1
“Agir sempre da forma correta não é uma escolha, e sim uma prioridade. ” 2
MANIFESTO ABRAMED A ABRAMED acredita no seu papel de influenciar o mercado na defesa de comportamentos éticos, transparentes e vitais para a evolução da sustentabilidade do sistema de saúde em benefício da população que busca os serviços essenciais que o setor fornece. Norteada pelo seu código de conduta, lançado em 2017, orienta, incentiva e exige de seus associados práticas que inspirem todos os elos da cadeia da saúde. Não hesitamos em repudiar as más práticas médicas, o incentivo financeiro por volume, o desrespeito ao sigilo das informações pessoais e diagnósticas, a inibição concorrencial ou qualquer outra forma de corrupção. Somos plenamente conscientes de que nossa maior responsabilidade é garantir o foco na atenção ao paciente, resguardando sua segurança e o compromisso com serviços de diagnóstico de qualidade, que contribuem diretamente para a adequada conduta médica e, consequentemente, evitando desperdício de recursos no sistema. Agir sempre de forma correta não é uma escolha, e sim uma prioridade! Afinal, nossa missão é a mais relevante de todas: cuidar da saúde das pessoas. 3
4
MENSAGEM DO CONSELHO DE ADMINISTRAÇÃO DA ABRAMED A Lei Geral de Proteção de Dados (LGPD), que defini o início, o meio e o fim do tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, é uma lei de governança, inspirada na lei europeia (GDPR) que envolve questões políticas, normas e padrões de comportamento. Para garantir sua implementação as empresas devem criar estratégias administrativas e mecanismos jurídicos/ tecnológicos e identificar responsabilidades, prevenindo e antecipando riscos. No setor de saúde, a implementação da LGPD na medicina diagnóstica apresenta algumas particularidades, gerando discussões e uma atenção maior em relação ao uso e tratamento dos dados dos pacientes. Para apoiar nossos associados e demais empresas do setor no processo de adequação à lei, o Grupo de Trabalho (GT) de Proteção de Dados da Abramed preparou este Guia com uma linguagem simples e exemplos práticos, com o intuito de ser uma ferramenta consultiva por diferentes áreas nas empresas. Esperamos que este material auxilie na implementação de boas práticas no tratamento e uso de dados, promovendo maior transparência e uma melhoria contínua na assistência à saúde. Boa leitura! Wilson Shcolnik Presidente do Conselho de Administração 5
ÍNDICE 8 Bases legais para tratamento de dados sensíveis 32 Atendimento aos direitos dos titulares Compartilhamento de dados 40 de saúde com operadoras de planos de saúde 48 Proteção de dados pessoais no contexto dos recursos humanos 58 Práticas comerciais em marketing 74 Inovação: Inteligência artificial e startups 6
7
BASES LEGAIS PARA TRATAMENTO DE DADOS SENSÍVEIS 8
9
O uso de dados para a prestação de serviços de saúde A fim de que possamos adotar as melhores práticas no tratamento de dados pessoais na prestação de serviços da área da saúde, abordaremos as bases legais que legitimam o tratamento destes tipos de dados, principalmente os dados compreendidos como dados pessoais sensíveis, pelo seu potencial discriminatório. De acordo com a lei geral de proteção de dados pessoais, dado sensível é: “Dado pessoal sobre origem racial, étnica, convicção religiosa, opinião política, filiação a sindicato, organização de caráter religioso, filosófico, político, dado referente à saúde, à vida sexual, dado genético ou biométrico e quando vinculado a uma pessoa natural” Primeiramente devemos reforçar que, uma vez que o tratamento dos dados for efetuado por pessoa física, para fins particulares e não econômicos, não haverá a aplicação da lei. Situação diferente ocorre com os profissionais que prestam serviço no contexto de pessoa jurídica. É importante considerar que, para as pessoas jurídicas, a manutenção de uma base de dados pessoais pode possuir um grande valor, dada a possibilidade de emprego de tecnologias de big data para estudos 10
que possam permitir avanços na “Se o tratamento sua forma de prestar o serviço, em estudos epidemiológicos, na dos dados for compreensão da evolução dos efetuado por casos ou mesmo na predição de pessoa física (...) uma evolução clínica. não haverá a aplicação da lei. São infinitas as possibilidades de utilização de uma quantidade ” massiva de dados que possam 11 beneficiar, não apenas um titular de dados, mas toda a sociedade. Outro ponto importante, é que os dados anonimizados perdem a característica de dados pessoais. Contudo, há que se observar o procedimento adotado no processo
de anonimização, vez que se a anonimização puder ser revertida, o dado estará pseudonimizado e não anonimizado. Para a lei, pseudonimização é “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.” Nesse sentido, entende-se que tais operações de tratamentos estão sujeitas à aplicação dos termos da lei. A partir da análise das bases legais, dispostas no artigo 11 da lei, abordaremos os aspectos que tornam legítimo o tratamento de dados pessoais nas atividades dos serviços de saúde, com exemplos práticos. Esta análise tem como foco o tratamento de dados pessoais sensíveis. Gostaríamos de reforçar que o tratamento de dados pessoais sensíveis deverá observar sempre a compatibilidade com uma base legal e com os princípios previstos na LGPD. Assim, os controladores deverão fazer uma análise sobre as suas 12
