No segundo semestre de 2018, tivemos a promulgação da Lei 13.709, popularmente conhecida como Lei Geral de Proteção de Dados (LGPD), bem como da Lei 13.787, que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente, conhecida como Lei do Prontuário Eletrônico.
Antes de mais nada, é importante destacar que, com o rápido avanço da tecnologia e os modelos de negócio atualmente existentes, já havia passado da hora de termos legislações específicas e que regulamentem o tratamento de nossos dados pessoais, principalmente de dados tão sensíveis quanto aqueles ligados à saúde.
Essas duas novas leis impactarão diretamente o setor da saúde no Brasil. No caso da LGPD, por prever normas específicas para o tratamento de dados pessoais ligados à saúde do paciente (que são considerados dados sensíveis pela legislação). Já do lado da Lei do Prontuário Eletrônico, por finalmente regular a digitalização dos prontuários físicos mediante a observância de requisitos específicos, dispensando a utilização da via física dos documentos. Esse era um tema que há muito vinha sendo discutido, porém era regulado por normas do Ministério da Saúde e do Conselho Federal de Medicina, sendo certo que estas continuam a valer na parte em que não são incompatíveis com a nova Lei.
Nesse passo, muito embora as leis tratem de temas diferentes, é certo que ambas miram no mesmo alvo quando se trata da segurança e sigilo das informações que constam nos prontuários. Essa tem sido uma preocupação constante de diversas clínicas e hospitais, justamente por conta da sensibilidade dos dados que constam em suas bases de dados, bem como por conta dos crescentes ataques cibernéticos aos sistemas desses estabelecimentos, onde são solicitados “resgates” pelos hackers, a serem pagos em criptomoedas como o bitcoin. Inclusive, recentemente foi veiculada notícia de que hackers invadiram e derrubaram o sistema do Hospital das Clínicas, em São Paulo.
Na LGPD, além de prever a obrigação de as empresas constituírem um encarregado, há um capítulo inteiro que trata justamente da segurança das informações e das boas práticas (Capítulo VII), enquanto a Lei do Prontuário Eletrônico tratou de deixar claro, logo em seu artigo 2º, que “o processo de digitalização de prontuário de paciente será realizado de forma a assegurar a integridade, a autenticidade e a confidencialidade do documento digital”, inclusive com a utilização de certificação digital emitida no âmbito da ICP-Brasil.
Outro ponto muito importante em que as normas se cruzam está na obrigatoriedade de proteção das informações. Ou seja, tanto a Lei Geral de Proteção de Dados quanto a Lei do Prontuário Eletrônico exigem dos estabelecimentos de saúde que não haja acesso, alteração, reprodução ou destruição indevida dos documentos digitais.
Nesse ponto, merece destaque o fato de que, exatamente a fim de evitar movimentações indevidas nos documentos, não basta a mera implantação de um sistema de segurança da informação, por mais robusto que seja, mas também é necessário um trabalho de desenvolvimento de regras de boas práticas e de governança dos dados tratados, bem como implementação de políticas de tratamento de dados sensíveis, inclusive com a conscientização e treinamento de todos os profissionais envolvidos.
Vale destacar que as penalidades previstas na Lei Geral de Proteção de Dados, em casos de vazamento de informações (data breaches), variam de simples advertência até multa de 2% (dois por cento) do faturamento da empresa no Brasil, limitado a R$ 50.000.000,00 (cinquenta milhões de reais), por infração, o que reforça a necessidade de os estabelecimentos de saúde estarem de acordo com a LGPD.
Por fim, com relação ao descarte das informações, a Lei do Prontuário Eletrônico dispõe que os estabelecimentos de saúde poderão eliminar ou devolver aos pacientes os prontuários físicos e eletrônicos após 20 (vinte) anos do último registro, sempre devendo ser resguardada a intimidade do paciente e o sigilo das informações. Já a Lei Geral de Proteção de Dados não estipula um prazo, porém determina que os dados deverão ser eliminados após o término de seu tratamento, sendo autorizada sua conservação para fins de cumprimento de obrigação legal ou regulatória, dentre outras hipóteses. Nesse caso, diante da obrigação legal imposta pela Lei do Prontuário Eletrônico, os dados deverão ser armazenados pelo prazo de 20 (vinte) anos, sendo sua manutenção permitida pela LGPD mesmo após o término do tratamento, devendo, ainda, serem observadas as normas regulatórias incidentes.
Uma peculiaridade que a Lei do Prontuário Eletrônico trouxe com relação à eliminação dos prontuários é a necessidade de implantação de uma “comissão permanente de revisão de prontuários e avaliação de documentos”, que seria justamente responsável por a garantir a integridade dos documentos digitais e avalizar a eliminação dos documentos que os originaram.
Feitas tais considerações, embora a Lei do Prontuário Eletrônico ainda esteja pendente de regulamentação, temos que os estabelecimentos de saúde deverão estar cada vez mais atentos para o tratamento de dados de seus pacientes, se adequando às novas legislações e garantindo a segurança de tais informações, evitando impactos negativos em seu dia-a-dia e criando uma cultura de confiança para seus pacientes.
