Nossos especialistas em privacidade e proteção de dados estudaram todas multas aplicadas na Europa desde que o Regulamento Geral de Proteção de Dados (também conhecido como GDPR). Entrou em vigor e constataram uma realidade preocupante: o setor que mais recebeu multas por violação ao GDPR foi a saúde.

O setor recebeu, até o momento, 15% de todas as multas aplicadas desde março de 2018. Sendo que o valor das punições já ultrapassa a marca de € 1.000.000,00.

Esse resultado é surpreendente porque, se considerarmos que os dados relacionados à saúde das pessoas são classificados como dados “especiais”. Era de se esperar que as empresas do setor estivessem mais preocupadas em se adequar.

No âmbito nacional, essa análise é muito importante para as empresas, uma vez que, na falta de precedentes locais para aplicação das penalidades. A nossa Agência Nacional de Proteção de Dados (ANPD) certamente se apoiará nas decisões tomadas na Europa. Mercado mais maduro em relação ao tema e que serviu de inspiração para a Lei Geral de Proteção de Dados (LGPD).

A seguir você encontrará os principais erros cometidos pelas empresas do setor de saúde da Europa e que culminaram na aplicação de multas:

Multas do GDPR: Direito de acesso dos pacientes aos seus dados pessoais na saúde.

Tanto a lei europeia quanto a brasileira garantem aos titulares dos dados pessoais o direito de ter acesso aos dados que qualquer empresa, órgão ou instituição tenha sobre ele.

No caso do setor de saúde, os titulares dos dados pessoais são os pacientes e tanto hospitais, clínicas, operadoras de plano de saúde, médicos particulares ou qualquer outra empresa do setor. Estes, devem proporcionar a eles os meios de ter acesso aos seus dados pessoais.

No entanto, no Chipre, um hospital foi multado por não ter atendido ao pedido de um paciente para ter acesso ao seu prontuário médico. Na ocasião, o hospital alegou que o dossiê não pode ser localizado. Porém, em nada adiantou para afastar a multa.

Outro hospital, dessa vez na Hungria. Foi multado porque exigiu do paciente o pagamento de um valor em dinheiro como “taxa de cópia” para fornecer acesso aos seus dados pessoais. 

A cobrança foi considerada ilegal porque o GDPR determina que as empresas deverão fornecer. A requerimento do titular, ao menos uma cópia de forma gratuita.

Na LGPD existe determinação semelhante que obriga o controlador a fornecer cópia sem custo para o titular, diferentemente da GDPR. A legislação brasileira não limita a quantidade de vezes em que o titular poderá exercer esse direito gratuitamente. O que pode gerar uma onerosidade excessiva ao controlador. 

Com isso, a cobrança das despesas de impressão ou de cópia reprográfica do prontuário médico. Onde, por muitas vezes era autorizada por instruções normativas da Administração Pública Direta e pareceres dos Conselhos Regionais de Medicina. Contudo, passará a ser vedada com a entrada em vigor da LGPD.

Compartilhamento indevido dos dados dos pacientes

Nenhuma empresa pode compartilhar os dados pessoais dos titulares sem que ele tenha dado consentimento expresso para isso ou, por exceção. Isto é, quando houver hipótese na lei que permita tal compartilhamento sem o consentimento.

De toda forma, o princípio da transparência norteia ambas as leis e, aos titulares dos dados. Sempre deve ser dada visibilidade sobre o que é feito com seus dados pessoais.

Um médico particular no Chipre se esqueceu desse detalhe. Ele foi multado por ter publicado informações pessoais sensíveis de um paciente na rede social Instagram. O caso surgiu após um relatório da paciente, que viu que seu médico publicou informações pessoais sensíveis acompanhadas de seu nome no Instagram. Isto é, sem o seu consentimento.

No Brasil, alguns órgãos de defesa do consumidor, como o IDEC, já estão agindo em defesa dos dados pessoais dos pacientes. Empresas do setor passaram a ser alvo de questionamentos sobre a forma de tratamento desses dados, mesmo antes da vigência da LGPD.

Tratamento indevido dos dados dos pacientes

Ao contrário do que pensavam as empresas antigamente, os dados pessoais não pertencem a elas. Mas sim às pessoas físicas a quem tais dados se referem (a quem a lei chama de Titulares).

No entanto, algumas empresas do setor de saúde continuam agindo como se os dados a elas pertencessem e realizam tratamentos totalmente ilegais. Como nos casos a seguir.

Na Bulgária, dois centros médicos foram multados porque compartilharam os dados de um paciente sem sua autorização. Durante uma visita ao seu médico de longa data, o paciente constatou que, sem o seu consentimento e conhecimento, seu atendimento estava agendado com outro médico.

A investigação revelou que o segundo centro médico pertencia à filha do médico com quem o paciente costumava se consultar. Tendo sido transferido a esta quando seu pai encerrou o exercício da profissão.

Além disso, os médicos usaram um software para gerar um formulário de registro falso para alteração do paciente. Enviado ao Fundo Regional de Seguro de Saúde.

Controle de acesso aos dados dos pacientes

As empresas que lidam com dados pessoais devem implementar medidas técnicas e organizacionais para garantir a segurança de tais dados. Uma das principais medidas é a implementação de uma regra de controle de acessos. Definindo e organizando quem pode acessar o quê. Bem como de sistemas que garantam esse sigilo.

No entanto, alguns comportamentos humanos são semelhantes. Tanto na Europa quanto no Brasil e, um deles, é a curiosidade. Apesar de lidarem com a vida de milhares de pessoas, médicos e enfermeiros sempre buscam informações quando o paciente é uma celebridade.

