Uma dúvida comum é quanto à aplicação da LGPD no setor da saúde, tendo em vista que, inevitavelmente, é um setor que lida com diversos dados pessoais.
É certo que a lei abrange todos os setores de atuação e as operadoras de saúde também precisam se adequar. Na área da saúde, a atenção e segurança devem ser redobradas, pois tratam-se de “dados pessoais sensíveis”, que, além de dizerem respeito à intimidade da pessoa, mais precisamente, são os dados genéticos, dados biométricos para identificar o ser humano, dados relativos a exames e ainda prontuários médicos, onde encontra-se todo o histórico do paciente contendo suas enfermidades.
E é justamente por isso que a adaptação das empresas do setor da saúde à LGPD é mais complicada, já que os dados pessoais sensíveis têm suas hipóteses de tratamento mais restritas.
E é por esse mesmo motivo, devido a esse grande volume de dados pessoais sensíveis, que o setor também atrai a atenção das quadrilhas, do crime organizado digital que mira no ataque a essas estruturas, visando obter alguma vantagem. Os principais tipos de ataques envolvem o sequestro de dados (ransomware) com a prática da chantagem (crime de extorsão).
O primeiro passo para a adequação do estabelecimento de saúde se dá através de um questionário específico que irá mapear todas as informações colhidas nas respostas, apontando as vulnerabilidades existentes no tratamento dos dados pessoais de cada paciente e cada setor da empresa, e então criando os planos de ação para conter possíveis incidentes de vazamento.
Posteriormente, esta base de dados será alimentada com dados pessoais sensíveis, devendo ser observado o que recomenda a Lei do Prontuário Médico, o Código de Ética Médica e a Resolução do Conselho Federal de Medicina.
Um ponto importante da LGPD na saúde é que o setor não está obrigado a ter o consentimento em todas as situações de tratamento de dados. A dispensa ocorre nos casos de proteção à vida ou tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa.
As organizações de saúde precisam, portanto, investir tempo, capital financeiro e recurso humano para mudar sua perspectiva e abordagem, já que para estar em conformidade com a nova regulamentação de proteção de dados pessoais é essencial aplicar melhores práticas de cibersegurança.
As empresas não devem somente se adequar a LGPD, mas também devem conseguir demonstrar que se adequaram, documentando todos os passos, aquisições e investimentos que fizeram na adequação.
