Neste artigo, relacionado à Lei Geral de Proteção de Dados Pessoais (LGPD), um setor importante entra em cena, o da saúde. Este é, provavelmente, um dos setores que mais tratam dados considerados sensíveis pela nova legislação – artigos 5º e 11º da LGPD – e que terá grandes desafios para se adequar.
Segundo pesquisa de setembro de 2019, realizada pela Serasa Experian, 85% das empresas ainda não se sentem prontas para atender às novas regras da LGPD. O levantamento, que ouviu um universo de 508 empresas, de todos os portes e segmentos, indicou, ainda, que os setores financeiro, serviços e varejo estão mais preparados para a lei. O de saúde ocupa a última posição, com apenas 8,7% das companhias em conformidade com a lei.
Por certo, um dos primeiros desafios está relacionado a conseguir estabelecer uma cultura maior de segurança de informações nos operadores da saúde, especialmente nos profissionais do dia a dia, como médicos e enfermeiros, visto que nas rotinas de trabalho, devido às grandes demandas, urgências, pouco tempo e o fato de que lidam com a vida das pessoas, ainda há necessidade de se fortalecer as melhores práticas básicas como proteção de senha, controle de acesso e descarte seguro.
Quando a pauta é proteção de dados pessoais e dados pessoais sensíveis na saúde, devemos lembrar que há todo um ecossistema interligado, que vai da clínica médica ao hospital, perpassa o laboratório, a farmácia, o próprio paciente e os agentes de saúde, bem como toda a esfera pública – como o Sistema Único de Saúde (SUS). Ou seja, alcança desde o registro de um simples cadastro em um consultório até a entrada em um PS de um hospital (público ou privado).
E é por esse mesmo motivo, devido a esse grande volume de dados pessoais sensíveis, que o setor também atrai a atenção das quadrilhas, do crime organizado digital que mira no ataque a essas estruturas, visando obter alguma vantagem. Os principais tipos de ataques envolvem o sequestro de dados (ransomware) com a prática da chantagem (crime de extorsão).
Ou seja, vamos do risco de uma exposição (vazamento) até uma situação de perda (hipótese da criptografia de dados não autorizada onde não haja backup para recuperar e a instituição fica refém do criminoso digital).
As organizações de saúde precisam, portanto, investir tempo, capital financeiro e recurso humano para mudar sua perspectiva e abordagem, já que para estar em conformidade com a nova regulamentação de proteção de dados pessoais é essencial aplicar melhores práticas de cibersegurança.
“Organizações de saúde precisam investir tempo, capital financeiro e recurso humano para mudar a perspectiva e abordagem do setor”
A LGPD descreve novas políticas rigorosas para o controle de todo o ciclo de vida dos dados pessoais que vai de coletar, processar até descartar os dados. As organizações de assistência médica estão em uma posição crítica nesse contexto, pois lidam com todo um espectro de dados – de registros financeiros e informações de seguro de saúde a resultados de testes de pacientes e informações biométricas.
Ademais, há uma preocupação adicional com os fornecedores (terceirizados) e, dependendo do caso, há sim internacionalização do dado pessoal, visto que no uso das tecnologias na medicina, principalmente as que envolvem telemedicina, as informações do paciente podem parar em outro país, inclusive para análise de outros profissionais.
Portanto, há necessidade de uma revisão e adequação documental para cumprir com a LGPD, que inicia nos avisos legais de tratamento de dados pessoais com informações para cumprir com os princípios do artigo 6º sobre finalidade, adequação e necessidade, que determina que o tratamento de dados pessoais ocorra com propósitos legítimos, específicos, explícitos e informados, compatíveis com a finalidade informada e limitados ao mínimo necessário.
Alguns desses dados são mais sensíveis do que as informações típicas coletadas por organizações que não são da área da saúde. Isso porque elas são vinculadas exclusivamente a um indivíduo e, na maioria das vezes, são inalteráveis. Por exemplo, uma pessoa pode criar um endereço de e-mail, mas não pode alterar seu histórico médico ou seus registros dentários, tornando-se uma séria preocupação com a privacidade se esses dados forem vazados.
Você deve se lembrar que no início de 2018 uma falha de segurança no aplicativo E-Health, fornecido pelo Ministério da Saúde, teria exposto por meses dados pessoais de milhares de usuários brasileiros do SUS. Por meio de uma brecha no sistema, era possível acessar dados básicos, como cartão do SUS, o titular, informações médicas detalhadas, e histórico de abstinência de medicamentos e agendamentos.
O caso acendeu o alerta vermelho sobre a privacidade de dados, mas também sobre a posse e o consentimento no uso dos dados médicos. Na LGDP, dado pessoal sensível é considerado o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Um ponto importante da LGPD na saúde é que o setor não está obrigado a ter o consentimento em todas as situações de tratamento de dados (são as hipóteses de exceção tratadas principalmente nos artigos 7º, 10º e 11º). Isso mesmo! A dispensa ocorre nos casos de proteção à vida ou tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa.