whatsapp anchor
Atualizado em

LGPD nos estabelecimentos de saúde: 10 dicas práticas para sua empresa

Escrito por CHC Advocacia

Médico escrevendo em prontuário ao fundo, na frente é visto imagens em forma circular de símbolos de saúde e segurança em tons de branco, azul e verde pisicna.

A Lei Geral de Proteção de Dados (LGPD) já está em vigor e os estabelecimentos de saúde também precisam se adaptar às novas regras. Neste artigo, apresentaremos dicas práticas para a implementação da LGPD em hospitais, clínicas, laboratórios, farmácias e demais áreas do setor da saúde.

Afinal, hoje em dia, dados são como chaves: exigem especial proteção, sob pena de ameaçarem a intimidade, a privacidade e os demais direitos humanos, bem como causarem importunação e prejuízos financeiros.

Você daria a chave de sua casa para qualquer pessoa entrar? Não, pois ela revela muito sobre você, não é mesmo? O mesmo ocorre com os dados pessoais sensíveis (informações sobre a origem, religião, opinião política, saúde ou vida sexual de uma pessoa física), cuja proteção é indispensável.

Nas raras vezes que você entrega as chaves de seu carro, por exemplo, a um manobrista de estacionamento, espera que ele a utilize apenas para o fim designado e que a proteja de qualquer perigo. Isso, porque a chave do carro, assim como os dados de uma pessoa, abre portas para o seu espaço íntimo.

Quando uma pessoa natural concede à sua empresa os seus dados pessoais, espera que você os utilize apenas para o fim consentido e que os proteja de quaisquer incidentes de violação de dados.

Por isso, reflita sobre a seguinte questão: a sua empresa está totalmente preparada para proteger os dados pessoais a que tem contato?

Caso não esteja, siga a leitura deste artigo até o final, pois nele traremos dicas práticas para a implementação da LGPD nos estabelecimentos de saúde.

Por que implementar a LGPD nos estabelecimentos de saúde?

A implementação da LGPD nos estabelecimentos de saúde se justifica, precipuamente, pelo cuidado e respeito aos direitos dos titulares de dados (que, nesse caso, podem ser seus pacientes, consumidores e colaboradores).

Além disso, alguns outros fatores podem reforçar a necessidade de observância da LGPD nos estabelecimentos de saúde, como a competitividade empresarial, já que uma compliance digital pode se tornar um diferencial frente à concorrência, e a existência de multas para quem não cumprir as obrigações estipuladas nessa nova Lei.

Não são raros os dados pessoais tratados por estabelecimentos de saúde. Pelo contrário, o nome e o CPF do consumidor, fornecidos para a concessão de descontos em compras de fármacos, são dados pessoais.

Em clínicas, a ficha cadastral de pacientes, contendo seu nome, sobrenome, endereço residencial e data de nascimento, é repleta de dados pessoais. Além disso, na relação com seus empregados, desde o momento da análise de currículos até o da rescisão contratual, muitos dados pessoais são acessados.

Especialmente, no âmbito da saúde as empresas do setor possuem especial contato com dados pessoais sensíveis de clientes, que são aqueles atinentes à origem racial ou étnica, à saúde, à vida sexual e à genética de uma pessoa natural. 

O não cumprimento da LGPD por estabelecimentos de saúde, a partir de 1º/08/2021, pode ensejar, além de outras penalidades cabíveis no âmbito cível e penal, a aplicação de sanções administrativas, como:

  • Advertência para adoção de medidas corretivas;
  • Multa de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, conforme o faturamento da pessoa jurídica;
  • Multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais).

Por isso, a aplicação da LGPD nos estabelecimentos de saúde exige especial atenção.

médico ao fundo, na frente vê-se símbolos brancos em um fundo azul, disposto de maneira circular. Os símbolos são de segurança e saúde

Dica 1: A LGPD se aplica a todos os estabelecimentos de saúde?

A LGPD se aplica a estabelecimentos de saúde, como: hospitais, clínicas médicas, consultórios médicos, operadoras de plano de saúde, laboratórios e farmácias.

A toda e qualquer pessoa física ou jurídica, que realize o tratamento de dados pessoais, aplica-se a LGPD, desde que:

  • o tratamento seja realizado no Brasil;
  • o tratamento vise à oferta ou ao fornecimento de bens ou serviços ou o tratamento de dados de pessoas localizadas no território nacional; e
  • os dados pessoais tratados tenham sido coletados no Brasil.

