por Aline Barandas

Por uma questão legal e regulamentar, os profissionais da área da saúde devem realizar anamnese, que consiste na entrevista inicial do profissional da saúde com o paciente, bem como armazenar seguramente seus prontuários, definidos pela Resolução 1638/2002 do CFM como:

“Documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo.”

Vale aqui destacar a forma eletrônica desse documento, os PEPs – Prontuários Eletrônicos dos Pacientes, que com o avanço do mundo digital e a telemedicina, principalmente pós pandemia, teve um aumento exponencial.

O prontuário médico integra ao menos duas classes de dados pessoais do titular/paciente: os de identificação e os dados referentes à saúde, esses definidos como sensíveis pela Lei Geral de Proteção de Dados.

Portanto, imediatamente no atendimento entre profissional e paciente há uma coleta expressiva de dados pessoais – aqueles que identificam ou são capazes de identificar o seu dono (titular) – e também dados sensíveis (que possuem uma proteção e preocupação maior do legislador), o que demonstra a atenção e o alerta que o setor da saúde deve dar a novel legislação de segurança de dados brasileira – a LGPD (Lei 13.709/2018).

A luz da LGPD, além das regulamentações específicas da área de atuação do profissional da saúde, surge ao mesmo a responsabilidade de um tratamento seguro desses dados documentados. Não só pelo extenso prazo de armazenamento dos prontuários, por exemplo, que são de 20 anos (Lei 13.787/2018), ou, por seu conteúdo trazer inúmeros dados sensíveis, mas pela própria relação de confiança exigida entre paciente/titular de dados e profissional/controlador de dados.

Ao ceder seus dados pessoais, o paciente transfere uma parcela de sua privacidade ao profissional da saúde, de forma que a garantia da segurança e proteção sopesam como responsabilidade daquele que coletou tais dados e figura legalmente como seu controlador.

Vale aqui transcrever o conceito de controlador de dados trazidos pela LGPD: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

É verdade que a Resolução 1605/2000 do CFM já proíbe o médico de revelar o conteúdo do prontuário médico ou da ficha médica do paciente a terceiros sem o consentimento do paciente (sobre a diferença entre o consentimento livre e esclarecido e o consentimento da LGPD – ler nosso artigo no blog). Mas, as obrigações e responsabilidade trazidas pela LGPD vão muito mais além. Primeiro que não se restringe a apenas médicos, e segundo, porque obriga a adoção de medidas de proteção e segurança dos dados não só para compartilhamento não autorizado conscientemente, mas para qualquer tipo de vazamento ou acesso indevido a esses dados – os chamados incidentes de segurança.

Nessa seara, o controlador irá responder de forma objetiva, isto é, independente de demonstração de dolo (intenção) ou culpa (imprudência, negligência ou imperícia) na esfera cível (indenizações, etc.) como também estará passível de sofrer as sanções administrativas da ANPD (Autoridade Nacional de Proteção de Dados), que vai de multa pecuniária a encerramento das atividades que envolvam os dados pessoais tratados irregularmente.

Ao falarmos em boas práticas de privacidade e proteção de dados, o alerta deve focar em quem tem acesso a esses documentos, dados e informações e principalmente como elas são transitadas entre a equipe que precisa acessá-la, ou seja, se por aplicativos gratuitos de mensagens ou por sistema próprio, se com uso de dupla criptografia, firewall ou outros métodos de segurança da informação.

 Outro ponto de preocupação é a eliminação dessas trocas de informações, uma vez atendida a finalidade, o tratamento de dado deve se encerrar. E, o que se entende por tratamento de dados? toda e qualquer conduta, ação que envolva dados pessoais, não se limita somente aos dados constantes no prontuário, físico ou eletrônico, uma simples troca de mensagens via aplicativo de celular com o resultado de um exame médico realizado já configura tratamento de dados para fins de responsabilidade da LGPD. Veja como o legislador define esse termo:

É “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”

Portanto, a análise do profissional ou da clínica deve ser minuciosa e detalhada a fim de garantir que há segurança e privacidade aos dados dos pacientes tratados. Torna-se imprescindível demonstrar que todos os preceitos legais estão sendo atendidos através de políticas internas, mapeamento dos processos que envolvem os dados pessoais de pacientes, auditorias, treinamentos da equipe sobre privacidade e proteção de dados, inventário dos tratamentos de dados realizados, compromisso de melhoria contínua do procedimento adotado, entre outras medidas.