A Lei Geral de Proteção de Dados – LGPD (Lei 13.709/18) foi sancionada em 14 de agosto de 2018 e entrará em vigor em 16 de agosto de 2020. O prazo de 2 anos para adequação às mudanças é o mesmo da União Européia, quando da entrada da GDPR (General Data Protection Regulation), que é o Regulamento de Proteção de Dados da União Européia e considerado uma das leis de proteção de dados pessoais mais atualizadas do mundo. 

Segundo a FIESP, com a LGPD, o Brasil entra em um seleto grupo de países que contam com nível elevado de legislação em termos de proteção de dados pessoais, trazendo mais segurança jurídica para empresas e maior proteção aos direitos dos titulares dos dados, além de mais investimentos para o Brasil. A LGPD pode ser considerada a GDPR brasileira.

O prazo de 2 anos de adequação parece bem apertado, em razão das dúvidas e questionamentos que ainda existem nos diversos setores da economia e, especialmente, no setor de saúde, que lida com dados pessoais sensíveis e que precisam ser compartilhados entre os diferentes atores.

Um exemplo das dúvidas que ainda existem acerca da LGPD é o de um processo absolutamente típico do setor de saúde, que é o faturamento pelos prestadores de saúde (ex. laboratórios de medicina diagnóstica e hospitais) para as operadoras de planos de saúde pelos serviços prestados aos pacientes. A restrição quanto ao compartilhamento de dados pessoais sensíveis simplesmente trava este processo. Como conduzir o faturamento pelos serviços prestados se a operadora não puder compartilhar dados dos pacientes com as operadoras? Se os dados tiverem que ser anonimizados, como dita a LGPD, como garantir que os prestadores não enfrentem uma “enxurrada” de negativas de pagamento por parte das operadoras (o que é conhecido através do jargão “glosas de contas médicas”)?

A LGPD tem atuação abrangente, contemplando grande parte de projetos, atividades e setores empresariais que usam dados pessoais, sejam eles digitais ou registros físicos. A sua formulação seguiu o conceito expansionista de dados pessoais, tratando como dado pessoal qualquer dado que possa identificar diretamente uma pessoa (ex. RG, CPF e carteirinha de convênio médico) ou qualquer dado que possa tornar identificável uma pessoa. O difícil é saber o que não é dado pessoal. Para o setor de saúde, também é importante considerar o conceito de dado pessoal sensível, como sendo qualquer dado que possa trazer potencial discriminação a um individuo como, por exemplo, dados genéticos ou biométricos.

A Lei vale para todas as empresas de todos os setores e portes. Em saúde, isto significa uma rede de aproximadamente 800 operadoras de planos de saúde, mais de 3 milhões de profissionais de saúde e cerca de 367 mil estabelecimentos. Dentre os estabelecimentos estão: 165 mil consultórios, 60 mil clínicas, 70 mil farmácias, 25 mil laboratórios de medicina diagnóstica, 7 mil hospitais (públicos e privados) e 40 mil UBS. Importante ainda mencionar que a Lei é plural, no sentido de se aplicar a todos os departamentos das empresas que usualmente tratam de dados pessoais como, por exemplo, RH, logística, marketing, análise de dados, compliance, digital e jurídico.

Estas empresas devem se preocupar porque a Lei estabelece amplos poderes aos titulares de dados pessoais, que são as pessoas a quem se referem os dados pessoais que são objeto do tratamento, forçando uma mudança no mindset dominante no mundo corporativo, de uma coleta de dados geral e massificada, para uma coleta de dados bem mais seletiva e justificada. Alguns exemplos do poder concedido aos titulares são os direitos de anonimização; portabilidade (transferir os dados pessoais de uma empresa para outra); eliminação; informação a respeito do uso e compartilhamento dos dados; possibilidade de receber informação sobre não fornecer o consentimento e suas consequências; e a revogação do consentimento ( o titular tem direito a mudar de ideia e não querer mais que seus dados pessoais sejam usados por uma empresa). A multa pelo descumprimento da Lei pode chegar a R$ 50 milhões.

Os programas de adequação de empresas de saúde devem, portanto, considerar todos os departamentos que lidam com dados pessoais e ter um balizamento muito grande com relação a alguns princípios da Lei, que devem ser levados em consideração no tratamento e proteção de dados pessoais. Talvez os que mais geram impacto para as empresas do setor de saúde sejam:

  • Os dados devem ser utilizados apenas para finalidades especificas para as quais foram coletados e devidamente informados aos pacientes. É devido a este princípio da Lei que os pacientes de laboratórios de medicina diagnóstico devem, por exemplo, estar tendo que preencher um termo de consentimento de uso de seus dados pessoais no momento do preenchimento da ficha do paciente.
  • Somente devem ser coletados os dados mínimos necessários para a realização de suas finalidades. Será que coletar religião e estado civil em um atendimento hospitalar é realmente necessário ao tratamento adequado?
  • Princípio da retenção mínima, que estabelece imediata exclusão dos dados após atingida a finalidade pela qual eles foram coletados.

A adequação dos agentes do setor de saúde não será nada fácil. Apesar da LGPD ainda não ter engrenado como um tema prioritário na maioria da empresas, muito devido às dúvidas e questionamentos que ainda dominam as discussões, é inquestionável tratar-se de um marco legal muito importante para o país. As empresas devem tratar este tema com muito cuidado, pois, afinal, R$ 50 milhões de multa por descumprimento pode tirar do mercado muitas empresas que preferirem não dar a devida atenção ao tema.