Há poucas exceções à implementação da Lei Geral de Proteção de Dados. Não se aplica a LGPD, por exemplo, quando o tratamento de dados pessoais foi realizado por uma pessoa natural para fins particulares e sem repercussão econômica. Também são ressalvados da aplicação da LGPD os dados pessoais tratados para fins exclusivamente jornalísticos, artísticos e de interesse maior do Estado.

Portanto, um estabelecimento de saúde, conceituado como “o espaço físico delimitado e permanente onde são realizadas ações e serviços de saúde humana sob responsabilidade técnica”, é, sim, impactado pela publicação da Lei Geral de Proteção de Dados Pessoais, devendo adaptar-se aos seus preceitos, sob pena de ser sancionado administrativamente.

Dica 2: Como se dá a aplicação da LGPD nos estabelecimentos de saúde?

A LGPD regulamenta o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de pessoas naturais.

A implementação da LGPD nos estabelecimentos de saúde afeta desde a elaboração de prontuários médicos, os programas de fidelidade com consumidores, até as pesquisas clínicas e as trocas de informações entre estabelecimentos (para pedidos de exames laboratoriais, por exemplo), por serem processos que envolvem inúmeros dados pessoais sensíveis.

Nesse sentido, é importante ressaltar alguns conceitos para a melhor compreensão da LGPD. A Lei Geral de Proteção de Dados protege, especialmente, os seguintes dados:

  • Dados Pessoais – São quaisquer tipos de dados que identifiquem uma pessoa ou permitam identificá-la. São exemplos de dados pessoais comuns em estabelecimentos de saúde o nome e o telefone de pacientes. 
  • Dados Sensíveis – São dados pessoais que se referem a temas sensíveis vinculados a uma pessoa natural, tais como dados sobre raça, etnia, religião, vida sexual e opinião política, dentre outros, bem como dados referentes à saúde, o que inclui os biométricos e genéticos.

Tais dados são tutelados quando tratados por pessoa física ou jurídica. O tratamento de dados é tido como toda e qualquer operação realizada com dados pessoais. Esse tratamento pode ser dar mediante inúmeras ações, como:

  • Acesso a dados
  • Coleta de dados
  • Produção de dados
  • Recepção de dados, transferidos por terceiros
  • Armazenamento de dados
  • Processamento de dados = organização de informações pessoais para obter um certo resultado
  • Transferência de dados a terceiros
  • Transmissão de dados por meios eletrônicos, desde e-mail até WhatsApp
  • Difusão de dados
  • Eliminação de dados = exclusão ou destruição de dados

Os processos de tratamento de dados envolvem alguns sujeitos principais, a saber:

  • Titular dos dados – É a pessoa a quem os dados se referem.
  • Controlador – É a pessoa física ou jurídica que toma as decisões sobre o tratamento de dados.
  • Operador – É a pessoa física ou jurídica que, de fato, realiza o tratamento de dados pessoais (em nome do controlador).
  • Agentes de tratamento – Denominação utilizada pela LGPD para se referir, conjuntamente ao controlador e ao operador.
  • Encarregado – pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Com base nesses conceitos, podemos exemplificar o tratamento de dados pessoais, conforme a LGPD, nos estabelecimentos de saúde:

Hipóteses de tratamento de dados pessoais em estabelecimentos de saúde

● Elaboração de prontuário médico;

● Armazenamento de prontuários médicos, em papel ou de modo virtual;

● Destruição de prontuários médicos antigos;

● Transmissão, de um estabelecimento de saúde para outro, de informações sobre o estado de saúde de um paciente (titular dos dados pessoais);

● Coleta, por farmácias, da prescrição médica de um consumidor (titular dos dados pessoais) para fornecimento de medicamentos e posterior arquivamento.

Quanto à aplicação da LGPD é imprescindível ressaltar que a Lei regulamenta, mas não proíbe totalmente, o tratamento de dados pessoais. Essa operação pode ser realizada desde que haja o consentimento informado e escrito ou inequívoco do titular dos dados pessoais.

