lei protecao dados

Artigo: A Lei Geral de Proteção de Dados e sua aplicação em Saúde

Fonte: Página da Saúde

O dever de sigilo quanto aos dados pessoais não é algo novo na área da saúde, pois há muito está presente nos códigos de ética dos profissionais da saúde, como o dos médicos, dos enfermeiros e fisioterapeutas, além de estar previsto na Resolução nº 1.821/2007 do Conselho Federal de Medicina, ao tratar da guarda e manuseio dos documentos dos prontuários dos pacientes.

Nesse contexto, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), vem ao encontro do dever de sigilo já presente na área da saúde, de forma a preservar os dados pessoais dos cidadãos porventura existentes nos bancos de dados das diversas instituições do sistema de saúde, como, por exemplo, na base de dados do SUS, dos hospitais privados ou das operadoras de planos de saúde.

Lei 13.709/2008 classifica as informações referentes à saúde do cidadão como um “dado pessoal sensível”, e destina uma seção da Lei para regular a forma como os dados pessoais sensíveis serão tratados.

Em regra, o tratamento dos dados pessoais sensíveis, o que inclui qualquer operação realizada com os dados relativos à saúde de um cidadão, depende do consentimento do titular desse dado ou de seu representante legal e deve ser para uma finalidade específica.

Esse requisito é válido tanto para a iniciativa privada quanto para a Administração Pública.

A Lei Geral de Proteção de Dados estabelece, no entanto, algumas hipóteses que permitem o tratamento de dados em saúde sem o consentimento do titular ou de seu representante legal, como, por exemplo:

i) para cumprimento de obrigação legal ou regulatória;

ii) para viabilizar a execução políticas públicas previstas em leis ou regulamentos;

iii) para fins de estudos por órgãos de pesquisa, garantida a anonimização dos dados;

iv) para exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

v) para proteção da vida ou da incolumidade física do titular ou de terceiros;

vi) para tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; e

vii) para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

As hipóteses legais que dispensam o consentimento do titular dos dados devem ser interpretadas como situações excepcionais e que não afastam a obrigação de sigilo imposta aos profissionais de saúde que eventualmente sejam responsáveis pelo tratamento dos dados pessoais.

lei-segredo-dados-saúde

Neste aspecto, a interpretação do dever legal de sigilo deve ser feita de forma a harmonizar as obrigações e exceções trazidas pela Lei Geral de Proteção de Dados e os deveres de sigilo já estabelecidos aos profissionais de saúde, por meio de seus respectivos códigos de ética.

 De toda forma, os dados relativos à saúde jamais poderão ser utilizados, sem o consentimento do titular, para hipóteses não excepcionadas pela Lei Geral de Proteção de Dados, como, por exemplo, para fins comerciais ou para dificultar a contratação de plano de saúde em razão de doenças pré-existentes.

Ademais, as instituições que porventura infringirem as obrigações impostas na Lei 13.709/2008, desrespeitando o dever de sigilo e os limites de tratamento de dados relativos à saúde, estarão sujeitas a reparar os danos causados aos titulares dos dados violados, além de sofrerem sanções que podem chegar a uma multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício.

Já o profissional que, eventualmente, venha a desrespeitar o dever de sigilo e proteção de dados, estará sujeito a responder perante seu respectivo conselho de classe, além de reparar eventuais perdas e danos que causar ao titular dos dados violados.

lei-proteção-dados-plano-de-saúde

*Rafael Robba é advogado especialista em Direito à Saúde, sócio do escritório Vilhena Silva Advogados.