Antes mesmo de pensarmos num exemplo de FLUXOGRAMA de como a LGPD se aplica ao âmbito Hospitalar, algumas premissas devem ser pontuadas.
A primeira delas decorre do fato de que todo dado pessoal deve ser tratado em conformidade com os 11 (onze) princípios trazidos pelo art. 6° da Lei (boa-fé objetiva; finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; e, responsabilização e prestação de contas).
A segunda premissa relaciona-se ao fato de que o tratamento de dados pessoais deve estar vinculado, pelo menos, a uma base legal (arts. 7° e 11). São elas: consentimento; execução de contrato ou de procedimento preliminar a este relacionado; cumprimento e obrigação legal ou regulatória; pela “administração pública” para fins de políticas públicas; estudos por órgãos de pesquisas; exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção à vida ou incolumidade física do Titular ou Terceiro; tutela da saúde por profissionais da saúde, serviços de saúde ou autoridade sanitária; proteção ao crédito; e, o legítimo interesse. ´
Importante consignar desde já também que:
• estas 10 (dez) bases legais se aplicam a dados pessoais comuns, pois, para os de natureza sensível 03 (três) delas são inaplicáveis: (execução de contrato ou de procedimento preliminar a este relacionado; proteção ao crédito; e, o legítimo interesse). Logo, para esta última subespécie de dado pessoal, temos, apenas, 07 (sete) bases legais que justificam o seu tratamento.
• a tutela da saúde só pode ser avocada por profissionais da saúde, serviços de saúde ou autoridade sanitária, logo, inaplicável a todas as etapas de tratamento de dados pessoais pela Rede Hospitalar. Além disso, a doutrina tem sugerido a sua utilização em conformidade com o art. 9°, “2” – “h” e “3” do GDPR, in verbis:
Art. 9° [...] 2. O disposto no n° 1 não se aplica se se verificar um dos seguintes casos: [...] h – Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados-Membros ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no n° 3 [...]
3. Os dados pessoais referidos no n° 1 podem ser tratados para os fins referidos no n° 2, alínea h), se os dados forem tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou dos Estados-Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou dos Estados-Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes. [...]
A terceira ressalva é no sentido de que, assim como os demais players do mercado, a Rede Hospitalar terá de atender os direitos dos Titulares, nos moldes acostados aos arts. 18 até 22. Entre estes destacam-se os de: acesso, retificação/correção, eliminação, oposição, revogação, portabilidade e informação.
Em quarto lugar, deve a Rede Hospitalar verificar se os demais players que com ela se relacionam são Controladores, Controladores Conjuntos, Operadores ou, simplesmente, Titulares para poder bem gerir estes relacionamentos.
A quinta premissa se vincula ao fato de as Redes Hospitalares terem de nomear um Encarregado de Dados (art. 41) ou DPO para auxiliar na manutenção da conformidade com a legislação (13.709/18) e nas respostas à Titulares e à ANPD.
Em sexto lugar, deve a Rede Hospitalar ter um bom sistema de segurança das informações, tanto físicas quanto digitais, para minimizar riscos de incidentes e, consequentemente, de prejuízos aos Titulares, mormente por possuir um big data de dados pessoais sensíveis.
A sétima premissa relaciona-se ao fato de que a Rede Hospitalar deve olhar à LGPD em consonância com as demais Normas e Regulamentos que gravitam ao seu redor, por exemplos: Leis n°(s) 9.656/98 (regulamenta questões atinentes a Planos de Saúde) e 13.787/18; Resoluções CFM n°(s) 1.605/00, 1.643/02, 1638/02, 1821/07, 2.218/07; Normas oriundas do Ministério da Saúde, ANS e da ANVISA; Padrão D-TISS (Resolução n° 305/12); etc.
Por fim, mas não menos importante, deve a Área Hospitalar adequar a sua governança corporativa para que esta passe a dispor, pontualmente, sobre a forma como dados pessoais devem ser tratados por todos aqueles que com ela se relacionam, bem como adotar providências para que o referido tratamento seja auditável - SARs.
Passadas estas premissas básicas, vejamos um pequeno exemplo de um FLUXOGRAMA sobre a forma como dados pessoais podem trafegar em Redes Hospitalares e dos seus reflexos atrelados à LGPD:
FLUXOGRAMA:
Observações Importantes:
• junto à RECEPÇÃO, em regra, deve-se coletar, apenas, dados pessoais “comuns” e a base legal pode variar em conformidade com a finalidade do tratamento (buscar autorização do plano de saúde; cobrança; cadastrar o paciente;...).
• TRIAGEM e CONSULTA, como há, geralmente, coleta de dados pessoais sensíveis nestas etapas, deve-se vincular a realização do respectivo tratamento a uma das bases legais acostadas ao art. 11 da LGPD. Lembramos que a base denominada “tutela da saúde” possui exigências e limitações bem específicas, como por exemplo, a de exigir sua coleta por profissional da saúde.
• dados pessoais de PRONTUÁRIO (cuja grande maioria possui natureza sensível) ou a ele relacionados devem ser mantidos por, pelo menos, 20 (vinte) anos.
• o sistema D-TISS da ANS realiza compartilhamentos para adimplir obrigações legais e regulamentares;
• cada uma das etapas descritas no FLUXOGRAMA exemplificativo acima colacionado, deve ser analisada pontualmente para que seja definido, de modo apropriado: players (Controladores e Operadores); bases legais; existência e regras de compartilhamentos; e o que mais for necessário para adimplir as exigências legais.
Portanto, conforme se verifica deste pequeno ensaio, a aplicação da LGPD em Redes Hospitalares e estabelecimentos congêneres é cheia de detalhes que demandam um olhar crítico e personalizado para evitar equívocos, principalmente, por haver grande fluxo de dados pessoais, inclusive de natureza sensível.
