Todas as áreas precisam estar atentas ao cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) – lei 13.709/18, mas a área de saúde tem uma preocupação especial: os dados sensíveis.

Dispõe a LGPD, que dados sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (artigo 5º, inciso II).

Quando a atuação prática entra em cena, há a necessidade de aplicar medidas e controles de segurança, bem como de conseguir demonstrar conformidade e cumprir o princípio da responsabilização e prestação de contas (artigo 5º, inciso X, da LGPD). Ainda que o artigo 41 da LGPD, elenque as atividades do DPO (Data Protection Officer, também conhecido como Encarregado pelo Tratamento de Dados Pessoais), é sabido que suas responsabilidades irão muito além do que ali foi indicado, trabalhando com a minúcia necessária junto com o Controlador a fim de garantir a proteção dos dados pessoais objeto do tratamento.

A importância de ter um DPO nas instituições de saúde não é justificada apenas pelo cumprimento da LGPD, mas também, por questões organizacionais, de governança e econômicas. Além desse profissional ser o elo entre agentes de tratamento, titulares de dados pessoais e ANPD (Autoridade Nacional de Proteção de Dados), atividades de extrema relevância, ele conseguirá perceber quais as relações comerciais mais seguras para a instituição, em termos de proteção de dados, como por exemplo, empresas que já estejam se adequando à Lei e a utilização de serviços e produtos que já envolvam privacy by design e privacy by default.

Além de verificar processos que envolvam dados pessoais e conscientizar as pessoas, levando em consideração a complexidade de se tratar dados pessoais sensíveis, o DPO terá como objetivo a busca e garantia da conformidade com a LGPD, evitando, assim, sanções administrativas e judiciais, perda de competitividade e até prejuízos.

Ter um DPO impacta não somente na nova forma de tratar fluxos e processos internos da área de saúde, mas também, na continuidade de negócios das instituições. Ter um DPO traz um senso maior de responsabilidade com relação aos dados pessoais e dados pessoais sensíveis dos titulares, organiza melhor a estrutura de gestão interna, com classificação de informações com base em sua sensibilidade, possibilita a escolha de fornecedores preparados para lidar com as questões que envolvam privacidade e proteção de dados pessoais, avalia a melhor forma de fechar contratos, dentre outras ações.

A LGPD não obriga que o DPO seja certificado ou tenha exercido determinada função, apenas, em seu artigo 41, no § 1º, dispõe que as informações do DPO deverão ser divulgadas publicamente. Já o GDPR (Regulamento Geral Europeu de Proteção de Dados), em ser artigo 37, dispõe que o responsável pela proteção de dados será designado com base em qualidades profissionais e, em particular, conhecimento especialista da lei de proteção de dados, bem como as práticas e a capacidade de realizar as tarefas referidas no artigo 39 (artigo que elenca as atividades do DPO, no GDPR). Logo, fica clara a importância desse profissional dentro da instituição, o qual pode ser terceirizado para se obter esta especialização e independência.

Atender às solicitações dos titulares de dados pessoais, elaborar estruturas para portabilidade de dados pessoais e criar plano de governança são tarefas do cotidiano. A LGPD, em seu artigo 50, dispõe sobre a possibilidade, por parte de Controladores e Operadores, regras de boas práticas e governança. No entanto, para chegar neste ponto, há diversas fases a serem cumpridas previamente.

Mapear processos e analisar riscos de uma instituição de saúde é uma das tarefas mais complexas para os profissionais de privacidade. O data mapping de um hospital, a título de exemplo, é um dos mais difíceis de ser elaborado. E como definir uma base legal (artigo 7º da LGPD)? Ainda que o consentimento não seja a resposta para tudo (como muitos pensam, erroneamente), quando se fala em dados sensíveis, sua força é notória. Ainda, é salutar a compreensão de que aqui serão tratados, documentos como prontuários médicos, exames e receitas. Haverá a necessidade de criar fluxos e processos para atendimentos de pacientes e seus acompanhantes, agendamento de consultas, elaboração e entrega de exames, acompanhamento de cirurgias, armazenamento e administração de medicações, atendimento aos planos de saúde, revisão de contratos com terceiros e etc.

