Em meados de outubro de 2020, foi noticiado nos principais canais de comunicação do mundo, o caso de pacientes de uma grande clínica de psicoterapia na Finlândia que sofreram extorsão de hackers que, após terem invadido o sistema da clínica com arquivos confidenciais, exigiram o pagamento de 200 euros em bitcoins para não tornar pública na internet as conversas trocadas entre pacientes e seus respectivos terapeutas[1].
No Brasil, temos também casos como o vazamento de dados no e-SUS de aproximadamente 243 milhões de pessoas[2]. Ou ainda, como não lembrar do emblemático caso da atriz Klara Castanho que teve exposto publicamente o processo de doação de um filho que gerou decorrente de um estupro, sendo que o vazamento desta informação teria ocorrido por meio de uma enfermeira que participou do parto?[3]
Passados quatro anos desde a entrada em vigor da LGPD, ainda não é incomum observar que empresas enfrentam inúmeras dificuldades na implementação do programa de adequação à LGPD, em especial quando pensamos em pequenas e médias empresas.
As dificuldades são de várias ordens, desde orçamentos ínfimos à própria percepção de que são agentes controladores de dados, passando pelas velhas questões de cultura e educação.
O grande gargalo parece estreitar quando se refere à área da saúde, naturalmente, em função da essência da sua atividade, considerando não apenas o volume de dados pessoais, mas, principalmente, pela natureza deles, já que, primordialmente empresas da área da saúde acabam lidando com dados sensíveis (art. 5, II, da LGPD), e que dada a sua natureza personalíssima e de grande risco ao titular, atrai para si um critério mais rigoroso para o seu tratamento.
Um dado de saúde vazado pode causar prejuízos de grande ou de difícil reparação ao titular!
Um levantamento realizado pelo Serasa Experian, revelou que, em média, 40% dos dados pessoais são coletados de forma pessoal. Na área da saúde e hospitalar, o percentual é bem maior, podendo chegar a 60%[1]
Quando pensamos nos impactos da LGPD na área da saúde, não se restringe tão somente a classe médica e as grandes infraestruturas hospitalares, muito pelo contrário, a área da saúde conta com uma rede de atuação comparáveis a teias de aranha: complexas, orgânicas, abrangentes e altamente reguladas, tanto públicas quanto privadas. E não, não se resumem à medicina.
Para além dos dados sensíveis, invariavelmente existe ainda a coleta e o tratamento de dados pessoais de menores, outra categoria de dados que teve especial abordagem pela LGPD, já que, segundo o art. 14, tais dados somente podem ser tratados mediante o consentimento dos pais ou representantes legais.
Não somente isto, quando pensamos ainda não área da saúde, não podemos deixar de observar a incidência regulatória de a) diferentes conselhos profissionais; b) compartilhamento e guarda de documentos (relatórios, prontuários, atestados etc.) tanto em meio físico quanto em meio digital; c) tratamento de dados financeiros dos pais e responsáveis; d) uso de aplicativos de mensagens em celulares pessoais; e) além de rotineiras aplicações comuns a basicamente todos os negócios (dados dos empregados, controle de jornada biométrica, contratos com fornecedores e terceiros, pouca ou nenhuma maturidade em segurança da informação e educação para privacidade e proteção de dados).
Todo esse contexto de atividade de tratamento de dados é realizado por microempresas ou empresas de pequeno porte da área da saúde que não possuem, em sua maioria: a) consciência de que é um agente de tratamento; b) de que exerce uma atividade sujeita às normas; c) da necessidade de adequação; d) da importância da conscientização dos envolvidos; e) da natureza sensível dos dados tratados; e f) de como resolver tudo isso sem parar os atendimentos necessários aos pacientes.
Um eventual vazamento em uma clínica médica, poderá acarretar uma série de responsabilizações jurídicas de várias ordens – cível, trabalhista, consumerista, administrativa, disciplinar etc. No caso da clínica Finlandesa, por exemplo, significou a sua falência em razão do elevado prejuízo financeiro e reputacional causado pelo incidente .[2]
Diante dessa miríade de desafios, o que fazer para assegurar que os dados pessoais tratados no contexto da saúde?
Um robusto programa de Privacidade e Proteção de Dados, é formado por uma série de ações que podem variar muito a depender do perfil de cada empresa e o ramo de atuação, mas o que não pode faltar em programa de privacidade e proteção de dados focado na área da saúde: a) mapeamento dos dados; b) atribuição da base legal adequada para cada tipo de tratamento de dados pessoais; c) mapeamento das legislações incidentes; d) controle de acesso aos dados pessoais; e e) conscientização e treinamento eficaz.
Estar em conformidade coma LGPD, além de trazer maior segurança jurídica, estabelece um elo de confiança e transparência entre a Empresa e o titular de dados, tornando-se um diferencial competitivo, além de transmitir uma mensagem de que a empresa se preocupa com a privacidade e a proteção dos dados de seus clientes e parceiros comerciais.
Se a sua clínica médica ou hospital ainda não conta com um Programa de Privacidade e Proteção de Dados, entre em contato, o nosso escritório conta com soluções personalizadas para adequar sua empresa e elevar o nível de maturidade à LGPD.
[1] https://www.consumidormoderno.com.br/category/defesa-do-consumidor/
[2] https://www.cisoadvisor.com.br/invasao-leva-a-falencia-clinica-finlandesa-de-psicoterapia/
LGPD APLICADA: Fabiani Oliveira Borges da Silva. Fls. 171/192
[1] https://g1.globo.com/mundo/noticia/2020/10/26/hackers-extorquem-milhares-de-pacientes-de-psicoterapia-na-finlandia.ghtml
[2] https://minutodaseguranca.blog.br/vazamento-no-e-sus-expoe-dados-de-243-milhoes-de-pessoas/
[3] https://www.gazetadopovo.com.br/vida-e-cidadania/atriz-revela-que-foi-estuprada-e-entregou-bebe-para-adocao/#:~:text=A%20atriz%20Klara%20Castanho%2C%20de,a%20gesta%C3%A7%C3%A3o%22%20aos%20sete%20meses.