Inspirada no regulamento europeu de proteção de dados, em vigor desde maio de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) passará a valer a partir de agosto de 2020. A lei estabelece princípios, direitos e deveres para uso e transferência de dados pessoais no Brasil tanto por pessoas físicas quanto por empresas no setor público e privado. Falta menos de um ano para as novas regras entrarem em vigor e 85% das empresas brasileiras disseram que não estão preparadas, segundo pesquisa recente da Serasa Experian.
Conforme o estudo, com a nova lei, 73,9% das empresas esperam algum impacto ou impacto muito significativo na atual infraestrutura de TI. E no setor de saúde e farmacêutico este impacto pode ser ainda maior. O motivo é simples: hospitais, clínicas, operadoras, laboratórios e farmácias lidam diariamente com um conjunto enorme de dados pessoais.
Abrangência da LGPD
A LGPD se aplica a todas as organizações, independentemente de sua forma de constituição ou natureza jurídica, que realizem tratamento de “dados pessoais”, definidos como qualquer “informação relacionada à pessoa natural identificada ou identificável”. Por usar uma definição que depende da forma de uso de dados, e não do elo da cadeia produtiva em que a empresa se encontra, há impactos possíveis em praticamente todas as empresas da cadeia de saúde suplementar, sejam eles diretos ou indiretos. Isso inclui operadoras de planos de saúde, prestadores de serviços médicos, prestadores de serviços de apoio à medicina diagnóstica, empresas da indústria farmacêutica e de outros mercados fornecedores de insumos.
Há também um outro tipo de entidade fortemente impactado: as startups que lidam com a área de saúde. Empresas de tecnologia voltadas ao desenvolvimento de softwares e inteligência para o setor de saúde, desde aquelas que lidam com medição de glicose ou mapeamento genético até aquelas voltadas à saúde preventiva. Todas devem estar atentas à nova legislação.
Dados sensíveis
A lei define dado sensível como “dado pessoal sobre a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural“. Portanto, se a entidade tratar dados referentes à saúde ou à vida sexual, bem como dados genéticos ou biométricos, sempre que vinculados a uma pessoa – identificada ou identificável –, eles serão considerados dados sensíveis.
Qualquer dado pessoal que diga respeito a um paciente e seu histórico médico, ou mesmo a usuário ou consumidor de algum serviço ou produto correlato ao cuidado com a saúde (farmacêutico, por exemplo), deverá ser tratado como dado sensível, o que exigirá precauções especiais das organizações.
É importante ressaltar que a lei determina uma obrigação geral de consentimento. Ela exige que o titular dos dados pessoais dê aval ao tratamento. Há exceções, como o caso em que o titular já tornou seus dados públicos, e há a situação em que o consentimento tem que ser específico e destacado, e fornecido para uma finalidade específica.
Manifestação de consentimento do uso de dados
No caso de dados sensíveis, o consentimento ao tratamento dos dados deve se dar de forma específica e destacada. Essa questão merece muita atenção, pois é comum que entidades coletem dados, obtenham o aval do titular para o seu tratamento para uma determinada finalidade, e posteriormente percebam que esses dados podem ter outras aplicações.
Além disso, a lei estabelece expressamente que o ônus da prova sobre o consentimento é de quem faz o tratamento dos dados e, ainda, que o titular poderá, a qualquer momento, voltar atrás em sua decisão de consentimento. Isso exigirá das organizações:
- Mecanismos seguros de coleta da manifestação do titular, para que estejam sempre prontas para produzir, de modo ágil e seguro, provas sobre o aceite em relação ao uso de seus dados
- Instrumentos de monitoramento e controle que garantam a possibilidade de revogação do consentimento, no caso de seu acionamento pelo titular, e a imediata interrupção do tratamento dos dados quando o consentimento não for mais válido.