Ademais, a LGPD permite o tratamento de dados pessoais:

  • para o cumprimento de obrigação legal ou regulatória do estabelecimento de saúde;
  • para a execução de políticas públicas;
  • para a execução de contrato ou pré-contrato com o titular dos dados e a pedido dele;
  • para a defesa de direitos em processo judicial, administrativo ou arbitral;
  • quando necessário para atender aos interesses legítimos do controlador ou de terceiro, salvo no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
  • para a proteção do crédito.

Especificamente, no que tange à implementação da LGPD nos estabelecimentos de saúde, destaca-se que é permitido o tratamento de dados pessoais, também, para: a) a realização de estudos por órgão de pesquisa; b) a proteção da vida ou da incolumidade física do titular ou de terceiro; e c) para a tutela da saúde, sendo essa última possibilidade aplicada exclusivamente a procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

No tocante aos dados pessoais sensíveis, os quais demandam especial proteção, a LGPD estabelece que seu tratamento é possível apenas quando o titular dos dados ou seu responsável legal consentir, de forma específica e destacada, para finalidades pré-determinadas.

Não havendo o consentimento, o tratamento dos dados pessoais sensíveis somente é permitido se for indispensável para:

  • o cumprimento de obrigação legal ou regulatória pelo controlador;
  • o tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • a realização de estudos por órgão de pesquisa;
  • o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
  • a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
  • a prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, salvo se prevalecerem direitos e liberdades fundamentais do titular.

Nesse contexto, a LGPD proíbe a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica.

Contudo, esse compartilhamento de dados pessoais ainda pode ser realizado na prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, quando em benefício dos interesses dos titulares de dados e para permitir: i) a portabilidade de dados quando solicitada pelo titular; ou ii) transações financeiras e administrativas pelo uso e prestação desses serviços.

Frequentemente, estabelecimentos de saúde realizam o compartilhamento de dados pessoais sensíveis. A título exemplificativo, clientes que fazem uso contínuo de medicamentos podem participar de programas de descontos, desde que se cadastrem (informando dados pessoais sensíveis) nas farmácias credenciadas.

Também, para que um paciente seja reembolsado por despesas médicas incluídas em seu plano, é preciso que o profissional que o atendeu elabore e encaminhe um documento com dados pessoais sensíveis sobre o procedimento realizado.

Além disso, é relevante mencionar que as operadoras de planos privados de assistência à saúde são proibidas pela LGPD de realizarem o tratamento de dados de saúde para a seleção de riscos na contratação e na exclusão de beneficiários.

Dica 3: Como escolher e nomear o seu Encarregado pelo Tratamento de Dados Pessoais?

Como já mencionado, o Encarregado, no âmbito da proteção de dados é o profissional nomeado para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Mas, afinal, o que faz na prática o encarregado de proteção de dados?

Imagine que uma antiga paciente, chamada Fabiana (titular de dados pessoais), vai até a clínica Socorro (controladora, segundo a LGPD) solicitar esclarecimentos acerca da portabilidade de seus dados pessoais para outro estabelecimento de saúde e inicia um debate acerca do que estaria incluso na portabilidade. A paciente requer que a clínica repasse, também, informações técnicas sobre a forma de tratamento de dados, que os profissionais da clínica entendem como integrantes do segredo empresarial, nada dizendo respeito à saúde de Fabiana, por exemplo.

Quem, então, resolverá esse imbróglio? Impasses como esse, segundo a LGPD, devem ser levados ao Encarregado pelo Tratamento de Dados Pessoais.

Esse profissional, portanto, possui a atribuição de prestar esclarecimentos ao público, receber críticas dos titulares de dados pessoais e adotar providências, assim como estabelecer um diálogo com a Autoridade Nacional de Proteção de Dados Pessoais (ANDP) sempre que necessário. 

O Encarregado, autoridade equivalente ao Data Protection Officer (DPO) do Direito Europeu (GPDR), deve ser, portanto, altamente capacitado na temática da proteção de dados pessoais e capaz de promover relações humanas harmoniosas. Aconselha-se, também, que o Encarregado possua conhecimento técnico e jurídico para lidar com as questões atinentes à proteção de dados e à segurança informacional.

O Encarregado pode ser tanto uma pessoa física quanto uma pessoa jurídica externa a quem o estabelecimento de saúde atribui as funções de coordenar esforços para adequação à LGPD. Com isso, fomenta-se a criação de empresas com o objeto social dedicado ao exercício da função de Encarregado em instituições que desejam adaptar- se à LGPD. 

