Lidia Hatsumi Yoshikawa*
As clínicas e os laboratórios de saúde em geral, que tratam os dados coletados em território nacional, estão no âmbito de aplicação da LGPD. E a regulamentação desta norma para fins de sua implementação por parte destes prestadores de serviços de saúde deve considerar duas características específicas: porte da clínica ou do laboratório e natureza da atividade desenvolvida.
A proteção de dados pessoais, enquanto instituto jurídico, consolidou-se no Brasil com a aprovação da Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709, de 14 de agosto de 2018 –, muito embora o tema tenha permeado nosso ordenamento jurídico associado aos direitos à privacidade, do consumidor e como garantia das liberdades individuais. A garantia destes direitos está contemplada na Constituição Federal, no Código Civil, no Código de Defesa do Consumidor, na Lei de Acesso à Informação, no Marco Civil da Internet e em outras leis esparsas.
Com a aprovação da LGPD, o Brasil une-se a outros 140 países que possuem normatização sobre a proteção de dados pessoais.
O tratamento de dados da saúde, definidos na LGPD como dados sensíveis, encontra-se regulamentado pelas normas do Conselho Federal de Medicina (CFM), entre as quais se destacam a Resolução nº 1.331/1989 (revogada pela Resolução nº 1.638/2002, por sua vez revogada pela Resolução nº 1.821/2007), que dispõe sobre as regras gerais sobre o prontuário médico, e a Resolução nº 2.217/2018, que dispõe sobre o Código de Ética Médica.
A LGPD impõe obrigações comuns a todas as pessoas jurídicas que tratam dados no Brasil, a saber: a necessidade de atender a solicitações do titular dos dados sem custos e nos prazos previstos em regulamento; a manutenção do registro das operações de tratamento de dados pessoais; a elaboração de relatório de impacto à proteção de dados pessoais; o tratamento de dados em conformidade com a legislação; a indicação do encarregado de tratamento de dados pessoais; as regras sobre portabilidade de dados dos titulares; a garantia de segurança, boas práticas e governança de dados pessoais.
As clínicas e os laboratórios de saúde em geral, que tratam os dados coletados em território nacional, estão no âmbito de aplicação da LGPD. E a regulamentação desta norma para fins de sua implementação por parte destes prestadores de serviços de saúde deve considerar duas características específicas.
A primeira refere-se ao porte da clínica ou do laboratório. A LGPD contempla tratamento diferenciado para as pequenas e médias empresas (PMEs), o que implica possível simplificação do regime jurídico a ser adotado, como a possível dispensa de indicação de encarregado de dados ou a realização desta tarefa de forma diferenciada, a fixação de prazos mais amplos para cumprimento das obrigações legais e a não obrigatoriedade de elaboração de relatório de impacto à proteção de dados pessoais.
A segunda característica é a natureza da atividade desenvolvida, especialmente pelas clínicas e pelos laboratórios da área de reprodução humana assistida, que demanda o sigilo absoluto na coleta e no tratamento dos dados, incluindo os de imagem. Aqui, a segurança dos dados ganha relevância na medida em que os riscos de vazamento devem ser mitigados, quiçá anulados.
A Autoridade Nacional de Proteção de Dados (ANPD), instituída no final de 2020 como órgão da Presidência da República, priorizou as PMEs em sua agenda regulatória. A ANPD pretende editar o regulamento para estas empresas no primeiro semestre de 2021.
As entidades privadas de saúde têm se mobilizado para acompanhar este novo marco normativo da LGPD, principalmente para manter a segurança jurídica dos seus parceiros comerciais.
Neste sentido, a Federação Brasileira de Hospitais (FBH), que representa, principalmente, os pequenos e médios hospitais, que possuem até 150 leitos, instituiu a Comissão de Regulamentação da LGPD com a finalidade de auxiliar os seus associados na adequação e na produção de um instrumento jurídico comum, de acordo as normas do CFM e da Agência Nacional de Saúde Suplementar (ANS). Os trabalhos desta Comissão seguem a agenda da ANPD de regulamentação para as PMEs.
A Confederação Nacional de Saúde (CNSaúde) lançou o Código de Boas Práticas para os prestadores de serviços privados de saúde, e a Associação Nacional dos Hospitais Privados (ANAHP) possui o seu Manual de Melhores Práticas para a LGPD.
Vale destacar que a adoção de boas práticas de conduta para a proteção de dados pelos diversos prestadores de serviços tem sido incentivada pela ANPD.
O diálogo com as agências de regulação, em especial com a ANPD e a ANS, com o Ministério Público e o Poder Judiciário, tem sido objeto de iniciativas exitosas por parte das entidades de saúde em busca de um ambiente de educação que visa a uma cultura de proteção de dados pessoais e de segurança jurídica para a continuidade de suas atividades de natureza essencial.
Assim, o desafio que se impõe para as clínicas e os laboratórios é construir o caminho para a implantação das obrigações legais trazidas pela LGPD, com a necessária segurança jurídica para o desenvolvimento das suas atividades, mantendo-se as relações contratuais existentes. Para isto, é necessário acompanhar a agenda regulatória para o setor pela ANPD, de maneira a se obter a melhor regulação possível, e investir em treinamento de recursos humanos e em sistemas de segurança para a proteção de dados dos seus usuários.
* Secretária-geral adjunta da Comissão de Relações Institucionais e Governamentais da OAB – Secção do Distrito Federal. Membro da Comissão de Direito Administrativo e da Comissão de Mulheres da OAB – Secção do Distrito Federal. Integrante da Frente Empresarial em Defesa da LGPD e da Segurança Jurídica.