11 99167-0001 11 3884-7100 contato@sogesp.org.br
Logo SOGESP

Lei Geral de Proteção de Dados (LGPD): os médicos devem estar preparados

Valorização Profissional

São Paulo, 19 de fevereiro de 2020

Em agosto de 2020, deverá entrar em vigor a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.931/2018. Médicos, consultórios, clínicas, hospitais e demais instituições de saúde serão afetados com as novas regras. Portanto, é importante começar a se preparar e a agir desde já.

A proteção de dados de pacientes não é exatamente uma novidade para os médicos. Aliás, um dos princípios fundamentais do Código de Ética Médica (CEM) é o dever de guardar sigilo a respeito das informações de que detenha conhecimento no desempenho de suas funções.

A SOGESP planeja ações para esclarecimento e apoio aos ginecologistas e obstetras. Para iniciar esse processo de adequação à normativa de proteção de dados, elencamos para você informações relevantes sobre os termos e determinações dessa Lei.

Uma orientação fundamental: avaliem se os seus bancos de dados estão adequados às regras de controle, gerenciamento e privacidade dos dados, buscando se necessário especialistas na área jurídica e de tecnologia e segurança da informação e serviços que atendam às exigências da LGPD.

 

A LEI

O objetivo da LGPD é proteger os direitos fundamentais de liberdade, privacidade, informação e o livre desenvolvimento da personalidade da pessoa e evitar a redução de dados pessoais a um aspecto meramente patrimonial.

Essa Lei define tratamento de dados pessoais como toda operação realizada com dados de pessoas físicas, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração da informação, por quaisquer meios (físico ou eletrônico/digital) e por quaisquer pessoas, físicas ou jurídicas (públicas ou privadas).

Define também dado pessoal como qualquer informação relacionada a pessoa física identificada ou identificável (nome, CPF, RG, telefone, endereço, data de nascimento, e-mail, entre outras), e dado pessoal sensível como informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.

Portanto, no âmbito do exercício profissional, o médico faz o tratamento de dados pessoais e sensíveis de seus pacientes e deve estar atento para cumprir as determinações da LGPD.

 

CONSENTIMENTO

Quando em vigor, a legislação garantirá ao titular o direito de manter o controle sobre suas próprias informações, exigindo, em regra, seu consentimento para o tratamento de seus dados, ou seja, sua manifestação livre, informada e inequívoca pela qual concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

As autorizações genéricas para o tratamento de dados pessoais não serão aceitas para fins de cumprimento da lei. E o consentimento poderá ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado.

No que tange aos dados pessoais sensíveis, seu tratamento somente poderá ser feito quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas. O consentimento fica dispensado apenas nas hipóteses em que o tratamento de dados sensíveis for indispensável para:

a) cumprimento de obrigação legal ou regulatória;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

e) proteção da vida ou da incolumidade física do titular ou de terceiros;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

 

PRINCÍPIOS

A LGPD traça alguns princípios, que toda operação de tratamento de dados deverá observar:

•       finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades

•       adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento

•       necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados

•       livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais

•       qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento

•       transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial

•       segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão

•       prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais

•       não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos

•       responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas

 

ARMAZENAMENTO E MEDIDAS DE SEGURANÇA

A nova normativa determina também que os dados pessoais deverão ser armazenados em formato que favoreça o exercício do direito de acesso pelos titulares. A confirmação de existência ou o acesso a dados pessoais deverão ser providenciados, mediante requisição do titular: em formato simplificado, imediatamente; ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, em até 15 dias da data do requerimento do titular dos dados.

Outra previsão legal consiste na obrigação de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD.

 

RESPONSABILIDADE E PENALIDADES

A LGPD ainda estabelece que quem, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano (patrimonial ou moral, individual ou coletivo), em razão de violação às normas de proteção de dados pessoais, será obrigado a repará-lo. E responderão solidariamente todos os envolvidos no tratamento de dados, a menos que provem: que não realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à LGPD; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

Além do dever de reparação em caso de danos, a LGPD prevê penalidades pesadas para o não cumprimento de suas regras, com multas que podem chegar a 2% do faturamento, limitada a 50 milhões de reais por infração.

Em breve, traremos novas informações para você. Fique de olho.

 

Microsoft.CSharp.RuntimeBinder.RuntimeBinderException: 'Newtonsoft.Json.Linq.JValue' does not contain a definition for 'macroAlias'
   at CallSite.Target(Closure , CallSite , Object )
   at System.Dynamic.UpdateDelegates.UpdateAndExecute1[T0,TRet](CallSite site, T0 arg0)
   at CallSite.Target(Closure , CallSite , Object )
   at AspNetCore.Views_Partials_grid_editors_macro.ExecuteAsync() in C:\Domains\sogesp.com.br\www\Views\Partials\grid\editors\macro.cshtml:line 0
   at Microsoft.AspNetCore.Mvc.Razor.RazorView.RenderPageCoreAsync(IRazorPage page, ViewContext context)
   at Microsoft.AspNetCore.Mvc.Razor.RazorView.RenderPageAsync(IRazorPage page, ViewContext context, Boolean invokeViewStarts)
   at Microsoft.AspNetCore.Mvc.Razor.RazorView.RenderAsync(ViewContext context)
   at Microsoft.AspNetCore.Mvc.ViewFeatures.HtmlHelper.RenderPartialCoreAsync(String partialViewName, Object model, ViewDataDictionary viewData, TextWriter writer)
   at Microsoft.AspNetCore.Mvc.ViewFeatures.HtmlHelper.PartialAsync(String partialViewName, Object model, ViewDataDictionary viewData)
   at AspNetCore.Views_Partials_grid_editors_base.ExecuteAsync() in C:\Domains\sogesp.com.br\www\Views\Partials\grid\editors\base.cshtml:line 11
Próximos eventos