Por fim, nomeado o Encarregado pelo Tratamento de Dados Pessoais para implementação da LGPD no seu estabelecimento de saúde, é imprescindível que as suas informações de contato sejam públicas e ostensivamente divulgadas. Aconselhamos, nesse sentido, que você publique os dados de contato do Encarregado nas redes sociais da sua clínica, hospital ou laboratório, bem como em seu site, sempre que possível.

Dica 4: Como elaborar um inventário ou um mapeamento de dados para aplicação da LGPD nos estabelecimentos de saúde?

Criar um inventário de dados pessoais tratados em sua empresa ou mapeá-los (data mapping) é uma etapa inicial e fundamental da sua adequação à nova lei de proteção de dados. 

A implementação da LGPD nos estabelecimentos de saúde demanda a elaboração de um documento que elucide: o que o estabelecimento faz com os dados pessoais (desde a coleta até a destruição), quais dados pessoais são tratados pela empresa, quais as operações de tratamento a que esses dados são submetidos (os dados são armazenados, são processados, são transmitidos?) e quais as medidas de segurança que protegem tais dados.

vídeo mostrando uma rede que cresce e se conecta de diferentes formas, formando um emaranhado de conexões

O inventário de dados deve se originar de um esforço coletivo e multidisciplinar. Para sua elaboração é preciso que, a priori, os gestores do estabelecimento de saúde informem os dados pessoais tratados na empresa, as finalidades e as operações realizadas. Com base nisso, os profissionais da Tecnologia de Informação (TI) e os assessores jurídicos, orientados pelo Encarregado do estabelecimento de saúde, poderão mapear os dados tratados, identificando hipóteses legais e medidas de segurança e privacidade para proteção dos dados pessoais.

Lembre-se: deve ser inventariado todo o tratamento de dados pessoais, incluindo não só as operações feitas em meio eletrônico, mas também o tratamento feito de modo físico (em papel).

Dica 5: Por que criar um canal de comunicação com o público para tratar da LGPD nos estabelecimentos de saúde?

Para a implementação da LGPD nos estabelecimentos de saúde é de suma importância estabelecer um canal de comunicação com os titulares de dados pessoais, que viabilize o exercício dos seus direitos e a garantia da transparência. Tal canal deve possibilitar que os titulares de dados solicitem informações sobre a proteção de dados, sobre as medidas de privacidade adotadas pela sua empresa e sobre o “ciclo de vida” dos dados por ela tratados.

Esse canal pode ser, inclusive, alinhado com o Serviço de Atendimento ao Cliente (SAC) da sua empresa, que, geralmente, é um meio de comunicação já consolidado e com atendentes já habilitados para lidar com reclamações e solicitações de esclarecimento. 

Nesse caso, claro, torna-se fundamental que os atendentes do SAC recebam treinamento adequado no que tange à aplicação da LGPD nos estabelecimentos de saúde e aos procedimentos adotados especificamente pela empresa para a proteção de dados pessoais.

Caso o estabelecimento opte por criar um canal de atendimentos relacionados à proteção de dados independente do SAC, é relevante refletir sobre alguns pressupostos para o sucesso da comunicação entre o estabelecimento de saúde e os titulares de dados pessoais. Recomenda-se que esse canal atenda gratuitamente ao público, que seja implementado de forma física e eletrônica e que contemple as necessidades de titulares com deficiência.

Dica 6: Como estabelecer um mecanismo viável de consentimento ao tratamento de dados pessoais?

A Lei Geral de Proteção de Dados dá especial ênfase ao consentimento do titular como um elemento autorizador do tratamento de dados pessoais. No caso de aplicação da LGPD nos estabelecimentos de saúde esse aspecto não é diferente, apesar de haverem outras hipóteses permissivas do tratamento de dados, quando não há a anuência do titular.

Ocorre que não é todo e qualquer consentimento que será válido para possibilitar o tratamento de dados pessoais, sejam eles sensíveis ou não. A LGPD estabelece que o consentimento deve ser uma manifestação livre, informada e inequívoca (preferencialmente, consignada de forma escrita) pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Além disso, cabe ao controlador (no caso, ao estabelecimento de saúde) o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na LGPD. Por tal razão, a empresa, para evitar problemas de adequação à Lei, deve possuir meios eficazes de obter e armazenar o consentimento de seus pacientes, consumidores, usuários ou colaboradores para o tratamento de dados pessoais.

