Em meio aos recorrentes vazamentos de dados de brasileiros, a Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), chegou para modificar a maneira que as empresas, de todos os setores, conhecidos como agentes de tratamento, realizam o tratamento de dados, ou seja, a forma da coleta, recepção, armazenagem, utilização, compartilhamento etc.
Publicada em agosto de 2018, a maior parte da LGPD entrou em vigor somente em setembro do último ano, dispondo sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa física ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa física.
Sem sombra de dúvidas, a LGPD garante maior controle dos cidadãos sobre suas informações pessoais, exigindo o consentimento explícito, salvo em algumas hipóteses, como por exemplo, quando se fizer necessário o cumprimento de uma obrigação legal ou regulatória pelo agente de tratamento.
Além disso, coloca como obrigatória a oferta de opções para que o titular do dado possa acessá-lo, corrigí-lo e até mesmo determinar sua exclusão. Sem falar que o agente de tratamento deve disponibilizar, de forma clara, adequada e ostensiva: (i) a finalidade do tratamento, (ii) forma e duração do tratamento, (iii) direitos do titular; (iv) responsabilidade dos agentes de tratamento, indicando a sua correta identificação e contato; e (v) informações sobre o uso compartilhado de dados.
Como em diversos setores econômicos, a saúde não fica de fora das regras da novel lei. Isso porque, as informações de titulares referentes à saúde estão elencadas como "dados sensíveis", que devem receber tratamento diferenciado. Assim, as regras e condições do tratamento desses dados são mais restritos.
Tanto é que o tratamento depende necessariamente do consentimento do titular do dado, de forma específica e destacada, bem como deve ter finalidade específica, ressalvando-se a hipótese em que for indispensável a tutela da saúde para procedimento por profissionais de saúde ou autoridade sanitária.
Por outro lado, a Lei veda a comunicação ou o uso compartilhado entre agentes de tratamento de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, não se permitindo que operadoras de planos privados de assistência à saúde acessem os dados para a prática de seleção de riscos na contratação, assim como na contratação e exclusão de beneficiários.
É necessário que os agentes de tratamento, como consultórios, clínicas, hospitais, operadoras de planos de saúde, se atentem para estar de acordo com a LGPD.
Para se adequar ao que exige a Lei, o primeiro passo dado pelos agentes de tratamento do setor da saúde é fazer o mapeamento do fluxo de dados, desde a sua coleta ou recepção até sua eliminação. Depois, devem elaborar uma política de proteção de dados, por assessoria jurídica, bem como uma política de segurança da informação, por meio da assessoria da Tecnologia da Informação (TI).
Tais agentes devem desenvolver procedimentos internos para o correto tratamento e proteção dos dados, bem como, em especial, criar instrumentos que permitam obter o consentimento, que é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada, já que o tratamento de dados sensíveis sem o consentimento só é autorizado em determinadas hipóteses.
E para auxiliar na criação dos procedimentos e condutas no tratamento de dados, a Confederação Nacional de Saúde (CNSaúde), em atenção ao disposto no artigo 50 da referida Lei, que autorizou que a iniciativa privada formule regras de boas práticas e de governança, que podem, inclusive, ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados (ANPD), criou um Código de Boas Práticas, cujo lançamento ocorreu neste mês, de forma a melhor contribuir com a implementação da LGPD pelos prestadores privados de saúde suplementar.
Referido Código de Boas Práticas, que pode ser obtido no sítio http://cnsaude.org.br/, além de dispor sobre os principais aspectos da LGPD, relacionou uma série de protocolos de atendimentos, por exemplo, como proceder com os dados cadastrais, prontuários médicos e consulta, exames laboratoriais, compartilhamento de dados entre os profissionais da saúde etc.
Todos os agentes responsáveis pelo tratamento de dados pessoais já estão obrigados à LGPD, porém, vale ressaltar que somente a partir de agosto de 2021 é que haverá a imposição das sanções previstas no art. 52 e seguintes da Lei nº 13.709/2018 pela ANPD.
Dentre as sanções previstas, tem-se as advertências, as multas pecuniárias, a suspensão parcial do funcionamento do banco de dados, podendo chegar à proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados, a depender de cada caso.
Diante da nova realidade e necessidade de elaboração de instrumentos contratuais e termos de política de proteção de dados, recomenda-se a assessoria jurídica especializada, dado que, de acordo com o art. 9º da Lei nº 13.709/18, necessários se faz que o agente de tratamento disponibilize, de forma clara, adequada e ostensiva, ao titular dos dados, os detalhes sobre o tratamento, direitos e responsabilidades.
*Rafaela Calçada da Cruz é advogada tributarista e sócia do Pereira do Vale Advogados; Ana Paula Pereira do Vale é advogada trabalhista e sócia do Pereira do Vale Advogados.
