LGPD: uma complexa teia de responsabilidades na área da saúde

Hospitais e laboratórios têm o dever de proteger dados dos pacientes, que também têm de zelar por suas informações

A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, reforçou um princípio já bastante claro e bem-estabelecido na área de saúde: a importância da privacidade dos dados do paciente.

Nenhuma informação do paciente pode ser usada sem o seu consentimento. Mas, da mesma forma que a lei traz direitos e empodera os usuários – o que é muito positivo –, também implica deveres destes, algo que, infelizmente, ainda é pouco comentado e passa ao largo de campanhas de conscientização.

Será que o paciente imagina que ao sair da instituição onde realizou um exame diagnóstico e descartar a pulseira de identificação em uma lixeira qualquer pode estar contribuindo para um vazamento de informação?

E o que dizer das inevitáveis conversas em elevadores, cafezinho e salas de espera de unidades de saúde, onde indivíduos que nem se conhecem acabam contando detalhes sobre si próprios ou sobre o paciente internado que acabaram de visitar?

Tem ainda o personagem famoso que reclama do vazamento de informações sobre sua saúde e esquece que postou em suas redes sociais um comentário ou uma foto sua no ambiente hospitalar. E será que um paciente não famoso, mas que não quer que mais gente saiba que está internado, lembrou de pedir para o filho, filha ou cônjuge para não publicar nada (nem mesmo uma mensagem de carinho relacionada àquele momento) nas suas redes sociais?

É evidente que as instituições podem errar, e a lei prevê punições severas para aquelas que cometem falhas. Mas as responsabilidades pela proteção dos dados são uma via de mão dupla, e os pacientes e pessoas de seu entorno também têm de zelar por elas.

Em algumas situações, como nas relacionadas a finanças, ninguém tem dúvidas sobre a importância de proteger suas informações, de não compartilhar o token ou a senha do banco e do cartão de crédito. Mas essa clareza não existe no campo da saúde, e as pessoas acabam expondo seus dados, seja por desconhecimento, descuido e até por hábitos e comportamentos arraigados.

Por exemplo, o executivo atarefado que precisa do relatório médico para encaminhar para seu convênio para a liberação de seu exame ou procedimento cirúrgico não hesita em incumbir sua secretária da tarefa. Provavelmente confia nela e nem pensa em questões legais relativas à proteção de dados. E que faz o médico ao receber a solicitação da secretária de seu paciente? Em princípio não deveria atendê-la, porque estaria passando dados de saúde, que são classificados como “informações sensíveis”, a alguém que não é o seu paciente.

Esses meandros da privacidade das informações e das responsabilidades precisam ser compreendidos pelos próprios médicos, que nem sempre conhecem ou aceitam as limitações impostas pela lei.

Em um hospital, por exemplo, o médico pode acessar o prontuário de seu paciente a qualquer momento durante a internação, com a finalidade prevista na LGPD: a chamada “tutela da saúde”, ou seja, usar as informações em benefício do indivíduo sob seus cuidados. O hospital fica responsável pela guarda do documento. Mas o prontuário não é da instituição nem do médico. É do paciente.

Depois da alta, mesmo que seja para prosseguir com o acompanhamento em seu consultório, é recomendável ao médico acessar o prontuário e exames mediante autorização do paciente. A regra, aliás, vale para qualquer outro médico ou profissional de saúde que atender aquela pessoa.

Mesmo que seja com a melhor das intenções – obter informações que podem ajudar a oferecer um melhor cuidado–, importante que o paciente, dono do prontuário entenda essa finalidade e concorde com o benefício que lhe está sendo oferecido, agilizando e trazendo uma melhor experiência ao seu atendimento.

