Uma decisão recente do Tribunal de Justiça do Estado de São Paulo (TJSP) trouxe à tona importante questionamento sobre os limites da aplicação da Lei Geral de Proteção de Dados (LGPD) no âmbito da saúde.
Um casal tentava obrigar o laboratório de fertilização in vitro a informar o sexo dos embriões. Para o relator, desembargador Francisco Casconi, a LGPD visa à proteção dos direitos de liberdade e privacidade. Na prática, isso não resulta no acesso indiscriminado a qualquer dado. A própria lei, em seu artigo 7º, inciso VIII prevê a possibilidade de tratamento de dados sem o consentimento do titular em casos relacionados a sua saúde:
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Informações de saúde são dados pessoas sensíveis
O artigo 5ª da LGPD explica o que são os dados pessoais sensíveis: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Embora o cuidado com informações de saúde não seja algo novo, com a Lei Geral de Proteção de Dados, instituições de saúde, como hospitais, clínicas e laboratórios, precisaram passar a agir com mais transparência.
Isso envolve uma mudança da cultura corporativa, investimento em Segurança da Informação e treinamento para os colaboradores.
O direito à informação não é absoluto
O compartilhamento de informações sobre a saúde dos pacientes é um dado sensível que, mesmo entre clínicas e laboratórios, não pode ser compartilhado. A exceção é o já citado artigo 7º da Lei, ou seja, os casos que, comprovadamente, o acesso a dados pessoais sensíveis é fundamental para manutenção do direito à saúde e à vida.
No mesmo sentido, o direito à informação pode ser negado quando em confronto com outros valores e direitos constitucionais.
A falta de segurança da informação na saúde
A tecnologia utilizada para melhorar procedimentos médicos e diagnósticos é altamente conectada. Computadores, prontuários eletrônicos, aparelhos de exames e até relatórios financeiros contêm informações pessoais de milhares de usuários e podem ser invadidos por cibercriminosos.
Nos últimos anos, o número de ataques a instituições de saúde aumentou 74% em 2021. Em geral, o setor é um alvo fácil já que tem histórico de baixo investimento em cibersegurança, falta de cultura de privacidade de dados e alto volume de informações pessoais armazenadas em seu banco de dados.
A LGPD prevê a possibilidade de multas e sanções administrativas em caso de vazamento de dados. Dessa forma, além de poder responder por danos materiais e morais, se houver, as instituições podem sofrer:
- advertência e exigência de adoção de medidas corretivas;
- multa de até 2% do faturamento da empresa, até R$ 50 milhões por infração;
- multa diária;
- publicização da infração;
- entre outras medidas.
Para aumentar a segurança, evitar prejuízos e priorizar o respeito aos pacientes, é importante buscar o apoio de profissionais qualificados com amplo conhecimento sobre a LGPD para atuar como Encarregado de Dados, ou DPO.
A Tonani Advogados se coloca à disposição para tirar todas suas dúvidas sobre compliance, proteção de dados e LGPD na saúde.