Informações sobre estado de saúde de uma pessoa são dados pessoais especialmente protegidos pela Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), categorizados como “dados sensíveis.
A interpretação adequada é a que confere uma proteção ampla, incluindo todos os aspectos, quer físicos, quer psíquicos, da saúde de uma pessoa, conforme decidiu o Tribunal de Justiça da União Europeia em 2003, numa decisão que se tornou referência conceitual-interpretativa para o direito à proteção de dados pessoais dentro e fora da Europa.
Deste modo, o resultado de um exame médico, uma alteração momentânea do estado psicológico de alguém, o estado gestacional de uma mulher ou as circunstâncias em que se deu a gravidez, dentre muitos outros, são dados pessoais sensíveis, cujo acesso, gravação, transmissão ou divulgação somente são admissíveis nos termos da LGPD.
As profissões da área da saúde contam com regulação própria para o sigilo profissional relativo às informações do paciente. Entretanto, a Lei de Proteção de Dados impõe obrigações adicionais e estabelece parâmetros que devem ser convertidos em padrões de conduta para o tratamento dos dados pessoais pelas instituições de saúde, incluindo os dados pessoais dos próprios profissionais, colaboradores e parceiros.
Determina a LGPD que os agentes de tratamento de dados devem adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de tratamento inadequado ou ilícito.
Os hospitais ou outras instituições de saúde são os “agentes de tratamento de dados” responsáveis por implementar tais medidas de proteção e segurança dos dados internamente. Uma medida crucial no dia-a-dia destas instituições é promover ações de conscientização e treinamento em proteção de dados pessoais para os colaboradores e profissionais. Isto porque eventual vazamento de dados por conduta inadequada de um colaborador, ou prestador de serviços, implica em responsabilidade civil e administrativa direta da instituição, pelo incidente de segurança com os dados. No campo da responsabilidade civil, ela pode ser condenada a indenizar o titular dos dados por danos patrimoniais e morais. Na seara administrativa, fica sujeita a aplicação de multa de até 2% do faturamento, por infração, que pode chegar a cinquenta milhões de reais, bem como a outras penalidades desde a publicização da infração até a suspensão ou proibição de uso dos dados afetados ou mesmo de todo o banco de dados pessoais.
O acesso não autorizado ao dado pessoal acontece sempre que alguém toma ciência de uma informação de que não necessita para o exercício das suas funções. Tal pode se dar num simples bate-papo entre os colaboradores da instituição ou mediante a publicação de fatos nas redes sociais ou mesmo a sua transmissão por e-mail ou aplicativos de conversas, como WhatsApp.
Pesquisas já revelaram que a conduta humana é das principais causas de incidentes de segurança de dados pessoais.
Ainda que a publicação se dê no perfil pessoal de alguém nas redes, a publicação irrestrita de dados pessoais na internet se sujeita às regras da LGPD. Por outro lado, se uma pessoa publica informação custodiada pelo hospital ou outra instituição de saúde, tenha ela tomado ciência dentro da instituição, ou por alguém de dentro, a instituição de saúde terá descumprido os deveres impostos pela LGPD e se sujeitará a responder perante o titular dos dados (responsabilidade civil) e à Autoridade de Proteção de Dados – ANPD (responsabilidade administrativa). O descumprimento da LGPD torna mais gravosa a responsabilidade da instituição, face ao direito fundamental à proteção de dados, consagrado na Constituição Federal.
A possibilidade de redução dos impactos desta responsabilidade depende da demonstração, por parte da instituição, de ter adotado previamente as medidas técnicas e administrativas ao seu alcance para proteger os dados. Trata-se da aplicação dos princípios da responsabilização e prestação de contas (“accountability”), da prevenção e do “privacy by design”, dos quais decorre o dever legal não apenas de instituir as medidas de proteção, como também de ter como demonstrar a sua implementação e aptidão de eficácia.
As instituições devem instituir planos de resposta aos incidentes de segurança de dados pessoais, que incluam a previsão de instauração de sindicância e penalização dos infratores, devendo guardar registros das ações de conscientização e treinamento da equipe.