ESPECIALIZADO EM DIREITO DE PROPRIEDADE INTELECTUAL E NOVAS TECNOLOGIAS, O ADVOGADO JOSÉ CARLOS VAZ E DIAS É CONVIDADO DO 7º CICLO DE HUMANIZAÇÃO DA PRO CRIANÇA CARDÍACA

“No passado, quando o telefone fixo tocava nós sabíamos que era um parente, um amigo. Hoje, seja no trabalho, seja em casa, 90% das ligações para fixos são de serviços de telemarketing. Mas como essas empresas conseguiram nossos dados, como elas os transferiram para outras organizações tentarem uma venda pelo telefone?”, provoca o advogado José Carlos Vaz e Dias, logo no início da sua exposição no 7º encontro do Ciclo de Humanização da Pro Criança Cardíaca, no dia 1º de março de 2021. “Este é um assunto muito sério que precisa ser avaliado à luz da Lei Geral de Proteção de Dados (LGPD)”, afirma.

José Carlos Vaz e Dias – que é especializado em Direito de Propriedade Intelectual e Novas Tecnologias, sócio do escritório Vaz e Dias Advogados e Professor Adjunto em Direito da Propriedade Industrial da Uerj – refere-se à Lei 13.709, que entrou em vigor em 18 de setembro de 2020. Ela estabelece normas e limites para coleta, guarda e tratamento de informações pessoais, coloca sanções em caso de violação, entre muitos outros aspectos. A LGPD detalha, ainda, condições especiais para dados sensíveis, como são conhecidas as informações de pacientes em hospitais e clínicas.

Antes de entrar no tema, Dias pontuou:

O que são dados pessoais?
Informações agregadas que servem para identificar um indivíduo, seja direta ou indiretamente: nome, CPF, dados bancários, comportamento social, status econômico.

O que são dados pessoais sensíveis?
Explicitam o estado físico ou mental de uma pessoa ou convicções de caráter íntimo: convicção religiosa, dados raciais e étnicos, opinião política ou filosófica, dados relativos à saúde e dados genéticos ou biométricos.

E qual é a importância do tema no mercado de saúde?

“Quem é o dono do prontuário? Quem é o dono das informações coletadas pelos médicos?” questionou o advogado. Segundo ele, antes da Lei, esses dados eram de propriedade da clínica ou do hospital. Com a LGPD, agora eles pertencem ao paciente que permite, ou não, o acesso às suas informações pela instituição. O paciente tem o direito chamado “extensivo” de acesso: consentir, eliminar consentimento, pedir para alterar se tiver alguma inconsistência, ou vedar uma transmissão de dados, por exemplo, de um hospital para outra instituição médica ou para um médico particular do paciente. Hoje, essas informações pertencem à pessoa física. E os dados que foram coletados para um fim não podem ser utilizados para outro, caso de um hospital fornecer as informações do paciente para uma empresa de telefonia. “Seria uma violação da lei”, explica Dias.

No entanto, a integridade dos dados coletados (confidencialidade e segurança na manipulação) é uma obrigação das instituições de saúde, de acordo com a nova Lei. “Mesmo assim, tenho observado a inexistência de um procedimento específico de coleta, processamento e transferência de dados que dê a segurança necessária o proprietário daquele determinado dado específico pessoal. Por exemplo, quando fazem contato por WhatsApp conosco, um laboratório, por exemplo, sequer pergunta se autorizamos a coleta e principalmente a transferência para uma outra instituição”.

Só que, agora, a questão dos dados é uma matéria é judicial, de indenização se uma instituição médica não cumpre as regras especificadas na LGDP, ressalta o advogado. Por isso, é necessária a adoção de políticas e regras que vão explicitar para a pessoa como seus dados serão tratados, de forma transparente.

Sobre a coleta. Quais são as boas práticas nesse quesito? “Deve ser o princípio da coleta mínima. Ou seja, se estou dando entrada em um hospital, ele vai coletar as informações relativas à minha saúde, à minha condição física, não deve ser perguntado sobre o status econômico da pessoa, isso não faz parte daquele contexto”, destaca. “A pessoa também tem direito de checar se o que foi coletado corretamente e pode pedir para alterar se algo foi registrado errado”.

Sobre o processamento. Colocar o dado em um banco que vai me facilitar monitorar os dados do paciente. “Eu, como pessoa física, tenho uma doença crônica e não quero que ninguém saiba porque pode ter um impacto muito grande, mas percebo que a clínica não toma medidas de proteção específicas para o processamento da minha informação, então posso proibir que ela fique com meus dados, tenho o direito de que eles sejam destruídos, é o que chamamos de “princípio da objeção do processamento”.

Parte da boa prática também é: a padronização do fluxo de trabalho e do acesso às informações para garantir que elas não vazem; a segurança, para que os dados estejam resguardados (trabalho que deve ser feito junto com a equipe de TI-Tecnologia da Informação); e uma política de confidencialidade, ou seja, não basta colocar uma sinalização no documento, mas realmente protegê-lo.

Sobre a transferência. Tem que ser restrita às pessoas que estão envolvidas diretamente no tratamento médico. São informações mínimas para um fim específico.
“É recomendável explicitar para o paciente, de forma transparente: ‘não fazemos esse exame e precisamos passar suas informações para outra clínica. Você autoriza?’.”

“Para concluir, é preciso trabalhar nesses três itens principais para criar uma governança de dados privados, pessoais, coletados pelas instituições médicas, relevando a natureza gravíssima daquelas informações. Caso sejam divulgadas, o impacto que pode ter na vida de alguém”, completa José Carlos Vaz e Dias.