“O tratamento de dados pessoais sensíveis deverá observar sempre a compatibilidade com uma base legal e com os princípios previstos na LGPD. ” operações de tratamento, como a finalidade do tratamento, necessidade do tratamento, adequação dos dados, transparência com o titular, segurança nas operações e a não discriminação. O resultado dessa análise poderá indicar a legitimidade das operações de tratamento de dados pessoais. Iniciaremos a análise pelas bases legais para tratamento de dados, segundo o seu potencial de aplicação. 1. Cumprimento de obrigação legal ou regulatória pelo controlador Nesta seara podemos mencionar, sem exaurir o tema, algumas hipóteses de tratamentos de dados pessoais realizadas pelos prestadores de serviços de saúde, por força de obrigações legais ou regulatórias. a) Criação/manutenção de prontuário do paciente Dentre as obrigações do profissional médico, de acordo com o conselho federal de medicina, deve ser elaborado um prontuário para cada 13
paciente que assiste - art. 87 do código de ética médica. Essa obrigação é igualmente exigida das instituições de saúde, conforme descrito no código de ética médica do CFM, preâmbulo II “As organizações de prestação de serviços médicos estão sujeitas às normas deste código”. Os procedimentos relacionados ao prontuário observam o disposto na resolução CFM Nº1.821/2007, que determina que o prontuário possui dados que pertencem aos pacientes, e que há um dever de guarda destes prontuários por aqueles que prestam atendimento médico. Os prontuários devem ser mantidos nas instituições pelo prazo mínimo de 20 (vinte) anos a contar do último registro feito no mesmo, se prontuário de papel (artigo 6º, Lei 13.787/2018, que trata de prontuários eletrônicos), e nos casos de prontuários eletrônicos, a guarda deverá ser permanente (art. 7º da resolução CFM 1.821 de 2007). Podemos concluir que a hipótese de tratamento de dados pessoais sensíveis, consubstanciada nas operações de coleta, produção, recepção, utilização, acesso, processamento, arquivamento, armazenamento, avaliação, para criação/alimentação e manutenção de prontuário médico, são hipóteses para aplicação da base legal do disposto no item a, do inciso II, do art. 11 da LGPD “Cumprimento de obrigação legal ou 14
regulatória”. Contudo, não se deve deixar de observar que os dados dispostos em prontuário médico poderão ser objeto de tratamentos de dados posterior e, nesse sentido, a finalidade dos tratamentos de dados de prontuário médico deverá ser cuidadosamente observada, para que se identifique o enquadramento de outra base legal em sua utilização. Podemos citar como exemplo a seguinte situação: paciente que passa por atendimento médico em hospital ou outro serviço de saúde, dando origem a constituição de um prontuário médico. A constituição do prontuário médico poderá ser regulada pela base legal do cumprimento de obrigação legal ou regulatória. Entretanto, se o paciente retornar ao hospital e o seu prontuário médico for acessado a fim de coletar informações que possam auxiliar em seu novo atendimento, tal acesso poderá ser enquadrado como proteção à vida do titular ou tutela da saúde (a depender do caso). Gostaríamos de reforçar que o tratamento de dados pessoais sensíveis deverá observar, sempre, a compatibilidade com uma “Os prontuários devem ser mantidos nas instituições pelo prazo mínimo de 20 anos a contar do último registro feito no mesmo, se prontuário de papel, e nos casos de prontuários eletrônicos, a guarda deverá ser permanente. ” 15
base legal e com os princípios previstos na LGPD. Assim, os controladores deverão fazer uma análise sobre a finalidade do tratamento, entender a necessidade do tratamento, adequando os dados com transparência mediante ao titular, garantindo operações e a não discriminação. O resultado dessa análise poderá indicar a legitimidade das operações de tratamento de dados pessoais. b) Notificação compulsória de doenças A notificação compulsória de doenças encontra-se regulamentada na lei nº 6.259 de 30 de outubro de 1975 e portaria nº 204 de 17 de fevereiro de 2016 do ministério da saúde. Há, portanto, um dever de compartilhar dados pessoais sensíveis acerca de indivíduos com suspeita ou confirmação de serem portadores de doenças elencadas no rol definido pelo ministério da saúde. Nesse sentido, compreende-se que o ato de compartilhamento de tais dados sensíveis esteja fundamentado no cumprimento de obrigação legal ou regulatória. A notificação deverá seguir os procedimentos estabelecidos pelas autoridades sanitárias. Porquanto haja uma exposição de dados pessoais sensíveis, tal procedimento está consubstanciado no direito coletivo à saúde e no 16
