proteção de Dados aos dados sensíveis autorizam o seu tratamento nas hipóteses de cumprimento de obrigação legal ou regulatória (e não apenas de decisão judicial – art. 11, II, “a”); para tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos (art. 11, II, “b”); para realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis (art. 11, II, “c”); para o exercício regular de direitos, inclusive em contrato e em processo judicial (mas não apenas em processo judicial, como estabelece a regulamentaç&ati lde;o do CFM), e também em processo administrativo e arbitral (art. 11, II, “d”); para a proteção da vida ou da incolumidade física do titular ou de terceiro (o que abrangeria hipóteses de tratamento de dados de saúde de um indivíduo para proteção da saúde pública, por exemplo – art. 11, II, “e”); para tutela da saúde (art. 11, II, “f”); e para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos (art. 11, II, “g”).

Ao mesmo tempo em que a lei impõe a restrição das hipóteses de tratamento de dados sensíveis como é o caso dos dados de saúde, justificada pela criticidade dos dados e do potencial impacto no direito fundamental à privacidade do titular, por seu caráter dúplice, ela autoriza o tratamento dos referidos dados se verificadas as hipóteses e cumpridos os requisitos legais. Nossa lei de proteção de dados traz em seus fundamentos (artigo 2º) um em especial que não está contemplado expressamente na Constituição, como os demais, apesar de ser corolário lógico da autodeterminação do cidadão e de seus direitos fundamentais (artigo 1º, II, e 5º, Constituição): a autodeterminação informativa, presente no artigo 2º, II, LGPD, que tem origem no conhecido julgamento do Censo alemão d e 1982. A autodeterminação informativa (ou informacional, como às vezes é traduzida), traz em seu conteúdo semântico o poder que o cidadão mantém de controle sobre o fluxo de seus próprios dados pessoais e se desdobrou por toda a Europa no desenvolvimento da legislação de proteção de dados.

É importante ressalvar, todavia, que mesmo em sua concepção pela Corte Constitucional alemã, a autodeterminação informativa não era (e nunca foi) um direito ilimitado. Disse a Corte à ocasião que o indivíduo não tem um direito com sentido absoluto, de controle irrestrito sobre ‘seus’ dados; ele é ao contrário, um desdobramento da personalidade dependente da comunicação com a sociedade” (§148, decisão sobre o Caso do Censo, 1983[3]).

Mais recentemente, as pesquisas alemãs têm desenvolvido o conceito de soberania dos dados como um referencial normativo, na esteira do que foi a autodeterminação informativa desde os anos 80, com interessantes aplicações precisamente na proteção de dados na área da saúde.  Apesar da utilização do conceito teológico de soberania, sua aplicação secularizada ao Direito do século XXI encontra os mesmos (necessários) limites no outro, na sociedade. Pontuam que “considerar soberania como referência normativa não é o mesmo que aprovar e demandar respeito a qualquer reivindicação de poder. Compatível e inerente ao conceito de soberania está o aspecto relacional: se a reivindicação de poder soberano é legítima depende de seu conteúdo e da rel ação entre o soberano putativo e o destinatário de sua reivindicação. Se arbitrariedade ou o interesse próprio não razoável guia a reivindicação, soberania vira despotismo. Negociar soberania e seu escopo é um processo discursivo conduzido no diálogo com outros e com a sociedade[4]”. De forma que talvez seja melhor falar nos termos de uma solidariedade ou de uma fraternidade (para manter a analogia teológica) de dados, em que se deve buscar a melhor interpretação normativa para os conflitos em limites claros aos direitos e deveres estabelecidos na legislação de proteção de dados para titulares e agentes.

Nesse cenário, a interpretação das normas existentes sobre o acesso aos dados de prontuários médicos, que afinal, referem-se aos pacientes (titulares) e à inteligência profissional que os tratou (agentes de tratamento) deve ser feita desde logo com olhos atentos à nova Lei Geral de Proteção de Dados e à complexidade dos casos que as questões de saúde envolvem, buscando termos seguros para a privacidade e os limites sociais que ela impõe.

Autoras: Dra. Fernanda Kac e Dra. Nuria Lopez

Tags: Categories: Notícias

Deixe uma resposta