Em um mercado cada vez mais concorrido, a proteção de direitos é algo que vem se elevando cada vez mais, principalmente pela velocidade que ocorrem, por exemplo, a criação, coleta ou troca de dados e informações.
Mas e quando esses dados são pessoais? A Lei Geral de Proteção de Dados Pessoais – LGPD, Lei 13.709/2018, determina que o tratamento de dados pessoais de pessoas naturais deve ocorrer de forma adequada com os fundamentos, princípios e requisitos expressos neste diploma legal.
Há de perceber que a LGPD possui um vasto âmbito de aplicação, seja em organizações públicas ou privadas, pessoas físicas ou jurídicas, sejam estes dados, digitais ou físicos. Quando envolve o âmbito da saúde, ainda deve ser percebido que é comum o tratamento de dados sensíveis, como os dados pessoais relacionados à saúde do paciente. Ainda deve ficar atendo a Lei do PEP – Prontuário Eletrônico do Paciente e do Código de Ética Médico.
O processo de implementação deve estar adequado com o que está determinado pela lei, visto que, segundo o art. 3º da LINDB, ninguém pode se escusar desconhecer a lei. Assim, mais precisamente em seu artigo 46 apresenta que “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais”.
As medidas de segurança, devem ter um caráter legal, visto à LINDB, técnicas, envolvendo o ambiente de hardware e softwares, assim como também administrativas, envolvendo o âmbito, da governança de TI, gestão de processos, projetos e de riscos, sendo realizado em todo o processo da auditoria.
O consumidor do serviço de implementação da LGPD: A empresa contratante é consumidora da empresa contratada para realizar o processo de implementação, assim ocorrendo uma relação de consumo que deve estar plenamente à luz do CDC, no artigo 3º, visto que fornecedor é toda pessoa física ou jurídica que prestam serviços. Já o serviço, “é qualquer atividade fornecida no mercado de consumo, mediante remuneração.
Com isso, é imperioso que esse fornecedor de serviço seja transparente com a o profissional da saúde, hospital ou clínica contratante sobre o serviço de implementação da LGPD que será realizado, especificando: Se será realizado em sentido amplo ou parcial, quem serão os profissionais que farão parte do processo, assim como quais normas técnicas serão implementadas. Tudo isso para gerar transparência diante desse investimento, como também fazer com que a empresa contratante esteja consciente sobre o que será contratado.
CDC Art. 6º São direitos básicos do consumidor:
III – a informação adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade, tributos incidentes e preço, bem como sobre os riscos que apresentem;
O processo de implementação que não esteja de acordo com o que está determinado no sentido amplo pela LGPD, poderá, de forma objetiva, responsabilizar o agente de tratamento envolvido: pois o art 42 da LGPD informa que a responsabilidade é dos agentes de tratamento e em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Ainda assim, este normativo legal determina que o tratamento de dados será irregular quando não atender a lei, como também não observar o modo, resultado e os riscos e técnicas adequadas de tratamento. Veja, o Artigo 44
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Assim, fica claro que o processo de implementação da LGPD é algo necessário que envolve investimento não só de dinheiro e tempo, principalmente ao saber que no âmbito da saúde são tratados dados sensíveis. Compliance amplo e muito delicado, envolvendo alto nível de detalhamento, e profissionais de diversas áreas, envolvendo o âmbito do direito, gestão e governança e engenharia de segurança da informação, executando juntos um trabalho, inclusive tema abordado em setembro de 2021 no evento nacional da OAB, no painel que abordou sobre a LGPD e o CDC.
Contudo, o problema não é vender o serviço de implantação da LGPD, o detalhe está em ser transparente com o que está vendendo. Com isso o profissional da saúde, gestor de hospitais ou de clínicas, como contratante, deve desconfiar de promessas fáceis para realização desse projeto.
O texto é de total responsabilidade do autor e não representa a visão da sanar sobre o assunto.
Observação: material produzido durante vigência do Programa de colunistas Sanar junto com estudantes de medicina e ligas acadêmicas de todo Brasil. A iniciativa foi descontinuada em junho de 2022, mas a Sanar decidiu preservar todo o histórico e trabalho realizado por reconhecer o esforço empenhado pelos participantes e o valor do conteúdo produzido. Eventualmente, esses materiais podem passar por atualização.
Novidade: temos colunas sendo produzidas por Experts da Sanar, médicos conceituados em suas áreas de atuação e coordenadores da Sanar Pós.
REFERÊNCIAS
BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível EM:
BRASIL. LEI Nº 8078, DE 11 DE SETEMBRO DE 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Disponível EM: < http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm>. Acessado em: 24 de julho. 2021.
OAB NACIONAL. Conferência Nacional de Direito do Consumidor – 2º dia – Sala 1. Disponível em:
