Recentemente, o governo brasileiro tomou a decisão de prorrogar a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) para maio de 2021. O Senado, no entanto, aprovou projeto para manter a validade anterior – agosto de 2020. A confusão é por conta da Medida Provisória 959/2020, que prorrogou a data do início da vigência da legislação por causa da pandemia de COVID-19. A MP ainda está na Câmara e, se aprovada, pode ser um entrave à decisão do Senado.

Essas decisões, em conjuntos com os desdobramentos da pandemia de Coronavírus, fizeram com o que se reacendesse o debate em torno do assunto. Isso porque, em meio à crise de Coronavírus, têm surgido questões que envolvem a privacidade dos dados e seu uso nesse momento.

Por diferentes motivos: utilização de geolocalização e outras ferramentas tecnológicas, como medidas para verificar a adesão ao isolamento social, vazamentos de testes de saúde ou de medicação utilizada por pessoas em evidência, entre outros. Portanto, os riscos à privacidade precisam ser seriamente avaliados.

Mais do que isso, as empresas e profissionais envolvidos na prestação de serviços de saúde precisam estar atentos às normas de proteção de dados pessoais já que são considerados sensíveis, demandam tratamento e cuidados especiais.

Com isso em mente, Sandra Franco, consultora jurídica especializada em direito médico e da saúde, escreveu um importante artigo no qual destaca a importância da privacidade dos dados em meio à pandemia e após. “Sem dúvida o interesse público em proteger a saúde da população em razão de uma grave pandemia deve ser considerado e os dados essenciais para o controle da contaminação precisam ser usados de forma pontual, para que não haja abusos na manipulação de dados”, aponta a especialista.

Para ela, é importante a implantação de soluções tecnológicas, mas o desafio também é educacional. As instituições devem buscar a correta criptografia dos dados de acordo com os padrões exigidos mundialmente, mas também preparar os colaboradores para lidar com essa nova realidade e tratamento dos dados.

Veja um pouco mais no artigo publicado HEALTHCARE Management. 

Temos comentado, recorrentemente, sobre as mudanças que novas tecnologias, não só específicas do setor saúde, mas também Big Data, Blockchain e outras têm proporcionado ao dia a dia dos prestadores de serviço, operadoras de planos e pacientes. Um cenário que deve enfrentar o grande desafio de se adaptar à Lei Geral de Proteção de Dados (LGPD) nos próximos 9 meses, aproximadamente.  

Por sua importância, o assunto será foco do seminário “Transformação Digital na Saúde”, que realizaremos dia 11 de dezembro, das 8h30 às 12h30, no hotel Tivoli Mofarrej (Al. Santos, 1.437), em São Paulo. Confira a programação e inscreva-se. 

Mas a questão também tende a levar a novas oportunidades. Nos Estados Unidos, onde já há regulação vigente semelhante à LGPD, a captação e manuseio de informações de saúde dos pacientes está gerando uma grande movimentação econômica. Tanto em criação de empresas, quanto em termos financeiros. 

Uma estimativa da CB Insights, empresa estadunidense de inteligência de mercado com foco em novas tecnologias, fundos de Venture Capital devem aportar US$ 50 bilhões em aproximadamente 4,5 mil startups com esse foco somente em 2020 nos Estados Unidos. 

Além disso, a CB Insights aponta que foram conduzidos pouco mais de 3,4 mil negócios no setor de saúde nos Estados Unidos, sendo que quase um terço deles (31%) têm foco em saúde digital. Estão inclusos aí as iniciativas de Google (Alphabet), Apple, Facebook e outros gigantes de tecnologia que, como comentamos, estão cada vez mais interessados nesse mercado. 

O movimento, a nosso ver, é extremamente favorável. Tanto porque significa contar com mais dados para a tomada de decisões clínicas mais acertadas, como também implica a captação de importantes subsídios – ainda que de forma “anonimizada”, como determina a LGPD – para programas de promoção da saúde. O que é fundamental para a sustentabilidade do setor e, mais importante, para a qualidade de vida dos brasileiros. 

O relatório “Building the Hospital of 2030” apontou que 89% das organizações de saúde que adotaram estratégias da Internet das Coisas sofreram algum tipo de violação das informações. A Lei Geral de Proteção de Dados (LGPD), que entra em vigor em 16 de agosto de 2020, promete tornar o controle de acesso às informações mais rígido. Contudo, a nova regulação ainda está cercada de incertezas. Mesmo na Europa, que já conta com legislação em exercício, conflitos continuam sendo reportados. Este ano, uma multa de € 400 mil foi aplicada a um hospital português porque médicos estavam tendo acessos a todos os dados do paciente e não apenas aos que seriam necessários para o diagnóstico. 