Foi isso o que aconteceu em um hospital na Holanda. Onde dezenas de funcionários do hospital haviam verificado desnecessariamente os registros médicos de um famoso participante de reality show de TV holandês. Ao dar entrada na emergência após uma tentativa de suicídio.

Em outro episódio, dessa vez em Portugal. Ficou comprovado na investigação que a equipe do hospital, psicólogos, nutricionistas e outros profissionais tinham acesso aos dados dos pacientes através de perfis falsos. 

O sistema de gerenciamento de perfis possuía 985 médicos registrados, porém o hospital tinha apenas 296 médicos. Além disso, os médicos tinham acesso irrestrito a todos os arquivos dos pacientes. Independentemente da sua especialidade.

Outro caso ocorreu na Holanda, quando uma empresa de seguros de saúde foi multada porque a equipe de marketing teve acesso aos dados dos pacientes. Assim, violando o princípio da limitação de propósito.

É importante observar que apesar de nesses exemplos não ter ocorrido um vazamento das informações para fora da empresa. Os dados sensíveis dos pacientes foram acessados por mera curiosidade ou para finalidade alheia ao seu tratamento médico.

A LGPD possui dispositivos semelhantes aos que autorizaram as sanções acima. Caso esses episódios tivessem ocorrido no Brasil. Assim, a empresa certamente estaria em desconformidade. 

Falta de nomeação do Data Processor Officer (DPO)

Pode parecer irreal, mas mesmo com toda a cultura de proteção de dados europeia, que se fortaleceu a partir de 1995. Com toda a mídia em torno da entrada em vigor do GDPR em 2018, ainda há empresas que são multadas por falta de nomeação do DPO.

O DPO é o principal responsável, dentro da empresa, por assegurar que a lei de proteção de dados está sendo observada e cumprida. Na LGPD o cargo recebeu o nome de “Encarregado” e a relevância do papel, bem como sua responsabilidade, foram reduzidos em comparação com o conceito europeu.

Em agosto de 2019, um hospital na Áustria foi multado por não estar em conformidade com as obrigações de informação e por não nomear um diretor de proteção de dados (DPO).

Falha no processo de comunicação de vazamento

Outra obrigação importante que é imposta pelas leis de proteção de dados. Se refere ao processo de comunicação que deve ser realizado quando um vazamento é identificado.

No GDPR o prazo para envio da notificação à autoridade é de 72 horas e na LGPD. Esse prazo ainda será definido pela ANPD. Assim poderá seguir a regra estabelecida na Europa.

Na Hungria, um hospital militar foi multado por não cumprir o prazo de notificação referente a uma violação de dados ocorrida. Além disso, durante a investigação sobre o vazamento foi identificado que o hospital não adotava medidas técnicas e organizacionais para proteger os dados. Isto é, resultou no aumento da multa.

Falta de processos adequados

Analisando de forma abrangente as leis que buscam proteger a privacidade. Contudo, é possível dizer que por trás da definição de tantas regras, direitos e obrigações. Há o objetivo claro de ver implementada um tipo de governança de dados pessoais nas empresas.

Essa governança pressupõe, como base, a manutenção de uma cadeia de custódia auditável que deve ser aplicada durante todo o ciclo de vida do dado. Ou seja, desde a sua coleta, passando por todos os processos de tratamento que com ele sejam realizados, até a sua final destruição.

Apesar disso, um hospital na Alemanha foi multado em € 105.000,00 por uma confusão no momento da admissão do paciente. Que resultou em faturamento incorreto e revelou déficits técnicos e organizacionais estruturais no gerenciamento de pacientes do hospital.

Exclusão dos dados dos pacientes no setor de saúde.

Outro direito que é garantido tanto pelo GDPR quanto pela LGPD é o direito de exclusão ou apagamento dos dados pessoais do titular.

Com exceção daqueles que devem ser mantidos em razão de obrigação legal ou regulatória, bem como aqueles cuja manutenção seja embasada em alguma das outras hipóteses previstas em lei. A regra geral é que o pedido do titular para exclusão dos seus dados pessoais deve ser atendido.

Uma organização de cuidados de enfermagem belga falhou em atender às solicitações do titular dos dados para obter acesso aos dados e apagá-los e foi multada. O paciente tentou exercer seus direitos de acesso e apagamento e alega que a empresa não deu seguimento. Nesse caso, os dados pessoais do paciente também estavam sendo utilizados para fins diversos do que haviam sido coletados. O que gerou o interesse de exclusão.

Como dito acima, a LGPD traz dispositivos que autorizam o controlador a manter os dados pessoais mesmo após o encerramento do tratamento desses dados. Contudo, a empresa não poderá tratar os dados pessoais de forma diversa da obrigação legal ou regulatória que autorizou a conservação dessas informações.

É o caso, por exemplo, da Lei 13.787/2018. Que determina a obrigação de manter os dados do prontuário médico dos pacientes por 20 anos.

Conclusão sobre o GDPR na área da saúde.

Em resumo, podemos dizer que, para se adequar à LGPD. Serão inúmeros os desafios a serem enfrentados pelas empresas do setor de saúde. Que muitas vezes lidam com dados pessoais sensíveis de seus pacientes. Nesse sentido, é preciso que as empresas do setor mantenham um olhar atento aos precedentes europeus. Para que possam ajustar sua realidade interna naquilo que for aplicável. Deixando de lado suposições e presunções teóricas que muito pouco ou de nada adiantarão.

Autores:

Fernando José Monteiro Pontes Filho / Eduardo Hideki Inoue / Mariana Silva Monachesi / Mauro Roberto Martins Junior / Hélio Ferreira Moraes