É comum nas grandes varejistas de farmácias pedirem o CPF ou mesmo o cadastro da biometria para "verificar descontos válidos". Parece inofensivo não é? Agora imagine que diante da compra de inúmeros remédios ligados a seu CPF, você receber a informação do seu plano de saúde que as mensalidades serão reajustas? É possível saber se o Plano de saúde tem acesso a estas informações? O que você acha? Imagine que estes dados, compartilhados indevidamente, podem ser usados para decisões que tem prejudiquem: A negativa da cirurgia, a negativa do seguro ou cobertura, dentre outros... São exemplos didáticos onde o simples fornecimento do CPF pode ser usado para tomada de decisões que podem gerar danos. Lembrando que em São Paulo, a Lei 17.031/2021 proíbe o fornecimento de CPF como condicionante a descontos. Lembrando também que pela LGPD, é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários

Laboratórios

Muitos laboratórios de exames ainda possuem velhas práticas. A principal é mandar o resultado dos exames por e-mail, sem qualquer proteção do arquivo. Outros, ainda, enviam papéis com senhas padrão que passam em diversas mãos até chegar ao destinatário: O médico. Estes, reclamam que quando vão acessar os resultados de exames que solicitaram, acabam vendo o histórico da vida toda do paciente, dados mais que desnecessários...

Clínicas e hospitais

Aquela consulta e troca de documentos críticos como prontuário, evolução, anamnese, dentre outros documentos sensíveis, em muitas clínicas, continua sendo feita por WhatsApp, e-mails, sem qualquer pudor. Registros físicos como resultados, exames, agendamentos, ainda não possuem armazenamento físico seguro. Trabalhadores que tratam dados pessoais em clínicas muitas vezes não estão cientes que no Brasil, está em vigor a Lei 13709/2018 e que estabelece princípios, premissas de tratamento e ações que devem ser adotadas por agentes de tratamento de dados pessoais. Você acaba de sair de uma clínica e já recebe um SMS de uma farmácia de manipulação, coincidentemente oferecendo uma promoção do remédio indicado para seu tratamento? Um de muitos exemplos do compartilhamento indevido de dados na saúde e que não é incomum ainda...

Compartilhamento desenfreado de dados

O compartilhamento indevido de dados é uma das condutas corriqueiras, antigas, comuns na área de saúde e que encontrará freio nos direitos trazidos pela LGPD aos titulares, previstos no art. 18. Conforme estabelece a LGPD, é vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir a portabilidade de dados quando solicitada pelo titular ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços. Não é demais destacar que uma das premissas que autorizam o tratamento de dados pessoais é a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Por outro lado, tal premissa não afasta os deveres de profissionais de saúde em estabelecerem medidas técnicas e organizativas para protegerem os dados pessoais.

Sistemas que tratam informações médicas

Não é de hoje que os Conselhos Federais e até Estaduais das profissões estabelecem parâmetros e padrões mínimos de segurança e auditabildiade para sistemas que tratam dados pessoais ligados à saúde, que são considerados sensíveis. Além da LGPD, profissionais e instituições de saúde devem atender resoluções e instruções de seus conselhos, no que tange à informática de proteção de dados. A exemplo, a Resolução CFM Nº 1.821, DE 11 DE JULHO DE 2007 que trata do prontuário eletrônico, bem como a recente IN CFM de 03 de março de 2021, que Institui a Política de Privacidade dos Dados das Pessoas Físicas no âmbito do Conselho Federal e nos Conselhos Regionais de Medicina. Além disso, o Conselho Federal de Medicina criou uma página com as regulamentações de proteção de dados. Acesse: https://transparencia.cfm.org.br/index.php/protecao-de-dados-pessoais

Multas pesadas!

A partir de agosto de 2021, clínicas, laboratórios, hospitais e farmácias, assim como todos os agentes de tratamento estarão sujeitos às penalidades previstas no art. 52 da norma. As penas vão de advertência à proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, incluindo multa que pode chegar 2% do faturamento da pessoa jurídica, limitada a R$ 50.000.000,00 (cinquenta milhões de reais). Muita água vai rolar...