Pelas mais diversas razões – não querer compartilhar alguma condição de saúde anterior, um problema de dependência química ou orientação sexual, por exemplo – o paciente pode preferir negar essa autorização ou ainda limitar o acesso. É seu direto. Mas ele deveria estar consciente de que o seu “não” pode estar induzindo o médico ao erro e prejudicando a si próprio. E aí temos boas oportunidades de propiciar ao paciente explicações e esclarecimentos para termos um consentimento livre e informado.

O “não” poderia virar “sim” se ele soubesse que o acesso aos seus dados pode fazer a diferença no cuidado que irá receber, com um diagnóstico mais preciso, um tratamento mais eficiente e personalizado e com maior segurança.

Ou ainda, se soubesse que essas informações poderiam ser usadas pelo hospital para aprimorar suas práticas ou melhorar a experiência dos usuários de seus serviços. Dados que poderiam, inclusive, contribuir para gerar indicadores fundamentais para nortear as políticas públicas de saúde do país.

Ainda precisamos de regulamentações da lei que tornem mais claro como e quando os dados podem ser usados em benefício da promoção da saúde. Mesmo em relação à pesquisa médica faltam diretrizes.

A lei permite que dados de pacientes sejam utilizados de forma anônima, mas não diz quais são os critérios para a anonimização. E o que faz a instituição que desejar desenvolver uma pesquisa retrospectiva dos últimos 20 anos de pacientes que tiveram determinada doença para identificar que características tinham em comum e buscar caminhos de prevenção?

Envia um e-mail a todos e se ninguém apresentar oposição os pesquisadores estão autorizados a acessar seus prontuários? É outra questão que a lei não responde. Evidente que podemos buscar construir argumentos para que a pesquisa seja realizada mas seria importante que essas regras fossem claras, que não houvesse divergências entre órgãos reguladores, pacientes e centros de pesquisa. Ampliar a discussão e consolidar a importância da ciência se tornou uma urgência.

Na área de saúde, há, sim, muitas dúvidas em relação à LGPD que precisam ser esclarecidas e pontos que aguardam por regulamentação. Antes de tudo, porém, é fundamental que cada um dos atores que compõem esse universo tenha clareza sobre seus direitos e suas responsabilidades. É uma teia de relações que exige doses generosas de conscientização para que seja construída entrelaçando privacidade e confiança.

Uma organização de saúde ética, idônea, transparente, com uma gestão de dados eficiente, certamente conquistará a confiança de seus pacientes. Nesse sentido softwares, aplicativos, processos adequados e seguros são importantes, mas não bastam. Cada profissional, cada médico, cada terceiro que ali atua precisa estar preparado para o exercício de suas responsabilidades. Isso exige iniciativas bem estruturadas.

No Einstein, por exemplo, criamos um amplo programa de conscientização que, não por acaso, foi batizado de “Responsabilidade – É assim que fortalecemos a privacidade e a confiança”. Ele inclui e-learning, conteúdos informativos, curso de imersão em LGPD, workshops e o Congresso Einstein de Proteção de Dados, previsto para o segundo semestre.

No entanto, tão importante quanto ter profissionais preparados para lidar com a privacidade dos dados é encontrar caminhos para engajar pacientes e usuários dos serviços médico-hospitalares nessa tarefa. Afinal, a LGPD gera obrigações para as organizações e também para os indivíduos. A lei é boa, mas seus frutos serão melhores quando todos fizerem a sua parte: protegendo os dados que precisam ser protegidos e compartilhando dados que são fundamentais para a saúde do indivíduo, para os avanços da medicina e para nortear políticas públicas em benefício da sociedade como um todo.

ROGÉRIA LEONI CRUZ – Graduada em Direito, possui MBA pela FGV e Insper, com especialização em Direito da Medicina pela Universidade de Coimbra e LLM Executive pelo CEU Law School. É Diretora Jurídica da Sociedade Beneficente Israelita Brasileira Albert Einstein e Coordenadora do Comitê de Proteção de Dados da ANAHP e ABRAMED. Também é Membro do Comitê de Ética e Pesquisa da SBIBAE.