A Lei Geral de Proteção de Dados – Lei 13.709/2018, conhecida como LGPD, trouxe uma grade mudança cultural no que se refere à proteção de dados pessoais, seja no meio físico ou no digital.

Tal normativa dispõe em seu artigo 5º, inciso X, um rol exemplificativo sobre o conceito de tratamento de dados: “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”; e traz no artigo 7º, as hipóteses do referido tratamento.

Em se tratando de dados, a lei também estabelece a definição de dados pessoais, sendo informações relacionadas à pessoa natural que pode ser identificada ou identificável (art. 5º, I). Assim, os dados pessoais não são consideradas simples informações, dependem de um vínculo, sejam estes: imagem, textos, características, números, localização, cor da pele, etc., com o indivíduo (titular), que poderá, portanto, ser reconhecido.

Qualquer dado que possa implicar em personalização, destacando uma pessoa das demais, pela combinação de dados, é considerado dado pessoal, um exemplo disso é o profile, no qual o perfil do indivíduo é traçado por meio de informações variadas coletadas e cruzadas, sendo reconhecido e identificado o titular.

Igualmente importante, o conteúdo da norma inserida no art. 5º, inciso II, da LGPD, que dispõe sobre dados pessoais sensíveis, explicitando um rol, considerado taxativo, onde se encontram os dados de saúde, dentre outros de igual relevância.

É com base nos dados de saúde, em razão de sua sensibilidade e do alto grau discriminatório, que se encontra o escopo do tratamento diferenciado, devendo ser utilizado com ainda mais cautela e proteção, não importando o meio, sejam eles físicos ou digitais.

Assim, os dados tratados na área da saúde como os inseridos nos prontuários médicos eletrônicos ou físicos, nas receitas, guias de internação, nos pedidos de exames, resultados, dentre outros, fazem parte de um enorme conjunto de dados considerados sensíveis.

No que se refere ao prontuário, considerado como uma das principais fontes de dados na saúde, sendo instrumento referente ao histórico de vida e saúde do paciente, regulamentado pela Resolução 1.638/2002 do CFM, possui um conjunto de informações, sinais e imagens contidas em um documento riquíssimo de informações, de caráter legal, científico e sigiloso que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo.

A partir da Resolução 1.639/2002 do CRM veio a regulamentação sobre a forma e estrutura do prontuário eletrônico, possibilitando, inclusive, a eliminação de documentos físicos. Resoluções posteriores, como a 2.218/2018, estabeleceu patamares de segurança e utilização de certificados digitais.

Com o avanço da tecnologia tornou-se possível a formação de um banco de dados mais amplo, além da estruturação em um único documento facilitando a inserção de dados de vários profissionais que assistem aos pacientes. Tais tecnologias sem dúvida trazem diversos benefícios aos pacientes, como por exemplo o acesso mais fácil aos dados por meio dos prontuários eletrônicos pelos médicos e equipe no qual está tratando o titular, registros eletrônicos de saúde, uso de inteligência artificial dentre outros, e por outro lado, há riscos inerentes ao tratamento, inclusive quando se fala em vazamento de dados de saúde.

Da análise dos dados pessoais tratados em documentos relacionados à área da saúde, em especial o prontuário médico, depreende-se três vertentes: a primeira que se refere a dados de identificação do paciente, como nome, endereço, CFP, número da carteira do SUS ou plano de saúde, data de nascimento, etc.; a segunda, é sobre os dados considerados sensíveis, como informações cirúrgicas, anamnese, remédios de uso contínuo, vacinas, dentre outros e por último, os dados que alimentam os processos de tomada de decisão econômica e administrativa, como número de atendimentos, internações, frequência de exames, etc.

Extrai-se que são muitos os dados tratados na área da saúde e dentre eles, muitos são sensíveis, referentes à vida sexual, saúde, biometria, informações genéticas, convicções religiosas, dados étnicos, etc.

Ressalta-se que a relação médico-paciente, já reconhecidamente sigilosa, conforme o Código de Ética Médica prevê, com atributos de segurança e privacidade, reveste-se ainda mais, com o advento da LGPD, de maior proteção e comprometimento, pelo fato do tratamento de dados sensíveis e da necessidade de sua proteção de maneira eficaz.

Importante destacar que o direito do titular se estende, além da LGPD, com o advento da Emenda Constitucional 115/2022 que inseriu na Constituição Federal a proteção dos dados pessoais como garantia fundamental, além do direito já garantido à intimidade, honra e vida privada.

A nova Lei Geral de Proteção de Dados dispõe sobre os princípios que regem a atividade de tratamento de dados pessoais, inseridos no art. 6º, sendo de suma importância sua observância para o cumprimento, além de estabelecer um regime mais rigoroso e específico para o tratamento de dados sensíveis.