Listamos, então, 3 (três) requisitos fundamentais, que você deve considerar quando da criação dos mecanismos para obtenção de consentimento:

  • O consentimento deve ser informado, portanto, elabore para o titular um documento com esclarecimentos objetivos acerca do tratamento de dados pessoais a ser efetuado. Esse documento não é tão diferente do Termo de Consentimento Livre e Esclarecido – TCLE já utilizado por muitos estabelecimentos de saúde, podendo este apenas ser adaptado para contemplar a finalidade do tratamento de dados pessoais. 
  • O consentimento deve referir-se a finalidades determinadas. Isso, porque as autorizações genéricas para o tratamento de dados pessoais serão nulas, conforme a LGPD.
  • Se o consentimento for fornecido por escrito em documento contendo outras cláusulas além dessa, a disposição que trata da anuência deve ser destacada. 

Obtido o consentimento, outros cuidados ainda são necessários, deve-se, por exemplo, viabilizar ao titular dos dados pessoais que revogue, a qualquer momento e gratuitamente, o consentimento anteriormente dado. Nesse caso, aconselhamos que os estabelecimentos de saúde exijam a manifestação escrita e em termos expressos do titular solicitando a revogação. 

Ademais, se o estabelecimento de saúde (controlador, conforme a LGPD) necessitar comunicar ou compartilhar com outros estabelecimentos ou pessoas os dados pessoais do titular que consentiu com a coleta e o armazenamento de certos dados, deve obter consentimento específico para essa finalidade.

Por fim, é importante mencionar que a exigência do consentimento, em quaisquer hipóteses, é dispensada quando se tratarem de dados tornados manifestamente públicos pelo titular, desde que observados os seus demais direitos.

Dica 7: Devo possibilitar a correção de dados pessoais?

Nos estabelecimentos de saúde, é fundamental diferenciar o que é um regular exercício do direito de retificação por parte dos pacientes e consumidores, do que é um abuso desse direito. A LGPD nos estabelecimentos de saúde viabiliza que o titular de dados pessoais solicite à empresa (controladora) a correção de dados incompletos, não exatos ou desatualizados.

No que se trata de registros médicos, por exemplo, os pacientes mantêm o direito de relatar imprecisões nos fatos apontados e solicitar esclarecimentos sobre o conteúdo do prontuário. Todavia, não têm direito a alterar as informações apenas por não concordarem com elas.

Ou seja, os profissionais da saúde não são obrigados a alterar suas opiniões clínicas, nem corrigir o diagnóstico inicial registrado nos documentos do paciente, salvo quando possuírem imprecisões ou erros. 

Dica 8: Como possibilitar a portabilidade, exigida pela LGPD, nos estabelecimentos de saúde?

A LGPD garante ao Titular o direito de portabilidade dos seus dados a outro estabelecimento de saúde, excetuadas as informações que revelem segredo empresarial e os dados já anonimizados.

Imagine, então, que um antigo paciente vá até seu consultório e solicite o seu prontuário médico, pois irá consultar com outro estabelecimento de saúde que não o seu. Antigamente, era muito comum que os consultórios, simplesmente, pegassem o arquivo em papel contendo os dados do paciente, o entregassem a ele e se despedissem.

Hoje, contudo, a aplicação da LGPD nos estabelecimentos de saúde inaugura novas preocupações: como saber se o requerente é, de fato, o titular daqueles dados pessoais? Como comprovar que houve a retirada do prontuário para evitar responsabilizações futuras? 

Por isso, aconselhamos que você exija sempre que o titular apresente requisição expressa da portabilidade de seus dados e que demonstre, mediante documento de identificação ou outro meio, ser realmente a pessoa natural titular dos dados.

Dica 9: É necessário realizar treinamentos sobre a LGPD com todos os funcionários do estabelecimento de saúde?

Com certeza! A proteção de dados, muito mais do que uma obrigação a ser cumprida, deve se consolidar como uma cultura em seu estabelecimento de saúde.

