Sandra Franco*
Hospitais, clínicas, laboratórios ou consultórios médicos estão preparados para a entrada em vigor da LGPD – Lei Geral de Proteção de Dados – (Lei 13.709/2018) em agosto de 2020? Como as instituições médicas e hospitalares cuidam dos dados que coletam?
A LGPD tem como base princípios como respeito à privacidade, liberdade de informação e defesa do consumidor e representou uma grande avanço e inovação na regulamentação do tema no país, inspirada no Regulamento Geral sobre a Proteção de Dados (RGPD), vigente na União Europeia.
Nesse sentido, é mister que todos se adaptem à lei: as empresas e os consumidores. Segundo pesquisa divulgada no segundo semestre do ano passado pelo Serasa Experian, 85% das empresas ainda não estavam preparadas para as exigências dispostas na LGPD. O estudo envolveu executivos de 508 empresas do país, divididas entre 18 setores de atuação e dos mais variados portes.
Ao começar 2020, se repetida a pesquisa, os números não seriam muito diferentes, em especial no setor da saúde, que ocupava a última posição entre os setores mais preparados para a LGPD, com apenas 8,7% das companhias em conformidade com as novas obrigações.
De forma a buscar mais prazo para adequação das organizações, foi apresentado no Congresso o Projeto de Lei número 5.762, pelo deputado Carlos Bezerra (MDB-MT), que propõe o adiamento do início da vigência da LGPD em dois anos. Se aprovado, as novas regras passariam a valer, apenas, em agosto de 2022.
Chama atenção a justificação de tal projeto de lei. Carlos Bezerra utiliza-se de estudo intitulado Brazil IT Snapshot, da consultoria Logicalis, baseada em pesquisa realizada junto a 143 empresas nacionais, pela qual apenas 17% das instituições consultadas dispõem de iniciativas concretas ou já implementadas em relação à matéria. Essas informações são preocupantes considerando que 71% dessas empresas são de grande porte, dentre as quais 33% possuem faturamento anual superior a R$ 1 bilhão. Ora, essas empresas dispõem de assessoria jurídica e recursos financeiros para investir em ações de adequação às novas obrigações estabelecidas em lei e por que não o fazem?
A explicação pode estar em outro argumento do autor do PL, no sentido de que a equipe do presidente Jair Bolsonaro está demorando para definir os membros da Autoridade Nacional de Proteção de Dados (ANPD), autarquia responsável por regulamentar a lei e fiscalizar a adequação e aplicação por parte das empresas e do poder público. Junta-se a falta de ação do Governo com a evidência de que as empresas priorizam outras ações e contam com uma fiscalização precária no futuro, bem como os muitos recursos legais para se esquivar do pagamento de multas.
Também há aqueles que apostam na contratação de um seguro como forma de se proteger patrimonialmente, caso haja um vazamento de dados. Medida importante, pois é necessário prever as consequências por eventual vazamento, mas que não desobriga a empresa de seguir a lei.
Quatro notícias nacionais recentes ilustram um cenário de alerta para aqueles que não entenderam ainda a importância de proteger os dados, sob pena de inviabilizar seu próprio negócio. Em dezembro de 2019, uma empresa provedora de internet e TV a cabo sofreu ataques de hackers e teve seu sistema ameaçado de sequestro, caso não houvesse o pagamento de US$ 1 mil. Há casos de hospitais no Brasil que já precisaram pagar o valor exigido pelos hackers para que os dados de seus pacientes não desaparecessem ou ainda que fossem usados indevidamente. Imagine um hospital sem dados dos pacientes, sem o registro das prescrições médicas nos postos de enfermagem, sem informações financeiras.
Outra notícia refere-se a uma decisão judicial em uma ação proposta em face da Companhia Metropolitana no Estado de São Paulo cujo escopo foi o de questionar a segurança de dados em uma licitação para o serviço de sistema de monitoração eletrônica com reconhecimento facial. Na ação (proposta pela Defensoria Pública, IDEC e outros autores) a juíza se utilizou de artigos da LGPD para fundamentar sua decisão no sentido de que devessem ser juntados aos autos documentos que comprovem, entre outros: a confiabilidade e eficiência do sistema de monitoração; a análise de impacto de proteção de dados que serão coletados e tratados; a forma de obtenção de consentimento dos pais em caso de usuários crianças e adolescentes; como se realizará a governança de dados, incluindo detalhamento de seu controlador; se haverá compartilhamento de dados e a finalidade, enfim.
Por fim, uma empresa de georeferência recebeu a temida notificação do MPDFT (Ministério Público Federal e dos Territórios) questionando suas práticas de privacidade e de proteção de dados pessoais, antes da plena vigência da LGPD. Após 15 meses de trâmite, o Inquérito Civil foi recentemente arquivado, em razão de a empresa comprovar estar em conformidade com as regulamentações para a proteção de dados. Quantas empresas estariam preparadas para apresentar com transparência seus processos internos de tratamento de dados?
Em outras palavras, não se pode mais pensar em continuar a usar dados sem que se justifique o motivo da coleta, a finalidade, a forma de armazenar e o tempo de uso dos dados coletados. Sendo assim, o possível adiamento da vigência da lei caracterizaria um verdadeiro atestado de incompetência do Estado, tanto pelo Executivo quanto pelo Legislativo, em especial por afastar o país de outros países que já tratam a proteção de dados como fundamental para a sociedade de informação. A nova era digital trouxe avanços e benefícios à sociedade de forma inconteste. Não obstante, o preço a se pagar está diretamente relacionado ao abalo de direitos como a privacidade, o sigilo e a dignidade. Há muito a fazer para garantir essa segurança desejada na lei. Vale lembrar que entre as penalidades para o descumprimento da legislação está uma multa simples, de até 2% do faturamento da pessoa jurídica de direito privado alcançando até R$ 50 milhões por infração. Entretanto, o prejuízo maior está em tornar pública a infração, haja vista que a instituição perderá sua credibilidade por não cuidar dos dados de seus clientes/pacientes.
A legislação, ainda que careça de regulamentação em vários aspectos, representa um mudança estrutural na sociedade. A partir do efetivo funcionamento da ANPD, a fiscalização poderá coibir os abusos, determinar medidas técnicas de segurança a serem adotadas pelas instituições e punir, administrativamente, o mau uso de dados. Assim, usar o jeitinho brasileiro para adiar a lei, ou ainda cumpri-la apenas parcialmente, deixará o país, mais uma vez, com a reputação comprometida e sem a segurança jurídica necessárias para os negócios nacionais e internacionais. É isso mesmo que queremos?
*Sandra Franco é consultora jurídica especializada em Direito Médico e da Saúde, doutoranda em Saúde Pública, MBA/FGV em Gestão de Serviços em Saúde, fundadora e ex-presidente da Comissão de Direito Médico e da Saúde da OAB de São José dos Campos (SP) entre 2013 e 2018, membro do Comitê de Ética para pesquisa em seres humanos da UNESP (SJC) e presidente da Academia Brasileira de Direito Médico e da Saúde.