Relevante dizer que, em se tratando de dados sensíveis, não são todas as bases legais que deverão ser aplicadas, sendo que a base referente ao consentimento é destaque quando considerado no âmbito da saúde, exigindo forma específica, destacada e com finalidade específica (art. 11, I), inobstante a não obrigatoriedade de forma expressa, não pode se presumir a aceitação, ou seja, o consentimento deve vir externado pela vontade inequívoca e livre do titular, o que claramente caracteriza a autodeterminação.

A base legal do consentimento na LGPD pode não ser o meio principal para o tratamento de dados pessoais, uma vez que cabe a revogação a qualquer momento, todavia, não deve ser desprezado quando se trata de dados pessoais sensíveis, como os da área da saúde. Tal fato pode ser corroborado pela determinação do artigo 11 que em seu inciso I traz de forma específica tal hipótese, além de admitir a dispensa do consentimento no inciso II, vejamos:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

Assim, o consentimento obteve um grau de importância quando se trata de dados sensíveis, deixando de ser exigível apenas nas hipóteses elencadas nas alíneas do inciso II: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Ainda, prevê a vedação da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: I – a portabilidade de dados quando solicitada pelo titular; ou II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.

Logo, falar de tratamento de dados da saúde, e suas diversas vertentes e aplicabilidades segundo a LGPD é um assunto amplo e complexo, que demandariam vários temas para um livro inteiro, descabendo aqui uma análise mais aprofundada, uma vez que o tratamento compreende todo o ciclo de vida dos dados em uma organização, desde a coleta, todo o processamento, até sua exclusão, atingindo desde os direitos dos titulares, dados de terceiros, o consentimento, a autorização do tratamento sem a necessidade de consentimento, uso de bases legais com finalidades específicas, anonimização, vedações de comunicação, além de restrições ao tratamento quando se trata de finalidade econômica, dentre outros vários assuntos, bem como a aplicabilidade da LGPD nas Resoluções do CFM, normas complementares, legislações correlatas e aspectos relacionados aos meios digitais e a segurança da informação.

O setor na saúde, apesar de tratar de dados em sua maioria sensíveis, e possuir o grau de risco altíssimo, por manter um grau de sigilo nas relações, usar do consentimento para determinados tratamentos e procedimentos, respeitar o vínculo (médico-paciente) proveniente da confiança e da privacidade, já incorporadas algumas práticas de regulação ética, de formação, estruturação e compartilhamento de dados, em virtude de normas regulatórias advindas do Conselho Federal de Medicina, tornam-se mais propenso a adequação à LGPD.

Necessária, portanto, a observação, ante ao avanço tecnológico e da própria medicina, no que diz respeito ao uso de novas tecnologias, informação digital, sistemas, não somente quanto aos softwares e de informática, mas ao fator humano responsável pelo funcionamento dos referidos sistemas, promovendo sempre treinamentos, melhorias e provendo a segurança e privacidade das informações em toda fase que consiste o tratamento de dados pessoais sensíveis.

Portanto, não basta a melhor tecnologia, mecanismos de segurança e avançados sistemas de proteção, se o colaborador não está preparado, treinado, ciente de suas obrigações e devidamente orientado quanto ao processamento de tratamento de dados pessoais, sensíveis ou não, e que em virtude da falta de algum destes, pode vir a causar uma enorme falha e consequente dano aos titulares de dados e à própria organização.

E por fim, relevante ainda mencionar que, ao contrário dos demais dados pessoais, os dados relacionados à saúde não podem ser objeto de tratamento com a justificativa do controlador sob a ótica do interesse legítimo, mas isso é matéria para um próximo artigo.

Assim, os apontamentos trazidos sobre o tratamento de dados na saúde ficam para a reflexão e consciência de que a LGPD veio modificar a forma de uso de dados pessoais, onde o titular é o protagonista de seus dados que na esfera da saúde são considerados sensíveis, devendo ser assegurados os direitos da personalidade, privacidade, intimidade, imagem, autodeterminação, liberdade e não discriminação, havendo uma proteção reforçada, sendo primordial que o tratamento seja realizado de acordo com as bases legais, com padrões adequados de proteção e segurança, durante todo o ciclo de vida dos dados pessoais, e que o consentimento deve ser considerado como um fator importante, mesmo que haja sua mitigação em determinados casos, conforme explicitado anteriormente.

Dra. Tereza Cristina Machado – Especialista em LGPD, Direito Médico e da Saúde e Direito Material e Processual do Trabalho; Idealizadora e CEO da Compliance Dados.