Até questões relativamente simples, como a guarda de dados, são pontos a que as empresas precisarão se atentar. Apesar de a pessoa física ter direito a saber que informações sobre ela a empresa possui e a solicitar que os dados sejam apagados, a legislação que obriga a guarda de informações (o Conselho Federal de Medicina prevê que os documentos do prontuário médico do paciente precisam ser mantidos na instituição por no mínimo 20 anos) e o fato de empresas poderem preservar conteúdo para se proteger em eventuais processos conflitam com essa determinação, criando insegurança jurídica. O consentimento para uso de informações e a “anonimização” dos dados são outros pontos que demandam atenção especial de empresas e mesmo de instituições de pesquisa. 

Concomitantemente, o avanço tecnológico está possibilitando a ampliação de modelos de atendimento como a telemedicina, ainda que questões como o teleatendimento ainda necessitem de regulação para se tornarem efetivamente presentes no dia a dia das pessoas. Uma possibilidade que promete estender o atendimento assistencial para zonas mais afastadas dos grandes centros urbanos e tem, efetivamente, o potencial para transformar as relações de pacientes com os serviços de saúde. Trazendo uma nova onda de racionalidade para o setor. O TD 74 – “A Telemedicina traz benefícios ao sistema de saúde? Evidências internacionais das experiências e impactos” –, que publicamos em junho, traz importantes evidências da capacidade de mudança inerente à esta tecnologia. 

Tão vasto quanto as possibilidades que se desenham são os desafios apresentados para que o setor se adapte às novas regras e tire o melhor proveito possível das mudanças por vir. 

O seminário IESS “Transformação Digital na Saúde” quer jogar luz sobre essas questões e ajudar pesquisadores e gestores da saúde a identificar os caminhos para o futuro. Venha participar desse debate conosco, dia 11 de dezembro, no hotel Tivoli Mofarrej (Al. Santos, 1.437), em São Paulo. 

Inscreva-se agora! 

Esta semana, a Câmara dos Deputados aprovou o projeto de lei de conversão da Medida Provisória 869/18, que determina a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade que será responsável pela fiscalização dos encarregados pelo tratamento de dados nos setores público e privado. 

A medida ainda deve passar pela apreciação do Senado antes de entrar em vigor, mas é mais um passo na implantação da nova Lei Geral de Proteção de Dados (LGPD), uma mudança importante que entra em vigor no próximo ano e irá afetar, inclusive, o setor de saúde (público e privado), ainda que nem todos tenham se atentado para isso. 

Para ajudar nessa transição e na adaptação do setor, separamos alguns dos pontos que mais nos chamam atenção. 

Um dos maiores desafios proporcionados pela nova Lei é definir quem tem acesso a cada informação e por quanto tempo.  

Primeiro porque a permissão para usar dados deve ser livre, formal, inequívoca, explícita e bem detalhada. Ou seja, nada de pegar dados com um propósito e usar para outro sem receber autorização prévia do dono das informações, a pessoa física. E é fundamental entender: o dono da informação (inclusive aquelas coletadas em prontuários) é o paciente. 

Esse conceito de autorização é conhecido juridicamente como consentimento. Contudo, as bases para afirmar que uma pessoa consentiu também estão gerando insegurança. Na Europa, que já conta com lei similar em exercício, uma multa de € 400 mil Euros foi aplicada porque médicos estavam tendo acessos a todos os dados do paciente e não apenas aos que seriam necessários para o diagnóstico. Apesar de as leis brasileira e europeia não serem exatamente iguais, o mesmo tipo de falha poderia acontecer por aqui. 

Ainda nesse sentido, pode haver problema quanto ao consentimento de uso de dados de beneficiários de planos coletivos empresariais. Isso porque os beneficiários de planos individuais claramente consentem em oferecer informações para contar com o benefício. Já os planos empresariais são contratados em grande parte por empresas por força de acordo coletivo (firmado entre os sindicatos dos trabalhadores e dos empregadores). Ou seja, não há o consentimento de cada indivíduo. 

A questão de “anonimização” dos dados, o que permitiria que eles fossem usados para pesquisas e amostragens como as que nós e outras entidades realizamos, por exemplo, também está cercada de incertezas. Primeiro porque não basta retirar o nome da pessoa para que os dados se tornem anônimos. É necessário garantir que o indivíduo não possa ser identificado.  

