Os dados pessoais tratados no âmbito da medicina, ou seja, em consultórios médicos, odontológicos, dermatológico e afins, de acordo com a nova Lei Geral de Proteção de Dados são considerados dados sensíveis.
Os dados sensíveis, por sua natureza, são aqueles que se definem por um conjunto de informações pessoais que caso sejam conhecidas denotam um potencial para uso discriminatório e, portanto, não podem ser tratados (recolhidos, elaborados, transmitidos, e conservados) de forma automática sem o consentimento expresso de seu titular.
Vale ressaltar, antes de tudo, que para a legislação brasileira a violação relativa ao vazamento de dados sensíveis gera o direito a indenização e a responsabilização civil pelo dano causado ao titular, tamanha a importância desses dados.
Um bom exemplo seria o conhecimento do diagnóstico de um paciente com HIV, que ao ter seus dados médicos com essa informação divulgada em um banco de dados, por exemplo, poderia vir a sofrer discriminações por pessoas ou empresas que tenham em mãos essa informação.
Um caso recente que ganhou repercussão foi o do menino Kevin Euceda, detido a mais de 950 dias pelo Policiamento Alfandegário e de Imigração (ICE) nos EUA a qual teve os dados da consulta psicoterapêutica compartilhados com a autoridade policial sem o consentimento do jovem, que foi enganado na consulta ao ser informado que tudo que fosse falado ficaria no sigilo entre paciente e terapeuta, dados estes que foram utilizados contra o paciente no processo de deportação.
Na ficha médica de Kevin, adolescente hondurenho, consta sua trágica história que desde cedo teve que lidar com o abandono, abuso físico e associação compulsória a gangues no seu país de origem, tendo inclusive presenciado episódios de tortura e assassinato, incluindo desmembramentos.
O relatório de Kevin consta sua história de abandono pelos pais e criação pela avó, que era alcoólatra e que constantemente o agredia fisicamente, chegando a lhe dar facadas nas costas em um dos episódios de agressão. “O menor relata que os abusos físicos terminaram quando a avó morreu de tanto beber”, escreveu a psicóloga em seu relatório.
Kevin explicou que, após a morte da avó, uma gangue local dominou o local onde vivia e, desamparado, ficou morando onde estava, tendo que presenciar inúmeros crimes violentos em seu próprio pátio. Um dos grandes traumas de Kevin foi o da morte do primo Ramon, que se recusou a entrar para a gangue, sendo sequestrado e torturado até a morte como forma de retaliação.
O episódio presenciado por Kevin o forçou a convencer a irmã para fugir para os Estados Unidos de forma ilegal como forma de escapar da gangue, que os perseguiram e os ameaçaram de morte. “O menor revelou que teme ser deportado porque, por ter abandonado a gangue, será morto por ela”, escreveu a psicóloga no relatório.
Esse tipo de compartilhamento de informação é parte de uma estratégia do governo Trump para lidar com a crise imigratória, sob a justificativa de segurança nacional, mas que claramente são uma profunda violação da privacidade do paciente, como diversos profissionais consideram, pois, a forma como vem sendo feita não justifica a segurança nacional utilizada como desculpa.
Nas audiências em que a vida dos pacientes pode depender são utilizadas diversas informações de foro íntimo, como confissões, traumas de infância e até brincadeiras.
O grande ponto a ser discutido é até que ponto os dados sensíveis relativos à saúde podem ser utilizados sob a justificativa da saúde pública e a segurança nacional? Qual a melhor forma de tratamento desses dados para que não ocorram discriminação aos seus pacientes?
Para essas perguntas a legislação brasileira em sua nova Lei Geral de Proteção dos Dados, que entra em vigor em agosto de 2020, responde e resguarda aqueles que tenham seus dados médicos manipulados em território nacional brasileiro estipulando que para a tutela da saúde, os dados sensíveis devem sempre ser tratados com sigilo e que para fins de pesquisa ou afins devem ser ser pseudonimizados, que consiste no tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, garantindo assim, que o histórico médico do paciente possa manter-se o mais seguro possível evitando que casos como o do Kevin ocorram em território brasileiro.
Os consultórios médicos e qualquer outra organização que lide com a tutela da saúde deverão se adequar a LGPD, adotando políticas de tratamentos de dados e compliance de modo que garanta o sigilo do histórico médico dos pacientes.
Mas como adequar os consultórios a legislação brasileira e evitar que casos de vazamentos de dados ocorram?
- O passo nº 01 é conhecer a legislação, entender como ela funciona, as implicações legais, direitos e deveres estipulados, pois, assim com o conhecimento da estrutura jurídica que circunda seu negócio será possível mensurar onde estão seus riscos e falhas, como melhorar seus processos e quais as possíveis sanções que você possa sofrer. Esse conhecimento você pode ter acesso no Curso de Introdução à LGPD, disponível gratuitamente Online, acessando o site futuropresente.net;
- Prosseguindo, o passo nº 02 é elaborar um plano de ação, visto que já tendo o conhecimento do que pode estar errado em seu negócio fica mais fácil elaborar um plano para identificar todos os processos com falhas e como corrigi-los, estipulando o tempo necessário para cada etapa de implantação, nesta etapa é importante que se tenha um consultor especializado para identificar esses pontos sensíveis.
- O passo nº 03 é a continuidade do plano de ação, pois, uma das etapas fundamentais de um plano de ação para adequação a LGPD é a identificação dos dados que deverão ser protegidos. Por isso, nessa etapa deve-se mapear cada dado utilizado em seu negócio que deverá estar sob a proteção da LGPD.
- O passo nº 04 é iniciar o plano para proteção dos dados identificados, sendo necessário nessa etapa desenvolver ou investir em mecanismos de proteção, como por exemplo, ferramentas tecnológicas que garantam uma criptografia dos dados, ou proteção ao sistema contra hackers e afins.
- O passo nº 05 é fundamental para manter as medidas adotadas, que seria o treinamento de todos os funcionários e parceiros que tenham relação com seu negócio, este passo é essencial para implantar políticas de segurança da informação e mudar a cultura de tratamento de dados.
Esses passos são detalhados no curso de implantação à LGPD oferecido pelo consultor e professor Charles Machado.