A necessidade de normatizar a proteção de dados no ínterim da tutela da saúde surgiu anteriormente à Lei Geral de Proteção de Dados, promulgada pela Lei nº. 13853/2019 que veio a alterar a antiga lei que tratava acerca do Marco Civil da Internet.
O caráter sigiloso que envolve a manipulação de dados pessoais de indivíduos submetidos à tutela da saúde vinha sendo normatizado pelas próprias legislações internas dos conselhos de classe das mais diversas profissões, com resoluções, portarias, memorandos, entre outros.
A título de exemplo, a Resolução nº. 1.821 do Conselho Federal de Medicina, prevê o prazo mínimo para armazenamento de prontuário de pacientes, bem como a Resolução RDC/ANVISA nº. 302, que determina o lapso temporal de cinco anos de preservação de laudos médicos pelas clínicas e unidades hospitalares.
Com a superveniência da LGPD, a tutela da saúde se sobressai com maior segurança na manipulação de dados dos pacientes, especialmente em razão do que prevê seu art. 11, inciso II, alínea “d”, dispositivo que expressamente autoriza o tratamento de dados sensíveis sem o consentimento do titular quando for indispensável ao procedimento a ser realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Não obstante, ainda que haja previsão expressa acerca da autorização de manipulação de dados pessoais sensíveis pelos profissionais da saúde em caso de imperiosa necessidade, alguns cuidados devem ser tomados por aqueles que operam as respectivas informações para que seja evitado o vazamento de dados e até mesmo, o registro de dados desnecessários ao objetivo do procedimento.
A LGPD define dados pessoais sensíveis como àqueles que caracterizam a origem racial, étnica, convicção religiosa, opinião política, dados referentes à saúde, vida sexual, dados genéticos e biométricos vinculados a um indivíduo, ou seja, revelam características próprias e discriminatórias de um ser humano que inevitavelmente identificam uma pessoa. Assim, considerando que os profissionais de saúde em sua atividade rotineira possuem acesso aos dados sensíveis dos pacientes, qual é a principal base legal que ampara a condução segura de suas atividades?
A manipulação de dados pessoais somente é possível quando há o consentimento do paciente, e para tanto se faz necessário a formalização por meio termo válido e eficaz que descreva especificamente a finalidade a que se destinarão. Todavia, ainda que o “consentimento” seja considerado como a principal base legal para o tratamento de dados, este encontra alguns obstáculos quando se está diante de situações que fogem à esfera de controle do indivíduo.
Pensemos na situação em que é descoberta por profissional de saúde uma doença que esteja entre aquelas que devem ser obrigatoriamente submetidas à notificação compulsória das autoridades sanitárias. Observa-se que há um embate entre o direito à privacidade daquele dado sensível e o dever do profissional em notificar a autoridade sanitária. Em casos como tal é necessário que seja realizada uma ponderação dos bens jurídicos que estão envolvidos na relação, de um lado, observamos a necessidade de proteção da privacidade e intimidade do indivíduo, direitos assegurados constitucionalmente e sob uma segunda perspectiva, verificamos o dever legal de notificação com fundamento na proteção da coletividade, uma vez que a notificação compulsória do desenvolvimento de doenças previamente classificadas possuem o condão de instigar a administração pública em prover políticas públicas de prevenção à contaminação e disseminação de doenças, além de se dedicar a desenvolver novas medidas de tratamento.
Verifica-se, portanto, que o tratamento de dados pessoais sensíveis pelos profissionais da saúde não possui um roteiro ou até mesmo um procedimento padronizado, há de se considerar casuisticamente qual o bem jurídico que se busca proteger e que irá prevalecer.
A dinâmica dos processos que envolvem o mapeamento de dados pessoais sensíveis da tutela da saúde é complexa e demanda que sejam realizados em observância aos princípios da transparência, respeito à privacidade, inviolabilidade da intimidade, da honra e da imagem do paciente.
Assim, é válido ressaltar que até mesmo em casos que os pacientes estão acompanhados por outros familiares é imprescindível que o acesso aos seus dados em razão de determinado procedimento médico seja expressamente autorizado pelo próprio paciente. É o caso dos filhos que acompanham a mãe em exames de rotina, o acesso aos resultados dos exames pelo familiar demanda uma autorização específica da paciente, não havendo que se falar em presunção de consentimento.
E é nesse sentido que se questiona qual seria a melhor maneira de controlar o acesso aos dados pessoais de pacientes quando estes necessariamente percorrem entre diversas pessoas como médicos, enfermeiros, biomédicos, entre outros?
Dado o reconhecimento recente da responsabilidade solidária (Art. 42, §1º, LGPD) de danos que venham a ser causados pela manipulação inadequada de dados por todos aqueles que concorreram ao ato ilícito, alguns cuidados foram sendo desenvolvidos pelas clínicas e unidades hospitalares.
Uma forma de proteger o paciente do acesso irrestrito aos seus dados sensíveis é autoriza-lo tão somente à necessidade de determinado setor, vez que, ainda que o enfermeiro e o médico tenham a necessidade de conhecer os medicamentos que determinado paciente ingere, não é igualmente necessário que o administrador hospitalar, na condição de gestor financeiro tenha acesso a tais dados.
Trata-se do ato de associar o binômio da finalidade e necessidade, ou seja, para o exercício de determinada atividade é necessário o acesso a um dado específico para que seja atingida a finalidade daquele procedimento? É um questionamento imprescindível para considerar a utilidade da manipulação de um dado por um operador.
Por fim, em que pese a LGPD tenha reconhecido a responsabilidade solidária de todos que operam os dados pessoais de um paciente, deve-se ressaltar que a responsabilização seguirá os termos das legislações pertinentes, tanto na existência de uma relação abrangida pela legislação consumerista, como normalmente é o caso das clínicas e hospitais particulares, quanto as decorrentes do Código Civil nos casos em que se tratarem de profissionais liberais, como são os médicos sem vínculo de preposição.
Artigo de Bruna Rodrigues da Silva
