LGPD na Saúde - Formulário de Consentimento
LGPD

LGPD na Saúde – Consentimento

Para as empresas que já iniciaram as atividades de adequação à Lei Geral de Proteção de Dados – LGPD, uma questão fundamental é objeto de muita discussão durante a composição do mapa de dados, e para ela surgem entendimentos diversos. Me refiro ao “consentimento”.

Em saúde especialmente, ao avaliar processamento de dados pessoais, proteção e segurança em tecnologia, tem sido comum observar depoimentos apontando que a primeira preocupação deverá ser o recolhimento do consentimento.

Afinal, como responsável pelos dados (Controlador ou Operador) as instituições querem segurança. Essa necessidade de segurança é acentuada pelo risco de multa, ou ações judiciais para reparação de danos.

Contudo, o consentimento deverá ser a primeira hipótese garantidora da regularidade do processamento de dados pessoais? Seguramente não!

Essa dúvida tem se mostrado cada dia mais presente em consultas e até em algumas postagens nas redes sociais. Acredito que isso se deve ao fato de, na saúde convivermos com diversos “termos de consentimento”, e ainda, a decisão do legislador em posicionar o “consentimento” como primeira opção na relação de bases legais de processamento de dados definida pelo artigo 7º da lei 13.709/18.

A LGPD, ao definir os requisitos para o tratamento de dados pessoais, relacionou 10 (dez) bases legais que deverão ser analisadas na composição do roadmap. Excluindo o consentimento, as demais bases, avaliadas cuidadosamente em cada caso, poderão justificar o uso de dados pessoais e seu processamento, com segurança e garantia legal. Assim, o uso do consentimento será abordado com uma das últimas hipóteses para a coleta e tratamento dos dados.

A lei define consentimento como sendo a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para finalidade determinada. Na definição da lei, devemos nos atentar para expressões como:

  • Manifestação livre – o titular deve agir sem nenhum embaraço ou ameaça
  • Manifestação informada – todas as informações sobre a coleta e tratamento de dados devem ser informadas ao titular, em detalhes e simplicidade. Sem “juridiquês”.
  • Manifestação inequívoca – O consentimento deve ser claro, sem qualquer dúvida.
  • Finalidade determinada – O consentimento deve ser prestado para uso específico e objetivo.

Logo, ao definir pelo uso do consentimento como base legal, o Controlador deverá se organizar e criar mecanismos auditáveis que garantam a liberdade do titular, e principalmente seu esclarecimento inequívoco quanto à sua decisão. Uma tarefa, que pela dinâmica do processo de atendimento ao paciente (por exemplo, na recepção) exigirá criatividade e investimento.

Veja que a opção pelo consentimento como primeira hipótese de base legal começa a se mostrar complexa; inclua na análise a informação de que ao solicitar o consentimento, este pode ser negado. O que fazer?

Como antecipei, o consentimento não é o único instrumento ou base legal para a coleta de dados pessoais. Vou destacar algumas opções de bases legais que justificam o tratamento de dados pessoais em instituições de saúde, antes de pensar em consentimento:

  • Obrigação Legal – O inciso II do artigo 7º da LGPD estabelece que o processamento de dados pessoais estará autorizado para o cumprimento de obrigação legal ou regulatória pelo controlador – é o caso da composição do prontuário, que possui exigências mínimas para identificação do paciente; da conta TISS definida pela ANS; da NF definida pela prefeitura, etc
  • Execução de Contrato – O inciso V da 13.709/2018 permite o processamento de dados pessoais quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados – é o caso do agendamento de procedimento ou consulta; autorizações, etc
  • Tutela da Saúde – O inciso VIII, por sua vez, autoriza o processamento de dados para tutela da saúde. É o caso do processamento de informações em prontuário, consulta, acompanhamento, quando os dados coletados são utilizados em benefício do titular.
  • Interesse legítimo do controlador – O inciso IX estabelece que o processamento de dados poderá ser executado para atendimento a interesse legítimo do Controlador. Em saúde, é o caso da emissão de contas, processamento de relatórios de produção e repasse, etc.

E claro, o consentimento informado, esclarecido e livre. Mas ele não será obrigatório se o processamento de dados se enquadrar entre aqueles definidos para atender as outras condições do art. 7º.

Não mencionei os incisos III, IV, VI, VII e X, por tratarmos aqui apenas de instituições de saúde. Mas em outros negócios, eles devem ser considerados antes da hipótese de uso do consentimento.

Um destaque importante é mencionar que os princípios do tratamento de dados, estabelecidos no art. 6º deverão ser observados, sempre, independente da base legal definida para a segurança do processamento.

Mais uma vez a importância do mapeamento de dados. Após responder que o dado é necessário, precisamos responder qual base legal justifica seu processamento. Somente se nenhuma outra base legal se enquadrar, se justificará o uso de consentimento.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *