LGPD: Qual a relevância para a área da saúde?

Resumo: A Lei Geral de Proteção de Dados (LGPD) promete colocar o Brasil entre os países que mais se destacam em questões envolvendo privacidade. Um pontos principais está relacionado a inclusão de dados relativos à saúde do indivíduo entre dados sensíveis, os quais não poderão sofrer qualquer tipo de tratamento. Condição que impacta diretamente nas empresas de saúde.

Mesmo com as alterações trazidas pela Medida Provisória (MP) n°869/2018, que estendeu o prazo para a entrada em vigor da Lei Federal n° 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) – ela já é uma realidade e também motivo de preocupação para muitas empresas que tratam dados obtidos juntamente a seus clientes ou para aquelas que coletam e arquivam esses dados.

Nitidamente, através da introdução de conceitos específicos, especialmente os que definem o que são dados pessoais e os chamados dados sensíveis, não há como negar que a LGPD insere uma nova percepção acerca da captação e a utilização de dados por pessoas físicas ou jurídicas.

Isso se dá pelo fato de que, dependendo dos dados que são capturados, o usuário deve ser previamente comunicado sobre o que será feito com os dados captados, assim como se o indivíduo consente ou não com aquela utilização.

As definições em relação aos tipos de dados estão estampadas no art. 5°, da LGPD, de onde se extrai que:

Art. 5º  Para os fins desta Lei, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

[…]

Além disso, a LGPD prevê que para cada finalidade de tratamento, deve haver uma manifestação livre, informada e inequívoca de concordância pelo titular de dados pessoais.

Entretanto, alguns dados, conforme observado, possuem uma classificação diferenciada, inseridos no conceito de dados sensíveis, os quais não admitem tratamento algum, nem pelo detentor dos dados e nem por terceiros interessados.

A importância disso se dá porque inseridos no rol dos dados sensíveis estão os dados relativos à saúde do indivíduo. Sendo assim, clínicas, laboratórios, hospitais, serviços de saúde, startups de saúde, empresas farmacêuticas, centros de pesquisa clínica e demais instituições de saúde, privadas ou públicas, deverão criar mecanismos para garantir a proteção dos dados de seus clientes ou pacientes a acessos indevidos, exposições desnecessárias ou mesmo vazamentos acidentais ou ilícitos, se não quiserem sofrer as duras penalidades previstas na legislação, que serão aplicadas através da Agência Nacional de Proteção de Dados – ANPD.

Entre as sanções dispostas na lei, conforme previsão contida no art. 52, II, da LGPD, está a possibilidade de aplicação de multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Importa ainda destacar da leitura do referido inciso que a multa será aplicada por infração, ou seja, para cada indivíduo afetado e não ao evento como um todo.

Sendo assim, inevitavelmente a aplicação da sanção de multa pode colocar em risco não apenas a saúde financeira da empresa, mas a sua própria existência no mercado.

Portanto, é preciso que as empresas da área de saúde comecem desde já a implementar ou mesmo melhorar as políticas internas relativas à privacidade de dados, assim como reavaliar a importância de todos os dados que estão coletados para o desenvolvimento da prestação de serviço proposta, para dessa forma diminuir os riscos de exposição desnecessária de dados sensíveis, bem como evitar a aplicação de sanções administrativas pela Agência competente.