dever do estado de prover o bem-estar das pessoas, agindo para o controle das doenças transmissíveis. Prevalece um direito coletivo em detrimento de um direito individual. Não obstante, a privacidade quanto aos dados da notificação deve ser mantida pelas autoridades que a eles (dados) tiverem acesso. 2. Exercício regular de direito, inclusive em contrato A lei faz previsão expressa sobre o tratamento de dados pessoais para o “exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral (...)” É possível identificar dois aspectos nesta base legal: (i) o exercício regular de direito, inclusive em contrato (ii) em processo judicial, administrativo e arbitral. (i) Exercício regular de direito, inclusive em contrato O exercício regular de direito pode ser interpretado como a prática de atos lícitos pelo titular do direito. Assim, se a prestação de um serviço contratado pelo titular de dados requer, por força de contrato (firmado com o titular de dado e/ou até mesmo com terceiro, por exemplo, sua operadora de saúde), o tratamento de dados pessoais, é possível invocar a base legal do art. 11, inciso II, alínea d. E tal interpretação encontra respaldo na exceção à vedação de compartilhamento de dados pessoais sensíveis, para as finalidades de prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados. Contudo, é necessário observar em qualquer hipótese de tratamento de dados pessoais, os princípios legais, bem como as vedações impostas pela lei, para que não se configure abuso de direito e, consequentemente, 17
cometimento de violação de direitos do titular de dados pessoais. Assim, os controladores de tratamento deverão fazer uma análise sobre a finalidade do tratamento, a necessidade do tratamento, a adequação dos dados, a transparência com o titular, a segurança nas operações e a não discriminação. O resultado dessa análise poderá indicar a legitimidade das operações de tratamento de dados pessoais. Abaixo exemplificamos as situações que poderão estar abarcadas na base legal de exercício regular de direito, inclusive em contrato. Compartilhamento de dados pessoais com operadoras de saúde No bojo das obrigações contratuais encontra-se o compartilhamento de determinadas informações com as operadoras de saúde, tendo em vista que estas são responsáveis pelo pagamento dos serviços prestados por médicos ou demais estabelecimentos de saúde. Há, portanto, um procedimento pré-estabelecido em que o serviço de saúde (médico, hospital ou centro de medicina diagnóstica) deverá encaminhar determinados documentos (dentre eles: pedido médico, guia TISS, etc.), que poderão conter dados sensíveis como, por exemplo, a hipótese diagnóstica em investigação para faturamento do serviço prestado. Nesta seara, o tratamento dos dados pessoais, que poderá ser: reprodução, transmissão, distribuição, comunicação, entre outros, estará embasado na execução de contrato. E essa é uma relação tripartite, que envolve o atendimento do paciente/ titular do dado, o prestador de serviço (médico, clínica, hospital, laboratório, etc.) e a operadora de saúde, responsável por remunerar diretamente o prestador de serviços. Podemos concluir que, na relação que se estabelece entre o 18
titular do dado e sua operadora de saúde, o compartilhamento de determinados dados é uma condição para a prestação dos serviços. O impedimento, pelo titular de dados, do compartilhamento de dados entre os prestadores de serviço de saúde com sua operadora de saúde, seria um verdadeiro impeditivo para a prestação de serviços, salvo as situações de reembolso, em que o titular de dados pagaria pelos serviços e, após, apresentaria à operadora de saúde a nota dos serviços prestados, ficando a seu critério indicar a causa que motivou a procura pelos serviços e, portanto, o compartilhamento dos seus dados pessoais sensíveis. Quanto à relação que se estabelece entre a operadora de saúde e os serviços contratados para atendimento aos seus beneficiários (consultas, exames, atendimento hospitalar e realização de procedimentos, entre outros), o compartilhamento de dados pessoais se faz para exercício regular de direito em contrato. Ressalta-se que a transparência com o titular de dados é medida essencial. Na relação que o titular do dado estabelece com a operadora de saúde, a questão deverá ser abordada sob a ótica de que tal hipótese de tratamento de dados pessoais poderá ser condição para a prestação de serviço (se for o caso), por meio de cláusula contratual em destaque, bem como através de sua política de privacidade. Cumpre reforçar que, muito embora, haja uma exceção à vedação do compartilhamento de dados sensíveis para a finalidade de prestação de serviços de saúde (art.11,§4º da LGPD), há vedação expressa às operadoras de saúde – para o tratamento de dados pessoais para a prática de seleção de riscos na contratação ou para a exclusão de beneficiários de seus planos (§5 do artigo 11). Gostaríamos de ratificar que o compartilhamento de dados pessoais sensíveis não poderá ser feito de maneira indiscriminada, de modo que os controladores deverão observar 19
sempre a compatibilidade com uma base legal e com os princípios previstos na LGPD. Assim, os controladores de tratamento deverão fazer uma análise sobre a finalidade do tratamento, necessidade do mesmo, adequação dos dados, transparência com o titular, segurança nas operações e a não discriminação. O resultado dessa análise poderá indicar a legitimidade das operações de tratamento de dados pessoais. (ii) Exercício regular de direito, em processo judicial, administrativo e arbitral Trata-se da base legal que legitima o tratamento de dados pessoais para que o agente de tratamento possa assegurar o exercício do seu direito na defesa de seus interesses em processo judicial, administrativo ou arbitral. 20