De nada adianta você coordenar custosos esforços para a implementação da LGPD em sua farmácia se o balconista não compreende a relevância da proteção de dados pessoais. Será ele que, quando indagado pelo consumidor sobre a privacidade e segurança do seu programa de fidelidade ou de benefícios médicos, precisará responder esclarecendo as medidas adotadas pelo estabelecimento de saúde para proteção de dados pessoais. 

Do mesmo modo, imagine um hospital particular que adequou todo o seu tratamento de dados à LGPD, contratando para isso profissionais externos qualificados. Toda a adaptação à LGPD pode ser posta em jogo se um determinado funcionário encontra o prontuário médico de um paciente com doença rara e, por alguma razão, o fotografa e envia para um grupo do WhatsApp.

Por isso, a perfeita implementação da LGPD nos estabelecimentos de saúde depende, também, da capacitação e do treinamento de toda a equipe que atua no local.

Dica 10: Preciso contratar uma assessoria jurídica para implementação da LGPD nos estabelecimentos de saúde?

A LGPD não exige expressamente o acompanhamento de sua implementação por advogado, nem por qualquer outro profissional comprovadamente qualificado. Contudo, na prática, contar com uma assessoria jurídica preventiva e reparadora pode ser um diferencial para garantir a concretização da LGPD nos estabelecimentos de Saúde, bem como para evitar eventuais e futuras sanções administrativas por descumprimento da Lei.

Ocorre que a LGPD estipula inúmeras orientações legais e técnicas a serem seguidas pelos estabelecimentos de saúde. Além disso, muitas dessas regras podem ser interpretadas pelos juízes e Tribunais de modos específicos. Para compreender as normas impostas pela Lei e ficar por dentro da jurisprudência sobre o assunto, pode ser necessária a ajuda de profissionais da área do Direito.

Além do mais, a Lei Geral de Proteção de Dados Pessoais congrega conceitos de diversas áreas do conhecimento, especialmente, da tecnologia informacional. Por isso, ao buscar uma assessoria jurídica para implementação da LGPD no seu estabelecimento de saúde, não esqueça de analisar se os profissionais possuem conhecimento e experiência na área do Direito Digital.

A aplicação da LGPD também exige uma análise setorializada, dadas as peculiaridades de cada pessoa física ou jurídica controladora de dados. Afinal, a implementação da LGPD em uma empresa que vende roupas, em uma instituição de ensino e um estabelecimento de saúde possui relevantes diferenças. Portanto, para a aplicação da LGPD nos estabelecimentos de saúde, é aconselhável a busca por profissionais que, além de especializados em Direito Digital, sejam qualificados e experientes no ramo do Direito Médico.

Ademais, é importante ressaltar que, em caso de descumprimento da LGPD nos estabelecimentos de saúde, um procedimento administrativo pode ser instaurado para aplicação de uma sanção a sua empresa. Nesse procedimento, haverá a possibilidade de defesa e, para tanto, uma assessoria jurídica qualificada pode ser essencial para demonstrar que o seu estabelecimento de saúde atua em conformidade com a LGPD, que não houve descumprimento ou que a sanção é excessiva.

Judicialmente, eventuais violações à LGPD nos estabelecimentos de saúde também geram repercussões. Segundo a Lei, os agentes de tratamento de dados (controlador e/ou operador) responderão em ação judicial pelos danos patrimoniais ou morais que causarem. Nesse aspecto, para garantir uma efetiva defesa, é indiscutível a necessidade de os estabelecimentos de saúde contarem com uma equipe de advogados experiente e especializada.

Portanto, uma assessoria jurídica para acompanhar o cumprimento da LGPD nos estabelecimentos de saúde, apesar de não exigida especificamente, torna-se um diferencial para que sua empresa alcance melhores resultados e reduza riscos jurídicos. A atuação de advogados no processo de adequação à LGPD pode ser tanto preventiva quanto reparadora, iniciando-se desde o planejamento para a elaboração de um inventário de dados até o acompanhamento de eventuais procedimentos administrativos e demandas judiciais relacionados à proteção de dados pessoais. 