Compartilhamento de dados sensíveis
O texto original é bastante taxativo: é vedada a comunicação ou uso compartilhado entre controladores de dados sensíveis sobre saúde com objetivo de obter vantagem econômica, exceto quando houver consentimento do titular. Portanto, em emenda aprovada, será possível a comunicação ou o uso compartilhado desses dados desde que o titular consinta ou para a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde (como os reembolsos).
Outro ponto diz respeito à interpretação da expressão “com objetivo de obter vantagem econômica”, que pode se referir ao uso, ao compartilhamento ou à própria natureza da atividade das empresas controladoras. É provável que haja uma disputa em torno do que pretende a lei: vedar o compartilhamento remunerado, vedar o compartilhamento para uso com finalidade lucrativa ou, ainda, vedar o compartilhamento para uso de empresa que exerça atividade lucrativa. Os desdobramentos da regra em cada caso são diversos. Assim, enquanto não houver clareza sobre a forma de colher consentimento do titular e os limites do uso econômico e do compartilhamento dos dados pessoais sensíveis, as empresas devem ter atenção redobrada.
Uso em estudos públicos
A lei traz uma previsão restrita aos estudos em saúde pública, permitindo o acesso pelos órgãos de pesquisa a bases de dados, com tratamento exclusivo dentro do órgão e com finalidade restrita aos estudos. Mesmo assim, dados pessoais jamais poderão ser revelados e o órgão de pesquisa ficará responsável pela segurança das informações.
As práticas de segurança, a serem previstas em regulamento específico, devem incluir, sempre que possível, a anonimização ou pseudonimização dos dados, bem como devem considerar os devidos padrões éticos relacionados a estudos e pesquisas. Essa previsão não deixa de ser também um indicativo do que pode ser cobrado das entidades no tratamento de dados sensíveis pelo setor privado em geral.
LGPD x inovação
Uma lei de alto impacto como a LGPD não surge sem motivo. Assim como sua predecessora internacional, a GDPR, a LGPD busca reduzir o uso indevido de informações pessoais, trazendo mais segurança aos cidadãos no uso de serviços em geral.
Porém, um dos efeitos mais temidos da lei, considerando sua aplicação na área de saúde e farmacêutica, é tornar bem mais difícil que médicos e hospitais compartilhem dados com pesquisadores que podem promover a inovação, como as startups médicas (ou healthtechs). A lei impõe uma série de restrições e procedimentos, que impacta toda a cadeia de uso de dados, ameaçando eventuais incidentes com pesadas multas e interdições.
Mesmo antes da LGPD, o setor já enfrentava dificuldades neste sentido. Em primeiro lugar, os dados estão pulverizados em uma infinidade de consultórios, laboratórios, farmácias e hospitais que, por sua vez, usam diferentes sistemas de registros. Em segundo lugar, é difícil obter informações desses sistemas, pois normalmente os prestadores, em qualquer ramo profissional, não pretendem facilitar a migração dos dados. E agora, chega a LGPD.
Sua empresa está preparada para a LGPD?
Como vimos no início do artigo, a maioria das empresas brasileiras ainda não está preparada para a LGPD.
Não deixe para a última hora!
Este é o momento de rever processos, identificar e analisar os pontos onde informações sensíveis precisam ser protegidas, e então implementar os controles necessários. Quando os dados e informações são ativos essenciais e fundamentais para o negócio, as empresas precisam contar com um suporte tecnológico capaz de administrá-los de forma eficiente e segura.
Um sistema de gestão integrado se tornou indispensável para as organizações do setor de saúde e farmacêutico que buscam se adequar às exigências da LGPD. Soluções como o SoftExpert Exellcence Suite, desenvolvido pela SoftExpert Software, auxiliam na definição e implementação de políticas, padronização de processos, controle de acesso a documentos, realização de auditorias detalhadas, análise e monitoramento de riscos.
O SoftExpert Suite é uma solução corporativa para a gestão integrada da excelência, que pode atender de forma colaborativa as demandas críticas exigidas pela LGPD, buscando garantir a conformidade e a excelência no desempenho organizacional.