Por exemplo, se o setor de RH de uma empresa com poucos funcionários recebesse análises de saúde de seus colaboradores, ainda que os pacientes não sejam nomeados, é possível que certas características possibilitem a identificação de um ou mais indivíduos, o que colocariam a prática em desacordo com a nova lei. 

Por fim, a guarda de dados é outro fator a que as empresas precisarão se atentar. Apesar de a pessoa física ter direito a saber que informações sobre ela a empresa possui e a solicitar que os dados sejam apagados, a legislação que obriga a guarda de dados (o Conselho Federal de Medicina prevê que os documentos do prontuário médico do paciente precisam ser mantidos na instituição por no mínimo 20 anos) e o fato de empresas poderem preservar informações para se proteger em eventuais processos conflitam com essa determinação, criando insegurança jurídica. 

Nós vamos continuar acompanhando os desdobramentos da nova legislação. 

Pela complexidade do sistema de saúde, a maturidade para uso dos dados dos pacientes de forma eficiente ainda é um desafio em diferentes aspectos. E não é algo específico do caso brasileiro. Lembrar de como a tecnologia e as diversas inovações digitais mudaram as relações e transformaram a rotina de diversas áreas já não é novidade. Tampouco falar do ganho de eficiência trazido por meio dessas inovações.  

Um aspecto, no entanto, sempre foi fundamental e necessita ainda de debate: a maior disseminação e melhor uso de diversas ferramentas está totalmente relacionado com a segurança dos dados. Como já mostramos aqui, no último ano foi aprovada a nova Lei Geral de Proteção de Dados (LGPD) em território nacional.  

Em debate há anos, o projeto ganhou maior visibilidade recentemente por conta de diversos escândalos envolvendo vazamento de dados de redes sociais e sua influência direta em eleições de diversos países, como no Brasil. Além dessas questões, a regulação europeia quanto ao tema gerou um movimento em diversas nações para adaptação e atualização de seus marcos regulatórios.  

Sendo assim, o texto nacional traz regras claras para empresas e entidades utilizarem e coletarem dados pessoais (seja em ambiente online ou offline), estabelece punição para as que fizerem uso indevido e a criação da Autoridade Nacional de Proteção de Dados (ANPD), autarquia a ser vinculada ao Ministério da Justiça, para fiscalizar e aplicar sanções, entre outros aspectos. 

Mas voltando ao início, como lidar com essa delicada questão no ambiente da saúde, seja pública ou privada? O tema tem gerado diferentes discussões em eventos e publicações da área e algumas questões têm ganhado mais clareza e aprofundamento. 

Um desses esforços para entender a aplicação na saúde veio de artigo publicado no jornal O Estado de S. Paulo. De autoria de Ana Paula Oriola De Raeffray, doutora em Direito pela Pontifícia Universidade Católica de São Paulo (PUC/SP), a publicação joga luz sobre algumas importantes questões. “O dado pessoal referente à saúde, o dado genético e o dado biométrico são qualificados como sensíveis na LGPD podendo ser tratado, sem consentimento do titular apenas na hipótese em que for indispensável, na área de saúde, para a proteção da vida ou da incolumidade física do titular do dado ou de terceiro ou na tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias”, diz a especialista. “É claro que todas estas questões serão debatidas no processo de implantação da LGPD, que deverá ocorrer até agosto de 2020”. 

Segundo a advogada, em 1997 foram desenvolvidos os princípios para a segurança das informações e dados pessoais na área médica, estabelecidos no Relatório Caldicott, apresentados no artigo: 

1) Justificar propósito para a utilização da informação confidencial;  

2) Não usar o dado pessoal confidencial a não ser que seja absolutamente necessário;  

3) Utilizar o dado pessoal confidencial o mínimo necessário;  

4) O acesso ao dado pessoal confidencial deve ser restrito àquelas pessoas que necessitam conhecê-lo;  

5) Toda pessoa com acesso ao dado pessoal confidencial deve estar ciente de suas responsabilidades;  

6) O acesso ao dado pessoal confidencial deve estar de acordo com a legislação;  

7) A obrigação de compartilhamento do dado confidencial pode ser tão importante quanto a obrigação de proteger a confidencialidade dos dados do paciente. 

Muito ainda será debatido e aprofundado pelo setor devido à sensibilidade do tema. Seguiremos acompanhando. Confira o artigo na íntegra.