Conhecida como Lei Geral de Proteção de Dados (LGPD), a Lei 13.709, sancionada pelo ex presidente Michel Temer em agosto de 2018, entrará em vigor em agosto de 2020. Seu objetivo é regulamentar o uso que as empresas públicas e privadas fazem dos dados pessoais de clientes, o que inclui usuários de serviços de saúde. Portanto, qualquer empresa que incluir em sua base de informações dos seus clientes, por mais elementar que sejam esses dados, como nome e e-mail, deve seguir os procedimentos previstos na lei. Para tanto, as empresas terão que fazer investimentos para a implantação de estrutura e política interna de compliance digital acerca do tratamento de dados dos seus clientes.

Em evento realizado pela ASAP em São Paulo, aspectos como prazos de planejamento e execução, e impactos que a adequação a LGPD causará nos processos da área de saúde, foram discutidos por representantes de diferentes segmentos do mercado de saúde com moderação de Fernando Ferro Guimarães, Gerente Jurídico e de Compliance na Hospital Care. O especialista em Direito Cibernético e Proteção de Dados da Opice Blum, Guilherme Guidi, afirmou que precisamos nos espelhar em países que a lei já vigora, mas com uma certa cautela, pois temos diferenças culturais importantes. “Acredito que tenhamos diretrizes já bastante claras que terão que ser cumpridas, já com a entrada em vigor”, pontuou Guidi.

Já o Diretor de Tecnologia da Associação Paulista de Medicina, Dr. Antônio Carlos Endrigo, falou sobre a proteção de dados de pacientes e a possível digitalização deles para trazer maior facilidade ao trabalho. “Tomando como exemplo os hospitais que têm que arquivar todos os prontuários durante um período de 20 anos, isso é visto como um grande problema para os mesmos. Se dependesse deles (os hospitais), acho que eles guardariam por no máximo três anos. Como hoje a maior parte dos documentos ainda são físicos, eles têm que alugar espaços para armazenar e acondicionar todos esses documentos. O hospital tem um compromisso legal em guardar o prontuário, é um registro de saúde.

Luís Gustavo Kiatake, Presidente da SBIS, também defende que os dados não devem ser apagados de maneira nenhuma, mas se opõe ao fato sobre a permanência destes mesmos dados após a obrigação regulatória, visando a transferência para o meio digital. “Cessada a obrigação regulatória, será que temos que exercer a vontade do titular ao solicitar a exclusão de seus dados, se não existe mais uma obrigação complementar? O problema é que temos que fazer a gestão disso, se colhermos agora a manifestação de um titular que quer ter seus dados apagados agora ou só daqui 20 anos, como fica o impacto disso nos sistemas informatizados que fazem backups, que tem esses dados em algumas outras bases?

Kiatake ponderou ainda a possibilidade de o paciente se manifestar de alguma maneira para pedir os dados, e questiona o que será feito caso houver o vazamento dos mesmos. “O que faremos daqui 10 anos com o titular que se manifestar solicitando a portabilidade de uma instituição de saúde para outra? E se a instituição que está cedendo o dado tiver que manter isso ainda que por 20 anos, como se fosse um sistema apartado? Será que a responsabilidade objetiva sai da instituição que está cedendo o dado para outra? Se houver um vazamento de dados, aquela instituição que forneceu a informação e teoricamente tirou aquele dado da produção, está isenta de responsabilidade no caso de um vazamento dessa informação? A verdade é que ainda temos muitos pontos que precisam ser discutidos, mas o fato é que ninguém pode apagar nada. Se algum titular manifesta esse desejo, é preciso registrar esse fato e ver como lidar com isso ainda na regulamentação. Precisamos trabalhar na clareza da regulamentação e propor isso para a Autoridade Nacional de Proteção de Dados (ANPD)”, declarou o presidente da SBIS.

Finalizando o entendimento, um ponto é inquestionável: a adequação a Lei Geral de Proteção de Dados no setor da saúde, que utiliza dados sensíveis de pacientes, deverá implantar um controle de processos técnicos e operacionais, como forma de cumprir a obrigação legal e regulatória e isso exigirá das empresas brasileiras uma boa dose de investimento.