PUBLICIDADE

Coluna | Seu Direito
Dra. Christiane Reyder
contato@privacyempower.com
Advogada, Consultora e Mentora em proteção de dados. Mestre e Doutoranda em Direito pela Univ. Lisboa.
Perfil no Instagram: @chrisreyder_protecaodedados
 
O compartilhamento do prontuário do paciente em clínicas e consultórios médicos pode ser um problema face à LGPD
20/05/2021
 
PUBLICIDADE

Com o advento da Lei Geral de Proteção de Dados do Brasil – LGPD (Lei nº 13.709/2018), não somente os hospitais, mas também as clínicas e consultórios médicos precisam adequar as operações de tratamento de dados pessoais que realizam aos termos da Lei, mas muitos ainda não têm noção concreta do impacto da LGPD na sua atividade.

A praxe verificada, em algumas clínicas, de compartilhamento de prontuário médico, merece algumas considerações. Para além da situação pertinente à deontologia médica, as informações relativas à saúde do paciente constituem dados pessoais sujeitos à disciplina da LGPD e ainda, classificados como dados sensíveis (art. 5º, II), ou seja, passíveis de sujeitar o seu titular a situações discriminatórias e que, por esta razão, integram uma categoria de informações potencialmente mais danosas que outras.

O acesso à informação pessoal é uma forma de tratamento de dados (art. 5º, X), sujeitando-se aos princípios instituídos na LGPD e à existência de uma base legal. Portanto, o acesso posterior de um determinado profissional às informações lançadas no prontuário do paciente, por outro profissional, sujeita-se à indicação prévia (e registro, para ulterior prestação de contas) de um propósito legítimo, específico, explícito e informado ao paciente (princípio da finalidade – art. 6º, I). Afinal, ainda que tenha o paciente dado o seu consentimento para tratamento dos seus dados pelo médico que o atendeu, o acesso àquelas informações, por outro profissional, consiste em tratamento de dados diverso e posterior que, para além de ser compatível com a finalidade original, carece de uma base própria de conformidade com a Lei.

O segundo profissional pode obter diretamente do paciente o seu consentimento para acessar as informações constantes do seu prontuário, colhidas e armazenadas por outro profissional, muitas vezes de especialidade diversa. Há também a opção daquele segundo profissional utilizar a base legal da tutela da saúde (art. 7º, VIII da LGPD), o que dispensaria o consentimento do titular dos dados. No entanto, em qualquer das hipóteses, há que ficar registrado o acesso (ou seja, é preciso uma autenticação para acessá-lo, não devendo o prontuário estar disponibilizado no servidor para acesso sem identificação), bem como o segundo profissional deve, antes de acessar, informar a base legal em que sustenta o seu conhecimento daquela informação e a finalidade do acesso. Caso pretenda fazer cópia daquela parte do prontuário, deve se restringir às informações estritamente necessárias ao fim indicado (princípio da necessidade - art. 6º, III) e deve ficar registrado também o tratamento de dados representado pela cópia (eletrônica ou impressa) daquelas informações.

A indicação de registro das operações de tratamento de dados consiste numa obrigação imposta pela LGPD aos agentes de tratamento (art. 37) e é a forma genuína de se desincumbir do dever de accountability, positivado na LGPD expressamente como o princípio da responsabilização e prestação de contas (art. 6º, X – “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”), mas que é também um dos pilares do regime jurídico da proteção de dados pessoais, densificado em diversas outras normas.

Caso o acesso ao prontuário, por parte do segundo profissional, não cumpra um protocolo de conformidade com a LGPD, como acima exemplificado, tem-se um acesso não autorizado aos dados do paciente, o que configura hipótese de violação da confidencialidade dos dados, passível de penalização. É disso também que trata o art. 46 da LGPD, quando dispõe ser dever dos agentes de tratamento de dados adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados de acessos não autorizados ou qualquer outra forma de tratamento inadequado ou ilícito.

Certamente que há vários outros aspectos a serem considerados. No processo de adequação à LGPD, após o mapeamento dos dados é que, na fase de diagnóstico, tais pontos de desconformidade são revelados e devem ser objeto de propostas de soluções a serem implementadas.
PUBLICIDADE
 
 
Últimos artigos deste colunista
14/03/2024
04/10/2023
15/09/2023
30/08/2023
« ver todos
 
KTO

Varginha Online - © 2000-2024


Provedor e Parceiro Oficial
IPHosting