A CHC Advocacia, por exemplo, conta com uma equipe de advogados multidisciplinar, dedicada, dentre outras áreas, ao Direito Digital. Assim, acompanha diversas empresas e segmentos na adequação à LGPD, garantindo a conformidade das medidas adotadas à proteção de dados. Além disso, possui ampla experiência no assessoramento de estabelecimentos de saúde durante processos administrativos (desde os procedimentos éticos de categorias profissionais até os consumeristas) e demandas judiciais.

Além dessas 10 (dez) dicas práticas para a implementação da LGPD nos estabelecimentos de saúde, preparamos uma dica bônus para você e, também, recomendamos a leitura dos seguintes artigos para ajudar na sua adaptação à Lei Geral de Proteção de Dados Pessoais:

Dica Bônus: O que fazer em caso de incidentes de segurança envolvendo dados pessoais? 

Experimente digitar no Google: “casos de vazamento de dados”. Certamente, você verá inúmeros casos de vazamentos de dados pessoais envolvendo as maiores corporações do mundo. Tais empresas, obviamente investem milhões de dólares em segurança da informação, mas, mesmo assim, podem se envolver em vazamentos de dados e outros incidentes de privacidade. 

Nesse ponto, não adianta apenas se lamentar pela ocorrência de um incidente de violação de dados pessoais. A situação pode ser trágica, sim, mas o importante diante disso é ter uma resposta rápida e eficaz ao incidente e remediar os danos.

Muito embora um estabelecimento de saúde dedique-se com vigor à implementação da LGPD, não é possível eliminar 100% (cem por cento) dos riscos de ocorrência de incidentes de segurança com dados pessoais. A própria Lei Geral de Proteção de Dados reconhece essa impossibilidade e estipula a obrigação de os agentes que tratam dados pessoais contarem com planos de resposta a incidentes e remediação de danos.

Os procedimentos para a gestão de incidentes de violação de dados pessoais devem incluir:

  • As notificações necessárias aos envolvidos no vazamento (especialmente, os titulares dos dados pessoais afetados);
  • A atuação do Encarregado pelo Tratamento de Dados Pessoais na resposta ao incidente;
  • A realização de uma investigação acerca do incidente;
  • A análise das responsabilidades decorrentes do incidente, de acordo com a legislação; e
  • Um reforço na prevenção de novos incidentes.

Ficou interessado pelo assunto? A CHC Advocacia pode te ajudar nesse e em vários outros temas de seu interesse! Inscreva-se no nosso canal do Youtube e entre agora para nossa comunidade no Telegram, lá você receberá na palma da sua mão nossos materiais, dicas práticas e ainda terá acesso a conteúdos exclusivos para os inscritos no canal. 

Caso você precise de algum esclarecimento adicional em relação ao tema que tratamos neste artigo, será um prazer ajudá-lo! Preencha o formulário abaixo e entraremos em contato para sanar suas dúvidas.

ebook Manual da LGPD: o que muda para sua empresa e 7 dicas para se adequar!

0 comentário em “LGPD nos estabelecimentos de saúde: 10 dicas práticas para sua empresa”

  1. penso que Pequenas Empresas não conseguiram implantar a lei. os custos sao muito significativos. a Economia esta ruim e com a pandemia caiu mais ainda. Como uma pequena clinica com 3 médicos, duas secretarias, a empresa de Contabilidade, os convênios a que sao credenciada ira se manter no mercado com tamanha exigência. ficaram no mercada somente grandes empresas.

    Responder
    • Olá Juliana! Tudo bem? Primeiramente, obrigado por acompanhar nosso blog. A discussão é muito válida, gostaríamos de saber mais sobre sua opinião sobre o assunto.

      Responder
  2. me falaram que uma farmacia foi autuada pq não colocou expressamente para quem ia compartilhar os dados. é necessário constar especificamente as empresas ou pode ser uma clausula de consetimento para compartilhametno com outras empresas?

    Responder
    • Olá, Marcelo! Obrigado pelo seu comentário! Bom, uma grande premissa da LGPD é a transparência. Por isso, sempre sugerimos pecar pelo excesso de clareza, quando o assunto for compartilhamento de informações pessoais. Assim, é imprescindível que o titular saiba ou possa saber – de alguma forma – quem terá acesso aos seus dados. Caso seja de seu interesse, podemos elaborar uma proposta e realizar uma análise detalhada dessa situação, direcionando-o da melhor forma. Nosso e-mail é contato@chcadvocacia.adv.br

      Responder

Deixe um comentário