“Embora a lei não tenha definido o conceito de tutela da saúde, entendemos que ela deve ser compreendida enquanto proteção à saúde. ” A base contempla, em especial, os direitos de petição e de defesa, e poderá ser aplicada sempre que houver lesão ou ameaça de lesão a direitos. É imprescindível que se observe a necessidade da utilização dos dados sensíveis, bem como a adequação de tais dados, sob pena de que o seu uso não seja configurado como indevido e, portanto, uma violação de tratamento de dados pessoais sensíveis. 3. Tutela da saúde A tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, é uma hipótese de legitimidade para o tratamento de dados pessoais, que dispensa a necessidade de consentimento do titular de dados. Embora a lei não tenha definido o conceito de tutela da saúde, entendemos que ela deve ser compreendida enquanto proteção à saúde. Assim sendo, pode ser interpretada como a adoção de medidas que tenham como objetivo promover ações que possam colaborar com a gestão e cuidados com a saúde. Um importante aspecto que deve ser observado sobre essa base legal, é que ela é restrita a procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. 21
A partir dessas informações podemos exemplificar algumas situações em que, entendemos, que o tratamento de dados pessoais possa ser interpretado pela base legal da tutela da saúde: a) Quando um paciente estiver inserido em um programa de acompanhamento (por determinada condição clínica ou outra necessidade, da qual tenha consentido em participar) e o médico assistente acessar o seu prontuário médico com o objetivo de coletar informações relevantes para a condução do tratamento/ acompanhamento. b) Quando um médico consultar outro profissional para auxiliar na discussão de caso de seu paciente, que deverá resultar em uma tomada de decisão, sem que tenha condições de obter o consentimento do paciente. Nesse sentido a ANS já se manifestou por meio da nota técnica Nº3/2019/GEPIN/DIRAD-DIDES/DIDES. Processo nº: 3910.029786/2019-51, dispondo que: “Também merece destaque a dispensa de consentimento do titular, no caso de tratamento de dados pessoais, para tutela à saúde” e cita como exemplos: “Cumpre esclarecer que o acesso aos dados de pacientes é resguardado pelo sigilo médico, imposto aos profissionais médicos e àqueles que prestam serviços em saúde. ”22
“Compartilhamento de registros de saúde com os médicos assistentes e outros prestadores de serviços de saúde, para melhorar o cuidado e o resultado em saúde para o paciente;” “Utilização de informações de saúde por gestores de sistemas de saúde público ou privado, para a condução de programas de promoção de saúde e de prevenção de doenças, bem como, para o direcionamento dos pacientes para prestadores mais adequados para seus quadros.” Cumpre esclarecer que o acesso aos dados de pacientes é resguardado pelo sigilo médico, imposto aos profissionais médicos e àqueles que prestam serviços em saúde. Assim sendo, os cuidados com o tratamento de dados pessoais sensíveis de pacientes deverão observar, ainda, as normativas do conselho federal de medicina, entre outros. 23
Importante questão é o tratamento de dados pessoais para a tutela da saúde de uma coletividade. Para exemplificar: um hospital, ao analisar os dados gerados em sua instituição, para compreender um padrão de determinada patologia ou infecção, poderia justificar tal tratamento de dados pessoais como tutela da saúde da coletividade (que poderia se beneficiar da identificação da prevalência de determinada bactéria em seu ambiente). Entendemos que porquanto a tutela da saúde poderá não beneficiar, propriamente, cada titular de dados, poderia vir a beneficiar o coletivo de pacientes do hospital, tanto no momento presente, quanto para pacientes futuros. Trata-se de um interesse coletivo que se sobrepõe ao interesse particular. Assim, a tutela da saúde pode ser interpretada à ótica de uma coletividade. 4. Proteção da vida ou da incolumidade física do titular ou de terceiros A proteção da vida ou da incolumidade física do titular ou de terceiros, é a base legal que visa garantir o tratamento de dados pessoais que se mostre necessário para a manutenção da segurança e/ou vida do titular de dados ou de terceiros. Seria a hipótese em que tais sujeitos (titular de dado ou terceiro) poderiam estar com a capacidade de manifestar a sua concordância com o tratamento dos seus dados comprometida, de modo a agravar o seu estado, se dela dependesse. Como é de conhecimento, a vida é um bem indisponível e todo o esforço deve ser feito para preservá-lo. Assim, se, por exemplo, um paciente adentra num hospital com um quadro grave, sem condições de responder aos procedimentos de 24
“A vida é um bem indisponível e todo o esforço deve ser feito para preservá-lo. ” 25
anamnese do médico, a realização de consulta ao seu prontuário/ histórico de exames realizados, para fins de identificar alergia a determinados medicamentos, tipagem sanguínea, ou qualquer dado essencial para que o seu atendimento seja o mais assertivo possível, será plenamente justificado. Ainda, essa base legal não restringe o tratamento de dados por profissionais de saúde ou serviços de saúde, como é requisito da base legal da tutela da saúde. Poderíamos citar outro exemplo para a sua aplicação: o caso em que um funcionário de uma empresa sofre um acidente de trabalho, e que a empresa precisa contatar seu cônjuge, a fim de informá-lo ou solicitar informações relevantes para a condução do atendimento. No exemplo em questão, ao buscar um meio de contato, a empresa teria acessado dado de terceiro, para garantir procedimentos em um atendimento seguro ao seu cônjuge (colaborador) da empresa. Havendo caracterização de que o tratamento de dados sensíveis ocorreu com a finalidade de proteger a vida ou a segurança de uma pessoa natural, o seu tratamento será considerado legítimo. 5. Garantia de prevenção à fraude e à segurança do titular Essa base legal permite que o controlador dos dados possa realizar atos de tratamento para o fim de prevenir a ocorrência de fraudes e para a segurança do titular dos dados. Primeiramente devemos decompor esta base legal, para termos uma “Podemos citar como exemplo de prevenção à fraude, a exigência de envio de laudo de determinado exame por operadora de saúde a fim de confirmar sua realização. ”26
