Como adequar clínicas à LGPD?

A LGPD - Lei Geral de Proteção de Dados marcou um importante passo na proteção individual e tem como objetivo proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural.

No contexto das clínicas médicas e demais estabelecimentos de saúde, a observância da legislação se torna ainda mais relevante, uma vez que tais instituições lidam diretamente com dados pessoais sensíveis de seus pacientes.

Desta forma, informaremos neste artigo como adequar clínicas médicas, clínicas odontológicas e clínicas de estética à LGPD.

Para a adequada compreensão do tema destacam-se alguns conceitos previstos no artigo 5º da Lei Geral de Proteção de Dados:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

No contexto das clínicas, quase todos os dados são considerados dados pessoais sensíveis. Por isso, é exigido uma maior proteção acerca do tema.

As bases legais para o tratamento de dados:

O tratamento de dados vinculados às clínicas deverá observar a base legal que a Lei Geral de Proteção de Dados traz em seus dispositivos. Dentre eles, destaca-se o artigo 7º, que explica os requisitos para o tratamento de dados pessoais. Conforme o artigo:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

[...]

§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.

Além desse dispositivo, no caso de dados pessoais sensíveis, destaca-se o artigo 11 da mesma lei, que traz requisitos ainda mais rigorosos para o tratamento desse tipo de informação. Entre as condições mais relevantes para as clínicas estão:

[...]

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

[...]

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica. [...]’’

Desse modo, é aplicado o respectivo tratamento dos dados no âmbito das clínicas quando envolverem a tutela da saúde, podendo ser por consentimento ou em determinadas situações, sem o consentimento do indivíduo.

Na prática

As clínicas podem utilizar esses dados de diversas maneiras, por meio de: agendamentos de consultas, cadastro dos pacientes no sistema da clínica, comunicação da clínica com o próprio paciente, exames laboratoriais utilizados nas consultas e prontuários médicos.

Dessa forma, é indispensável o conhecimento da base legal a qual assegura o devido tratamento da utilização dos dados pessoais sensíveis, além de ser necessário o suporte de profissionais para a devida adequação.

Como adequar as clínicas à LGPD?

Para que não haja problemas com o tratamento em questão, algumas medidas são aconselháveis para lidar com as informações de forma segura e transparente. Como:

- Mapeamento de dados: para o processo de identificação, análise e a documentação do fluxo desses dados dentro da organização, ou seja, a clínica, de acordo com o artigo 6ºI,II e III e o artigo 37;

- Criação de políticas de privacidade e estipulação em contrato: para os pacientes serem informados de como a clínica coleta, armazena, compartilha e protege os dados pessoais de cada paciente, em consoante com o artigo 6º, IV e artigo 9º;

- Controle de acesso às informações: garante que apenas pessoas autorizadas acessem esses recursos específicos, de acordo com o artigo 6º, IV e artigo 46;

- Treinamento de colaboradores: para a capacitação da equipe que irá utilizar esses dados, desse modo, o manuseio desses dados será de forma ética e segura, de acordo com artigo 6º, X e artigo 50;

- Implementação de medidas de segurança da informação: a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais, conforme artigo 6º,VII, artigo 46 e 47;

- Nomeação de um responsável: para ter uma figura encarregada em garantir que as políticas de privacidade aconteçam, além de ouvir as reclamações e prestar esclarecimentos relacionados a alguma dúvida, de acordo com o artigo 5º,VIII e artigo 41.

No dia a dia acelerado de clínicas médicas, odontológicas e de estética, a burocracia muitas vezes é vista como um obstáculo. Contudo, desde a entrada em vigor da Lei Geral de Proteção de Dados, o que era apenas "papelada" se tornou o alicerce de segurança do patrimônio e da reputação dos profissionais de saúde.

Quando falamos de prontuários, exames e históricos familiares, estamos lidando com dados pessoais sensíveis, conforme define a lei. Diferente dos demais dados, eles carregam a intimidade do paciente e, por isso, exigem um rigor jurídico muito mais elevado.

O perigo da existência de cláusulas genéricas nos contratos

Muitas clínicas cometem o erro de utilizar modelos prontos de internet ou cláusulas genéricas de "confidencialidade" em seus contratos de prestação de serviços. O problema é que a LGPD exige especificidade.

Primeiramente, confidencialidade e proteção de dados são assuntos diferentes. E, ainda, as cláusulas de LGPD precisam ser claras, específicas e tratar apenas deste tema.

Se o contrato não detalhar como esses dados são compartilhados com laboratórios, convênios ou softwares de gestão, a clínica — na figura de controladora — pode ser responsabilizada por incidentes de segurança de terceiros. Um contrato robusto deve, além das questões gerais, prever:

• Finalidade específica: O paciente precisa saber exatamente para que o dado será usado (ex: diagnóstico, faturamento, histórico clínico).

• Transparência e boa-fé: Obrigação da clínica em ser clara sobre o ciclo de vida do dado, desde a coleta até o descarte.

A adequação à LGPD não é um evento único, mas um processo contínuo. O papel de um advogado especializado vai muito além de redigir um "Termo de Consentimento". A consultoria jurídica atua em frentes estratégicas que evitam multas e processos judiciais.

Tratar dados de saúde sem o devido respaldo jurídico é como realizar uma cirurgia sem cautela: o risco de complicações graves é iminente. Ter contratos personalizados e políticas específicas faz parte de um compliance que gera confiança e autoridade no mercado.

Diante de todo o exposto, adotar medidas de adequação para o cumprimento dos requisitos legais da LGPD não é apenas uma obrigação, como também é uma medida fundamental para garantir a segurança dos dados desses titulares que confiaram seu atendimento a essas clínicas.

Se você procura um escritório de advocacia especializado em Londrina e região, conte com o escritório Bernardo Fernandes Advocacia.