ARTIGO: A responsabilidade dos agentes de tratamento de dados no setor da saúde, segundo a LGPD

LGPD-saúde
No Brasil, o setor de saúde é o terceiro maior alvo de ataques do cibercrimes.

Recentemente, um incidente de segurança envolvendo o vazamento de dados sensíveis de pacientes diagnosticados com o vírus da imunodeficiência humana (HIV) no Distrito Federal trouxe à tona a importância da responsabilidade dos agentes de tratamento no setor da saúde. O G1 noticiou que pacientes acompanhados pelo Centro de Atendimento e Aconselhamento (CTA) da W3 Sul, em Brasília (DF), foram vítimas de tentativas de extorsão após criminosos obterem acesso às suas informações clínicas. 

Esse evento destaca a necessidade e importância do cumprimento da Lei Geral de Proteção de Dados (LGPD) e da Lei 14.289/2022, que estabelece a obrigatoriedade de manter em sigilo a condição de pessoas portadoras de HIV, hepatites crônicas, hanseníase e tuberculose. 

A Lei Geral de Proteção de Dados regulamenta o tratamento de dados pessoais no Brasil e impõe rigorosas exigências, especialmente para o tratamento de dados sensíveis, que são informações íntimas da personalidade de um indivíduo. Esses dados incluem informações sobre origem racial ou étnica, convicção religiosa, opinião política, saúde ou vida sexual, dados genéticos ou biométricos. Vazar as condições de saúde dos pacientes pode acarretar graves consequências para os indivíduos afetados, incluindo danos à reputação, discriminação e, como no caso recente, tentativas de extorsão.  

O tratamento desses dados só é permitido nas hipóteses expressamente previstas pela legislação. O objetivo da LGPD é garantir a privacidade e proteger os indivíduos contra qualquer tipo de discriminação decorrente do uso indevido desses dados pessoais. 

Já a Lei 14.289/2022, que também se aplica ao caso acima, reforça a importância do sigilo sobre a condição de pessoas portadoras de HIV, além de outras doenças. Essa legislação estabelece que é proibido divulgar, sem consentimento, qualquer informação que possa identificar a condição de saúde dessas pessoas, sendo que a violação desse sigilo pode resultar em sanções administrativas e penais. 

Responsabilidades dos Controladores e Operadores 

A LGPD exige ainda que os controladores, responsáveis por tomar decisões sobre o tratamento dos dados pessoais, e os operadores, que realizam o tratamento em nome dos controladores, adotem medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados. 

Os profissionais de saúde que lidam com informações sensíveis de pacientes têm a obrigação legal e ética de garantir a confidencialidade desses dados. Isso inclui: 

  1. Treinamento e Capacitação: Todos os agentes envolvidos no tratamento e acompanhamento de pacientes devem receber treinamento adequado sobre as normas de proteção de dados pessoais.
  2. Controle de Acesso: O acesso aos prontuários e informações clínicas deve ser restrito apenas aos profissionais diretamente envolvidos no cuidado do paciente. Medidas de segurança, como senhas e autenticação, devem ser implementadas.
  3. Armazenamento: Os dados dos pacientes devem ser armazenados de forma segura, em sistemas e infraestruturas que garantam a integridade e a confidencialidade das informações.
  4. Descarte Adequado: Quando houver a necessidade de descartar documentos ou registros, isso deve ser feito de maneira segura, evitando o acesso não autorizado.
  5. Transparência e Consentimento: Os pacientes devem ser informados sobre o tratamento de seus dados pessoais e sensíveis, obtendo seu consentimento livre e esclarecido.

E em caso de incidente envolvendo dados pessoais a ANPD (Autoridade Nacional de Proteção de Dados) deverá ser imediatamente informada. 

O vazamento de dados sensíveis de pacientes com HIV no Distrito Federal evidencia a necessidade de reforçar as medidas de proteção de dados no setor da saúde. A responsabilidade dos agentes de tratamento, conforme estabelecido pela LGPD e pela Lei 14.289/2022, ultrapassa o cumprimento legal e exige um compromisso ético com a segurança e a privacidade das informações dos pacientes.  

Isso reforça a obrigatoriedade de investimentos em tecnologia e segurança, treinamento contínuo de pessoal e a criação e o fortalecimento de uma cultura de privacidade para prevenir incidentes, proteger os direitos dos titulares de dados e manter a confiança no sistema de saúde.  

O não cumprimento dessas obrigações implica em severas penalidades para os profissionais e instituições responsáveis, incluindo demissão por justa causa, multas significativas, processos judiciais e danos à reputação das instituições.  

Em caso de multa, aplicada pela ANPD em organizações privadas, esta poderá chegar aos 50 milhões de reais, dependendo do faturamento da empresa. Tratando-se de uma organização pública, como na situação ocorrida no CTA da W3 Sul, não há aplicação de multa pecuniária, sendo impostos outros tipos de sanções. 

Erika Marques – Advogada e Consultora de Proteção e Privacidade de Dados. 

LGPD-saúde-erika-marques

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*