exata compreensão do seu alcance: a) Garantia da prevenção à fraude: Podemos citar como exemplo de prevenção à fraude, a exigência de envio de laudo de determinado exame por operadora de saúde, a fim de confirmar sua realização; como nos casos em que o pedido médico do exame faz expressa recomendação de exame apenas “se necessário”. Nesse caso, poderá a operadora de saúde solicitar o laudo de tal exame, a fim de garantir que o exame fora realizado. Tal medida protege o titular de dados, da cobrança indevida de procedimentos, em nível de coparticipação, por exemplo. Assim, a exigência de laudo de exame tem como objetivo prevenir fraudes, tornando legítimo o compartilhamento de tal documento, ainda que contenha dados sensíveis. É importante reiterar que o uso de tais dados pelas operadoras também é objeto de regulamentação, e com expressa vedação como já mencionamos para, por exemplo, fazer seleção de risco na contração e/ou na exclusão de beneficiários de seus planos. 27
b) A garantia da segurança ao titular pode ser exemplificada nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. Assim, caso o controlador de dados necessite, por exemplo, fazer uma checagem/cruzamento de dados em sua base, com vistas a evitar fraude ou promover a segurança do titular dos dados, poderá fazê-lo. Nesse tipo de situação recomenda-se que o controlador de dados tenha bem definido o risco existente, se possível por meio de uma política estabelecida, indicando os riscos e o tipo de tratamento necessário, sempre observando os princípios para tratamento de dados pessoais, do artigo 6º, da lei, demonstrando, ainda, os procedimentos adotados com vistas a minimizar qualquer eventual incidente que possa ocorrer. Esta base legal ainda faz referência ao disposto no artigo 9º (que garante o acesso facilitado ao titular, às informações sobre o tratamento de seus dados pessoais). 6. Realização de estudos por órgão de pesquisa Primeiramente, cumpre trazermos a definição pela própria lei, do que deve ser compreendido como órgão de pesquisa. Órgão de pesquisa, de acordo com o artigo 5º, XVIII, é assim definido: “Órgão ou entidade da administração pública, direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no país, que inclua em sua missão institucional ou em seu objetivo social ou estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.” Devemos observar que o legislador afastou a figura da empresa privada com fins lucrativos da determinação de órgão de pesquisa. 28
Não iremos adentrar na motivação do legislador para tal exclusão que, como supracitado, não é procedimento novo. Passemos a analisar os procedimentos existentes e já bem estabelecidos, na seara da realização de estudos e/ou projetos de pesquisa, que devem ser observados por todas as instituições e pesquisadores que realizam pesquisas com seres humanos. As normas que regulamentam projetos de pesquisas com seres humanos são basicamente as resoluções do Conselho Nacional de Saúde (CNS) e as cartas circulares da Comissão Nacional de Ética em Pesquisa (CONEP). É possível identificar portarias sobre temas específicos, editadas pelo Ministério da Saúde. As principais normativas que norteiam as pesquisas com seres humanos são: a resolução CNS nº 466 de 2012 e a norma operacional 001/2013, pois são as normas gerais e de base. Determinados tipos de estudos possuem resoluções específicas, que ditam o que deve ser observado. Isso posto, cumpre informar que a realização de projetos de pesquisa com seres humanos é objeto de apreciação pelo sistema CEP/CONEP. Esse sistema prevê a avaliação dos projetos por membros de comitês de ética em pesquisa e/ou, a depender do projeto, apreciação da própria CONEP (que seria o órgão máximo de avaliação de projetos). Todo o processo que envolve a apreciação dos protocolos de pesquisa ocorre num sistema próprio da CONEP, a plataforma Brasil. 29
Nos casos de projetos de pesquisas com seres humanos, o consentimento livre e esclarecido é de suma importância. É a regra. Contudo, a dispensa da obtenção do termo de consentimento livre e esclarecido também encontra previsão. É a inteligência do item IV.8 da resolução CNS 466/12, que prevê que: “Nos casos em que seja inviável obtenção do termo de consentimento livre e esclarecido ou que signifique riscos substanciais à privacidade, a confidencialidade dos dados dos participantes ou aos vínculos de confiança entre pesquisador e pesquisado, a dispensa de TCLE deve ser justificadamente solicitada pelo pesquisador responsável(...)”. A LGPD trouxe a possibilidade de dispensa de consentimento, com a ressalva de que garantida sempre que possível, a anonimização dos dados pessoais. Para os estudos em saúde pública, o artigo 13 da lei dispõe que: “Os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização 30
ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.” § 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo, em nenhuma hipótese, poderá revelar dados pessoais. § 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro. § 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências. Como foi possível observar, em que pese todas as implicações existentes no tratamento de dados pessoais sensíveis, considerando os impactos que tal tratamento possa gerar para os titulares de dados pessoais, é possível realizar o tratamento de tais dados pessoais de maneira legítima, observando os fundamentos e princípios estabelecidos na lei geral de proteção de dados pessoais. Caberá aos controladores, nos termos da LGPD, analisar cada operação de tratamento, sua finalidade, necessidade, adequação dos dados, transparência com o titular, segurança nas operações e a não discriminação. Ao final dessa análise, se verifique a legitimidade das operações de tratamento de dados pessoais, também sob a ótica do titular de dados pessoais, na garantia dos seus direitos de liberdade, privacidade e autodeterminação informativa. 31
ATENDIMENTO AOS DIREITOS DOS TITULARES 32
33
Quais são os direitos dos titulares? Além dos direitos garantidos pela constituição, legislações e regulamentações aplicáveis ao setor da saúde, a LGPD traz uma série de direitos do titular oponíveis diretamente em face do controlador, sem qualquer custo, perante autoridade nacional, ou até mesmo por meio de órgãos de defesa do consumidor. Tendo em vista que a LGPD apresenta procedimentos e regras específicas acerca do tratamento de dados pessoais, e a obrigatoriedade dos agentes de tratamento em observar os direitos dos titulares, o presente capítulo apresentará considerações e formas práticas para que tais direitos sejam observados. 34
“Nos termos da Lei, as informações apresentadas aos titulares deverão ser claras e alinhadas com as finalidades de tratamento pelo Controlador. ” ACESSO OU CONFIRMAÇÃO: O titular de dados pessoais possui o direito de obter do controlador informações relacionadas ao uso dos seus dados pessoais por aquele agente. Dessa maneira, o titular poderá apurar se de fato existe o tratamento dos seus dados e, caso tenha interesse, solicitar o acesso das suas informações perante o controlador. Ressaltamos que, nos termos da lei, as informações apresentadas aos titulares deverão ser claras e alinhadas com as finalidades de tratamento pelo controlador. Em razão disso, é importante que o controlador dos dados possua todos os seus processos de negócio mapeados, bem como o fluxo de dados pessoais na instituição para a prestação de seus serviços e produtos, com a devida indicação das bases legais que embasam tais tratamentos, para que a devolutiva da solicitação ocorra de forma diligente e precisa. CORREÇÃO: O titular que tenha informações pessoais incompletas, desatualizadas ou inexatas, também tem direito de ter seus dados corrigidos. À vista disso, é possível realizar um pedido de correção dos dados ao controlador, que deverá atender à solicitação do titular de maneira prestativa. 35
OPOSIÇÃO: É direito do titular de se opor ao tratamento dos seus dados pessoais, sendo assim, há possibilidade do mesmo optar por recusar o tratamento dos seus dados por uma instituição controladora que não corresponde com os parâmetros estabelecidos pela LGPD. No segmento saúde esse direito do titular é delicado, visto que o segmento necessita realizar diversos tratamentos de dados pessoais, para o atendimento de obrigações legais e/ou regulatórias, desde o armazenamento de dados, como o compartilhamento dessas informações com a administração pública, por exemplo. Dessa maneira, é importante que os agentes de tratamento analisem caso a caso, bem como as bases legais adequadas para os tratamentos. ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO: • Anonimização: É a utilização de meios técnicos razoáveis, disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de ser associado, de forma direta ou indireta, a um indivíduo. Circunstância que impede que o titular seja identificado dentro do banco de dados do controlador; • Bloqueio ou Eliminação: É o direito do titular requerer a suspensão ou a exclusão de seus dados pelo controlador, quando estes forem desnecessários, excessivos ou tratados em desconformidade com a lei geral de proteção de dados. 36
Para esses direitos, é importante que o controlador não o faça de forma aleatória, visto que empresas do segmento saúde têm obrigações legais no âmbito regulatório e sendo assim, existem informações que necessitam ser mantidas na base de dados do controlador por um período determinado. Além disso, vale ressaltar que a própria LGPD também traz ressalvas em relação à guarda de determinadas informações em face de cumprimento de instrumentos contratuais, defesa de direitos e entre outras hipóteses legais trazidas pela lei. REVOGAÇÃO DO CONSENTIMENTO: É direito do Titular revogar o seu consentimento para o tratamento de seus dados pessoais. Importante mencionar que os atos praticados anteriormente à revogação continuam plenamente válidos. Como efeito, o Controlador não poderá mais tratar os dados obtidos com base no consentimento do Titular, exceto para finalidades que tenham outra hipótese legal diversa do consentimento, como por exemplo, cumprimento de obrigação legal ou exercício regular de direito. “É direito do Titular revogar o seu consentimento para o tratamento de seus dados pessoais. ” 37
