LGPD na Saúde: o consentimento para quê?

Será que eu, médico, precisarei obter o consentimento dos meus pacientes para poder realizar tratamentos de saúde? Ou, não o fazendo, estarei infringindo a nova Lei de Proteção de Dados Pessoais (LGPD)?

Meu laboratório precisará toda vez de autorização dos pacientes para encaminhar à clínica médica ou ao hospital, via empresa terceirizada de frete, as amostras de exames médicos coletados?

Se eu tiver que notificar a vigilância sanitária um caso de sarampo detectado no PS em que estou de plantão, será que terei, antes, que obter o consentimento do paciente? E se ele se recusar?

Caso o paciente solicite a exclusão dos seus dados do prontuário médico, terei que apagar? O Conselho Federal de Medicina (CFM) irá me punir por isso?

Só se fala em proteção de dados agora. É proteção dos dados dos pacientes para lá; é multa de R$ 50 milhões para quem desrespeitar para cá; é preciso de consentimento do titular para tudo, senão não se pode fazer mais nada. 

Mas será que é isso mesmo?

A Lei Geral de Proteção de Dados Pessoais (LGPD) é a regra brasileira que trás uma nova forma de pensar a privacidade na era digital: os donos das informações somos nós, pessoas físicas. E isto é fato a partir de agora.

Aqueles que usam nossos dados pessoais (no jargão da lei “tratam os dados”) devem agora adotar diversos mecanismos de controle das informações, pois não lhes pertencem mais.

Meu tipo sanguíneo, a doença genética que possuo, os exames que realizei, os tratamentos a que fui submetido, qual meu peso, altura, endereço, CPF, nº da carteirinha do plano de saúde. Tudo isso são dados que servem para me identificar. 

E são meus. Não é do médico, nem do hospital ou da clínica. Tampouco da operadora de plano de saúde ou do laboratório. As informações do prontuário médico são minhas. 

Vou ao médico quando estou estressado. Sou examinado, marco meus exames, vou ao laboratório, retorno ao médico e recebo meu diagnóstico. Com a receita, compro meus medicamentos e faço o tratamento.

Curado, é vida que segue.

Mas agora, com a LGPD, dou conta que meus dados pessoais foram tratados por muitas empresas e pessoas neste ciclo. E cada uma delas os utilizou de uma forma diferente; com um objetivo específico. Me lembrei agora que até a farmácia pede meu CPF e a informação do meu plano de saúde para oferecer algum tipo de desconto quando vou comprar remédio para dor de cabeça.

Como fica tudo isso a partir de agosto de 2020, quando a LGPD passar a valer?

Certamente, a área médica e os profissionais de saúde serão afetados com as novas regras. Mas não da maneira apocalíptica que espalham por aí.

Isso porque a LGPD trás 10 justificativas para o tratamento de dados pessoais. São as chamadas “bases legais” que servirão para amparar a forma como os envolvidos irão consumir minhas informações. 

O consentimento é uma das bases legais? Sim, é. Mas há também a possibilidade de tratamento dos dados por obrigação legal, para realização de pesquisas, pelo legítimo interesse, para proteção ao crédito, etc.

Outras 09 situações justificam o tratamento dos dados. E sem qualquer ordem de prioridade ou preferência de uma base legal em detrimento da outra.

De acordo com a nova lei, para a tutela da saúde, especificamente em procedimento realizado por profissionais de saúde e serviços de saúde, não é exigido o consentimento do paciente. Ou seja, o médico não precisará da minha anuência para que possa realizar um atendimento. 

Já para outras finalidades…depende.

Por exemplo: risco de morte, decorrente de calamidades públicas e catástrofes naturais, em que é necessário realizar o socorro das vítimas. A proteção da vida e da incolumidade física é uma base legal da LGPD que permite o tratamento dos dados pessoais dos titulares. Não há que se falar em consentimento do titular nestas situações.

O caso do sarampo se enquadraria em outra base legal. As chamadas “notificações compulsórias” são normas do Ministério da Saúde que exigem que serviço de saúde notifique, em 24hs, a vigilância sanitária para controle epidemiológico. 

Neste caso, há uma regra do órgão regulador que exige do hospital determinado comportamento. É o que a LGPD chama de “cumprimento de obrigação regulatória”. Portanto, não há necessidade de consentimento do paciente.

Por sua vez, quando uma operadora de plano de saúde compartilha com a ANS informações pessoais sobre a migração de planos está cumprindo uma outra obrigação regulatória. 

E quando envia para o SUS o prontuário médico do paciente para fins de impugnação de ressarcimento o poderá fazê-lo amparada no exercício regular de direitos em processo administrativo. Outra base legal da LGPD.

O compartilhamento de amostras de exames dos pacientes para a clínica médica ou para que a empresa de frete efetue o transporte do material coletado é necessário para a execução de contrato entre eles (contrato de prestação de serviços médicos, contrato de frete). 

Ou seja, está permitido o tratamento dos dados pessoais sem que seja necessário o consentimento do paciente em razão da utilização de uma outra base legal permitida pela LGPD.

Agora, em campanhas de publicidade para se oferecer um novo produto ou desconto em serviço, por exemplo, se pode utilizar os dados pessoais apenas quando o titular consentir, de forma específica e destacada. 

Claro, no dia-a-dia da área de saúde existem outras “n” situações em que poderá ser exigido o consentimento do titular, especialmente por se tratar de dados pessoais sensíveis, e o presente artigo não pretende esgotar o tema, mas apenas alertar que o consentimento, embora extremamente importante, não é a única forma possível para justificar o tratamento das informações dos pacientes de acordo com a LGPD.

Se é certo que para o setor de saúde já existem critérios de segurança mais avançados para o compartilhamento de dados como, por exemplo, para usar a base de dados pública (“sistema cartão”), ou privada (TISS da ANS), e o CFM já atribui responsabilidade aos envolvidos pela guarda, segurança e confidencialidade dos dados gerados, também é certo que deverão realizar adequações perante a LGPD para incluir mais um ator neste cenário: o paciente, que passa a ser o dono de todas estas informações!

A LGPD é uma regulamentação de governança e boas práticas. Logo, também é procedimental, de modo que fará toda diferença o “como fazer” das empresas de saúde. E neste longo caminho, pode contar conosco!

Por Marcos Martins. advogado, com capacitação em Fundamentos de Análise de Dados, sócio de Pallotta, Martins e Advogados e co-fundador da legaltech STLaw.