Notícias

Sabemos que a LGPD, lei 13.709/18, causa impacto em todos os ramos de negócio, mas é necessário admitir que a área da Saúde é indiscutivelmente uma das áreas que requer maior atenção, principalmente pelo momento de pandemia que estamos atravessando, pela complexidade dos contratos de privacidade, pelo crescimento exponencial dos crimes e golpes pela web, por tratar dados sensíveis que disponibilizados em aplicativos de comunicação sem as medidas de segurança adequados podem gerar danos irreparáveis ao paciente.

Com as medidas de isolamento impostas pelo governo, os crimes de furto e estelionato migraram da vida real para o virtual, crescendo assustadoramente o número de vítimas desses golpes. 

A prova disso foi a recente alteração do Código Penal pela lei 14.155/21, que amplia penas por crimes de furto praticados com o uso de dispositivos eletrônicos, dentre outras alterações.

Nestes termos, a área da saúde trata dados sensíveis, deflagrando medidas técnicas e administrativas mais severas, com o objetivo de garantir a proteção de dados dos titulares (pacientes).

Destaca-se então a necessidade de profissionais capacitados a orientar a governança de dados conjugando leis e princípios e ativos que mais se adequem a proteção do titular, sugerindo inclusive requisitos técnicos mínimos e avaliando e gerindo riscos que a ferramenta tecnológica deverá conter.

Coleta, retenção, processamento, compartilhamentos e eliminação de prontuários médicos, que podem ser também digitais, necessitará de uma ampliação de procedimentos seguros além dos previstos nas leis e resoluções existentes antes da LGPD.

Por isso, a importância da LGPD na saúde transborda o aspecto legal quando levamos em consideração a ética.

O profissional da saúde tem o dever ético de guardar o prontuário com segurança e permitir o acesso quando o paciente solicitar.

Aqui vale uma observação: não está necessariamente em compliance com a LGPD o profissional de saúde se este apenas contratar um portal ou sistema de qualidade. Da mesma forma este mesmo profissional não adequado à LGPD poderá sofrer sanções mesmo que os dados de seus pacientes estejam sendo tratados pelo contador experiente. A responsabilidade entre Controlador e Operador é solidária.

Não há dúvida, os profissionais de saúde estão mais expostos a processos judiciais por parte de pacientes e outros titulares de dados, bem como a sanções de órgãos fiscalizadores na área de proteção de dados como a ANPD, após agosto 2021. 

Constantemente sabemos, pela mídia, de multas em Hospitais e clínicas por violarem a LGPD, mesmo o art. 52 ainda não estando em vigor.

Acesso não autorizado, coleção excessiva de dados sem finalidades legais, violações, tratamento sem o devido consentimento, falta de aditivo contratual de privacidade são exemplos de possíveis fundamentações de sentenças condenatórias em processos judiciais trabalhistas e cíveis.

A probabilidade e o impacto de riscos aumentam vertiginosamente quando esse profissional utiliza o WhatsApp como ferramenta de trabalho.

Entramos então em mais um tema que é capitaneado por correntes divergente - o uso do WhatsApp e plataformas similares para a comunicação entre médicos e seus pacientes bem como entre médicos e médicos, em caráter privativo, para enviar dados ou tirar dúvidas.

Em que pese o parecer nº 14/2017 CFM e o respeito a opiniões contrárias, filiamos a corrente que orienta a não utilização do WhatsApp para comunicação entre médicos e pacientes ou entre médicos.

Sabemos que o WhatsApp é muito usado no Brasil, mas utiliza-lo como comunicação profissional é extremamente arriscado, principalmente nos tempos de pandemia.

Os profissionais de saúde precisam ficar atentos e se preocuparem com o tema pois é muito comum a clonagem do aplicativo por hacker que tendo aceso as informações disponibilizadas elaboram uma engenharia social com o objetivo de extorquir dinheiro inclusive do titular dos dados.

Nesse diapasão, com o intuito de coibir essas práticas, a lei 14.155/2021 alterou o Código Penal em alguns crimes como o do artigo 154 – A, dentre outras modificações, senão vejamos:

Invasão de dispositivo informático

Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:

Pena - reclusão, de 1 (um) a 4 (quatro) anos, e multa.

 Furto qualificado

Art. 155, § 4º-B CP. 

A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.       

Cumpre salientar que o furto (ou até mesmo a perda) do aparelho telefônico do médico, ou qualquer profissional de saúde, depois de anos de atendimento pelo WhatsApp, podem causar transtornos inimagináveis.

Dessa forma, esse celular poderá conter um verdadeiro arsenal para estelionatários: pdf, prontuários, informações sensíveis e íntimas, sigilosas...

Quando os dados sensíveis, que pertencem aos pacientes, forem furtados, o médico (controlador) é o responsável.

Então, caso houver qualquer incidente prejudicando direito fundamental a privacidade do paciente este poderá tomar medidas legais pleiteando indenizações significativas.

Importante salientas que é muito comum o resgate de dados apagados pelo aplicativo WhatsApp.

Por outro lado, resoluções somente são válidas se não violar preceitos legais.

Dessa forma, orientamos todos os profissionais da área de saúde a não usarem o WhatsApp como ferramenta de trabalho. 

Aliás, orientamos que nenhum profissional, de qualquer área, compartilhe informações relevantes por qualquer aplicativo gratuito sem as medidas de segurança adequadas exigidas por lei. Uma mudança de cultura requer acima de tudo conscientização, agilidade e mudanças de paradigmas, principalmente na governança de dados dos pacientes.

Autor: Lúcio Costa - Cofundador da Listen Service Governança de Dados.