REVISÃO DE DECISÕES AUTOMATIZADAS: O indivíduo tem direito de solicitar a revisão de decisões automatizadas que afetem seus interesses, como as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos relacionados à sua personalidade. Tendo em vista que as decisões automatizadas poderão ocasionar em tratamentos discriminatórios aos titulares, a autoridade nacional poderá realizar auditorias com finalidade de investigar questões discriminatórias envolvendo o tratamento automatizado dos dados. INFORMAÇÃO SOBRE O COMPARTILHAMENTO: O possuidor dos dados deve ser informado no que diz respeito ao compartilhamento de suas informações pessoais com terceiros, tendo o controlador a obrigação de esclarecer o motivo, a finalidade e com quais empresas são compartilhados os dados pessoais do titular. PORTABILIDADE: O Titular poderá solicitar ao Controlador a transmissão de seus dados a outra organização controladora de sua preferência, mediante requisição expressa. É relevante que as empresas do segmento saúde alinhem seus sistemas, para que a transmissão ocorra de forma estruturada. Além disso, é fundamental que o Titular saiba que algumas informações pessoais, em cumprimento de obrigações legais, ou contratuais, por exemplo, deverão ser mantidas na base de dados deste controlador, mesmo após a transferência dos dados para outra instituição. 38
PRAZOS DE RESPOSTAS AOS TITULARES: 15 DIAS CORRIDOS: • Direito de acesso ou de confirmação; • Direito de anonimização, bloqueio ou eliminação; • Direito à portabilidade dos dados; • Direito de eliminação dos dados tratados com consentimento; • Direito de informação sobre o compartilhamento; • Direito de revisão de decisões automatizadas; • Direito de oposição; • Direito de revogação do consentimento. 5 DIAS ÚTEIS: • Direito de correção. “O Titular poderá solicitar ao Controlador a transmissão de seus dados a outra organização controladora de sua preferência, mediante requisição expressa. ” 39
COMPARTILHAMENTO DE DADOS DE SAÚDE COM OPERADORAS DE PLANO DE SAÚDE 40
41
Historicamente, a regulação sobre sigilo e guarda de informações de dados da saúde estiveram sujeitas às normas do conselho de medicina, e o seu compartilhamento sempre foi restrito e excepcional. O código de ética médica, resolução CFM nº 2.217, de 27 de setembro de 2018, traz disposições específicas sobre o compartilhamento de dados (art. 54), sigilo profissional (arts. 73 ao 79), manuseio de documentos (art. 89) e pesquisa médica. Há, inclusive, inúmeros dispositivos que tratam da necessidade de coleta de autorização específica do paciente para que haja a divulgação das suas informações. Destacamos também a resolução CFM nº 1.605, de 15 de setembro de 2000, que trata da necessidade de consentimento para o compartilhamento de informação do prontuário1 e fichas médicas. Verifica-se, portanto, que o compartilhamento de dados não anonimizados de saúde sempre foi tratado como via de exceção pelo CFM. No entanto, com o advento das plataformas digitais e o mercado pautado em dados, a necessidade de captura de dados de saúde por parte das operadoras de planos de saúde tem sido cada vez mais frequente. Não raro, os laboratórios de medicina diagnóstica têm sido abordados para realizarem o compartilhamento de laudos e dados de saúde não anonimizados de pacientes, o que se tornou até mais frequente após o advento da lei geral de proteção de dados pessoais2. 1 Segundo a Resolução CFM nº 1.638, de 9 de agosto de 2002, prontuário médico é o conjunto de documentos padronizados, destinados ao registro da assistência prestada ao paciente. 2 O compartilhamento de dados de saúde dos pacientes é uma modalidade de tratamento de dados pessoais sensíveis e está sujeita aos ditames da LGPD. Importante ressaltar que a legislação regula o tratamento de dados pessoais sensíveis de uma forma especial e com maior restrição para a sua ocorrência (arts 11 a 13). 42
“Com o advento das plataformas 43 digitais e o mercado pautado em dados, a necessidade de captura de dados de saúde por parte das Operadoras de Planos de Saúde tem sido cada vez mais frequente. ”
Quais são os cuidados que os laboratórios de medicina diagnóstica devem tomar antes de decidir por compartilhar os dados? O que estão sujeitos ao tomarem esta decisão? É importante ressaltar que os dados são do paciente e os laboratórios são depositários dos dados. Ao receber solicitações de compartilhamento de dados de saúde dos pacientes, os laboratório devem tomar as seguintes cautelas3. I) Papel do Laboratório na relação jurídica O primeiro passo é entender qual é a relação jurídica entre as partes e determinar o papel e as obrigações da organização como controladora ou operadora de dados pessoais4. Neste sentido, importante frisar que nas relações “fee for service”, via de regra, o laboratório figura como operador de dados e a operadora como controladora de dados pessoais. Caso o laboratório exceda a sua competência como operador de dados pessoais, poderá responder solidariamente com a operadora por tratamentos indevidos, ficando sujeito às penalidades dispostas na legislação. II) Finalidade da solicitação de compartilhamento Requeiram informações sobre a finalidade do tratamento, que deverá ser pautado em um objetivo claro e no interesse da saúde do paciente, de acordo com a necessidade, ou seja, somente o que for estritamente necessário para o objetivo determinado e com transparência ao paciente sobre o compartilhamento. 3 FAVERO. Walquiria. LGPD NA SAÚDE: Compartilhamento de Dados na Saúde Suplementar. RT, 2021. 4 Controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais e Operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador. 44
III) Licitude e proteção do titular Uma vez identificada a finalidade, analisa-se a licitude da solicitação e medidas tomadas para os direitos e garantias pessoais do paciente. IV) Base legal Caso o laboratório entenda que tais medidas são adequadas e que atendam a LGPD, os direitos e garantias do indivíduo, e as normas do CFM, passa-se a identificar o enquadramento da base legal. À luz das normas do CFM e da sistemática do art. 11º da LGPD, percebe- se que o legislador buscou valorizar a base legal do consentimento, em detrimento das demais bases legais no tratamento de dados pessoais sensíveis, com o objetivo de trazer ciência e aprovação pelo paciente no uso dos dados pessoais de forma geral. O uso do consentimento impõe desafios ao setor pois, tanto a sua coleta, como gestão e atendimento aos direitos dos titulares, são complexos. No entanto, há a necessidade do setor investir e buscar atender os requisitos, para que ele seja coletado de forma válida, ou seja, necessita que seja livre, informado e inequívoco, devendo ainda ser oferecida uma forma de escolha efetiva separada dos termos e condições. 45
No entanto, reconhecemos que a LGPD possibilita o compartilhamento de dados pessoais de saúde, sem o consentimento do paciente, em situações em que, comprovadamente, for indispensável (sob o ponto de vista do tratamento do paciente e não no interesse do laboratório e operadora) para o: a) Cumprimento de obrigação legal ou regulatória pelo controlador5; b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) Realização de estudos por órgão de pesquisa; d) Exercício regular de direitos; e) Proteção da vida ou da incolumidade física do titular ou de terceiro; f) Tutela da saúde6; g) Garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. Em quaisquer hipóteses é importante analisar se há conflito de bases legais com o estipulado nas normas do CFM supracitadas. Na dúvida, consulte um especialista. 5 Por exemplo, para a realização de auditoria médica, nos termos da Resolução CFM nº 1.614/2001 e que deverá ser realizada por um médico “in loco”. 6 A tutela de saúde somente será aplicável nos “procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária”. Sua definição e aplicação são vagas e nos parece que no caso de compartilhamento de dados de saúde de forma sistemática, o seu uso ainda necessitará ser regulado. 46
V) Previsão específica nos Contratos Reflitam as obrigações adequadamente nos contratos (quando operador, o controlador deverá dar as adequadas orientações para a realização do tratamento de dados pessoais). É recomendável a inserção de cláusula de obrigação de não fazer seleção de riscos pela operadora. VI) Gestão de Terceiros Uma vez assinado o contrato, é recomendado que o Laboratório implemente um processo de avaliação de riscos de terceiros e gestão do contrato, determinando as medidas técnicas e administrativas para garantir a segurança dos dados pessoais. VII) Direitos dos Titulares Por fim, os Laboratórios devem construir processos eficazes para transparência e gerenciamento dos direitos dos titulares de dados pessoais. Por todo exposto, é muito importante os laboratórios terem cautela ao realizarem o compartilhamento de dados pessoais de saúde e realizar uma estrita observância aos requisitos da lei. 47
Proteção de Dados Pessoais no contexto do Recursos Humanos 48
49
A área de recursos humanos (RH) também é impactada pela LGPD, pois faz parte da sua rotina coletar e tratar dados pessoais e sensíveis durante o processo de seleção, contratação e demissão de colaboradores. Esses dados devem ser preservados nos termos da legislação sob pena da empresa incorrer nas penalidades previstas na lei. Isso significa dizer que, enquanto empregador ou tomador de algum serviço, temos responsabilidade no armazenamento correto das informações coletadas, e qualquer compartilhamento deve ocorrer de forma responsável. Na relação de trabalho, o empregador coleta informações pessoais e sensíveis de seus colaboradores. As referidas informações são coletadas desde o momento do processo seletivo, e são mantidas e armazenadas até o término da relação de trabalho, ou ainda por mais tempo quando a lei assim determinar, como, por exemplo, com relação à comunicação de acidente de trabalho (CAT), comprovantes de pagamento de benefícios reembolsados pelo INSS, salário-maternidade, atestado de saúde ocupacional (ASO), entre outros. As empresas, hoje, utilizam muitos softwares para a realização do tratamento de dados e, portanto, devemos também considerar a transferência e o compartilhamento de dados como pontos de atenção com relação à proteção de dados pessoais. Tal medida assegura que todas as informações estejam armazenadas corretamente, atribuindo responsabilidades aos prestadores de serviço (licenciador) com relação a integridade, confidencialidade e acessibilidade dos dados. 50
Search
