LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

por Morgana Casagrande[i]

Este breve documento foi elaborado a pedido da Sociedade de Neurocirurgia do Rio de Janeiro, por meio de sua Diretoria e do Comitê de Ética, considerando que os médicos associados serão afetados, em menor ou maior medida, pela Lei Geral de Proteção de Dados.

DISPOSIÇÕES GERAIS

●        A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, como a coleta, a recepção, a utilização, o acesso e o arquivamento dos dados;

●        Para fins da Lei, são considerados dados pessoais, dentre outros, aqueles referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural, e qualquer outra informação relacionada a pessoa natural identificada, como nome e CPF, ou identificável, como profissão e características físicas;

●        Aplica-se a pessoas físicas e pessoas jurídicas que tenham acesso a dados pessoais, como por exemplo, aqueles dispostos nas fichas de cadastro de pacientes;

●        Tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade;

●        O profissional médico, hospital, fornecedor de OPME, e/ou a clínica, dentre outros, que faz o tratamento dos dados pessoais é o responsável pela segurança das informações tratadas;

●        Na hipótese de causar danos patrimoniais ou morais ao titular dos dados, o responsável pelo tratamento deverá ressarci-lo, além de estar sujeito a sanções administrativas, que variam desde uma advertência a multas e outras medidas inibitórias;

●        A Lei entrou em vigor em 18 de setembro de 2020 e a aplicação de penalidades inicia-se a partir de 1º de agosto de 2021.

 

SUGESTÕES PARA O CUMPRIMENTO DA LGPD PELOS PROFISSIONAIS MÉDICOS

●        Há diversas bases legais que justificam o tratamento de dados. Para fins clínicos, de modo geral, o tratamento de dados pessoais deve ter o consentimento por escrito pelo titular dos dados ou de seu representante legal;

●        O referido consentimento deve ter finalidade específica (autorizações genéricas são consideradas nulas) e pode prever autorização para comunicação e compartilhamento dos dados obtidos, como por exemplo com hospitais, fornecedores de próteses e outros serviços de terapia e diagnose, que precisam ter acesso aos dados para exercício de sua própria atividade;

●        Nas anamneses, escritas ou verbais, deve ser solicitado somente dados pessoais que tenham um propósito específico e legítimo, como por exemplo, aqueles decorrentes de obrigações legais ou profissionais;

●        Deve-se evitar a coleta de dados sem destinação médica específica;

●        Atestados médicos, relatórios médicos e documentos similares que contenham informações a respeito do paciente devem ser entregues somente ao próprio ou a seu representante legal. A entrega a familiares e terceiros deve ser expressamente autorizada pelo paciente.

●        Os diagnósticos devem ser dados exclusivamente ao paciente ou seu representante legal, sem a presença de terceiros. O paciente ou seu representante legal deve autorizar que terceiros, mesmo que parentes em primeiro grau, tenham acesso ao seu diagnóstico;

●        Deve-se minimizar o número de pessoas que têm acesso aos dados pessoais, estabelecendo processos e responsabilidades claras, com o objetivo de mitigar qualquer vazamento ou uso indevido de informações. Isso inclui a adoção de firewalls adequados para evitar o acesso de hackers em arquivos digitais;

●        Os dados pessoais dos pacientes devem ser eliminados apropriadamente quando a finalidade para a qual foram tratados foi alcançada ou deixaram de ser pertinentes ao alcance da finalidade específica almejada;

●        O titular dos dados tem direito a informações sobre o tratamento de seus dados, portanto, é importante estar preparado para informar a respeito de forma clara e completa;

●        O titular dos dados também tem direito a revogar o consentimento fornecido, ratificados os tratamentos realizados sob amparo do mesmo, e a requerer que seus dados sejam eliminados, total ou parcialmente, exceto sob algumas hipóteses, como por exemplo, a necessidade do cumprimento de obrigação legal ou regulatória pelo controlador dos dados;

●        O tratamento de dados pode ser efetuado para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.

 

Os pontos citados acima são destaques da Lei para a área médica, compilados com o objetivo de auxiliar os associados à SNCRJ e outros interessados no cumprimento das determinações legais. Não tem a intenção de ser um artigo científico ou acadêmico, nem um parecer jurídico, mas tão somente um documento informativo.

 

[i] Morgana Casagrande é advogada especializada em Compliance, certificada pela Society for Corporate Compliance and Ethics como Certified Compliance and Ethics Professional-International (CCEP-I), Presidente do Conselho Deliberativo do Instituto Compliance Rio (ICRio) e consultora associada da CompliancePME.