Inclusive, ocorrerão situações que envolverão o tema transferência internacional de dados (artigo 33 da LGPD): como tratar, por exemplo, dados de pacientes estrangeiros? Como será a tratativa com um plano de saúde em outro país? Fluxos e processos deverão ser adaptados com base no disposto na Lei.

O artigo 46 da LGPD, estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Reflitamos: Como controlar acessos aos prontuários dentro de um hospital, sejam eles físicos ou eletrônicos, por exemplo? Como supervisionar a utilização de crachás, para que somente pessoas autorizadas tenham acesso à determinados setores? Como organizar um cronograma de treinamentos, considerando as extensas horas de trabalho?

Além das situações mencionadas anteriormente, salienta-se, ainda, que além da LGPD, outras leis e regulamentos deverão ser considerados, tais como o Código de Ética de Medicina, as Resoluções da ANVISA, Resoluções do Ministério da Saúde, normas da Agência Nacional de Saúde Suplementar (ANS), dentre outros, aumentando a essencialidade de análises e estruturas organizadas com prudência e atenção.

E as referências não são apenas dados de saúde, dados genéticos e dados biométricos (artigo 11 da LGPD), mas também, dados pessoais de crianças e adolescentes (artigo 14 da LGPD). Como coletar e fazer a gestão dos consentimentos dos pais e/ou responsáveis legais? Como serão os fluxos de dados com as assistências sociais e os planos de saúde?

Elaborar um ROPA (Record of Processing Activities) e criar um plano de ações e de governança, por exemplo, são responsabilidades primordiais, no entanto, deve-se pensar nas seguintes etapas: revisar fluxos, processos, políticas e demais documentos de privacidade, estabelecer um canal de comunicação com o DPO, criar comitês de privacidade e/ou riscos, criar workflow para atendimento aos titulares de dados pessoais, elaborar um plano de resposta a incidentes, dentre outros, sempre levando em consideração a sensibilidade das situações e dos dados pessoais que serão tratados.

Diante do exposto, no que tange às instituições de saúde, fica clara a necessidade de que o DPO conheça não somente a matéria de proteção de dados pessoais, gestão de pessoas, processos e de segurança da informação, mas também, domine o segmento da área em que vai atuar. A área de saúde é intensa e peculiar, primando por profissionais não somente experientes e conhecedores dos processos internos, mas também, capacitados a atuar com sua complexidade e sensibilidade.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Atuação do encarregado pelo Tratamento de Dados Pessoais (DPO) nas instituições de saúde apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

1 – O que são dados sensíveis e qual é finalidade do tratamento?

Dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Já o dado pessoal sensível, de acordo com a Lei Geral de Proteção de Dados Pessoais, é o dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A LGPD é regida por alguns princípios jurídicos e, um dos principais é o da finalidade: a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Sempre se pergunte: Por qual motivo estou acessando/solicitando esse dado? Ao solicitar e tratar dados pessoais de pacientes (para cadastros, preenchimentos de prontuários, realizações ou entregas de exames, repasse de informações para sites de farmácias, agendamentos de consultas, dentre outros), o hospital deve ter transparência e clareza, bem como explicar quais as reais finalidade e necessidade para o tratamento desses dados pessoais.

2 – O que são bases legais e como estão relacionadas aos hospitais?

A Lei Geral de Proteção de Dados Pessoais elenca 8 bases legais que permitem o tratamento dos dados sensíveis, quais sejam: consentimento do titular, cumprimento de obrigação legal ou regulatório pelo controlador, execução de políticas públicas, estudos por órgãos de pesquisa, exercício regular de direitos, proteção da vida, tutela da saúde e proteção do crédito. Importante verificar qual a base legal que permite o tratamento dos dados, a fim de cumprir o que dispõe a LGPD. Atenção! Importante o controlador fazer a filtragem do que é e do que não é dado sensível, vez que os dados não considerados sensíveis possuem um rol mais amplo de possibilidades para o seu tratamento.

.3 – Como tratar os dados pessoais dos pacientes?

Inicialmente, pensando na tríade de princípios: finalidade (por qual motivo preciso desse dado), adequação (finalidade e tratamento compatíveis) e necessidade (utilizar somente os dados necessários para cumprimento da finalidade). Também, é válido fazer atualizações dos sistemas, ter um portal para que os titulares de dados possam exercer seus direitos, bem como conscientizar os colaboradores. Sem esquecer do Encarregado de Proteção de Dados (DPO), claro! A LGPD tem por objetivo a proteção da liberdade e da privacidade dos titulares de dados, logo, ter uma política de privacidade é de suma importância. O armazenamento dos dados pessoais deve ser feito de forma transparente e segura, a fim de preservar a privacidade de seus titulares. Outro lembrete: é importante realizar um exame detalhado da base de dados e, havendo dados sensíveis, é necessária a obtenção de consentimento inequívoco de seus titulares ou encaixe em uma das exceções previstas na LGPD!

4 – Quais as regras para o compartilhamento dos dados pessoais?

A forma de compartilhamento também deve ser observada. O cuidado deve ser geral: com elaboração de receitas, utilização de sistemas de farmácias, entrega de exames (via internet ou física), utilização de softwares para agendamentos de consultas e exames, preenchimento e guarda de prontuários, utilização de dados biométricos, dentre outros. É fundamental que todos os processos dentro do hospital sejam mapeados e compreendidos, a fim de identificar e mitigar os riscos. Dicas que facilitam o entendimento e o cumprimento das regras: aplicar treinamentos, utilizar ferramentas e controles de segurança, realizar campanhas de conscientização, elaborar política de privacidade e políticas internas, ter um sistema de gestão (que seja adequado à LGPD), implementar governança e boas práticas. Ainda, é válido sempre verificar com o terceiro interessado que receberá os dados, os contratos celebrados, os papéis de controlador e operador entre as partes, bem como viabilizar possíveis solicitações e atendimento aos titulares de dados em ambas as pontas (de quem envia e de quem recebe).

5 – No caso de vazamento dos dados pessoais sensíveis, quais serão as consequências?

Em caso de descumprimento da LGPD e de infrações comprovadas, com dados pessoais ou dados pessoais sensíveis, podem ocorrer as seguintes sanções administrativas: advertência, multa simples, de até 2% do faturamento da pessoa jurídica, limitados até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicização da infração (quando devidamente apurada e confirmada); bloqueio dos dados pessoais e eliminação dos dados, dentre outros, todas elencadas no art. 52 da LGPD. Sem contar os danos reputacionais e possíveis ações judiciais por parte dos titulares dos dados! É primordial ter uma equipe multidisciplinar, com objetivos e prazos bem definidos, a fim de realizar a adequação à lei e evitar prejuízos futuros.

Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Dispositivos da LGPD aplicados ao setor hospitalar apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Segundo Analluza, a pesquisa clínica, conforme estabelecido no Direito, é aquela conduzida em seres humanos com o objetivo de descobrir ou confirmar os efeitos clínicos e/ou farmacológicos e/ou qualquer outro efeito farmacodinâmico do medicamento experimental, bem como identificar qualquer reação adversa ao medicamento experimental ou, ainda, estudar a absorção, distribuição, metabolismo e excreção do medicamento experimental para verificar sua segurança e eficácia.

“O indivíduo, ao submeter-se voluntariamente aos testes clínicos de novo medicamento, ainda sem registro pela autoridade regulatória, geralmente doente, carrega a esperança da busca de cura ou melhora de seu estado de saúde”, explica a autora.

O livro busca demonstrar que a rápida evolução dessa atividade no Brasil propicia a formação do direito da pesquisa clínica como ramo sui generis do ordenamento jurídico nacional. O objetivo, de acordo com a autora, é a análise do contrato internacional de pesquisa clínica, concentrando-se o estudo na pesquisa multicêntrica global de fase III, que precede a comercialização do novo medicamento.

Nesse âmbito, a relação jurídica tem necessariamente conexão com mais de um ordenamento jurídico, sendo que o direito internacional privado é chamado a reger, valendo-se do instituto das normas de aplicação imediata ou public policy rules, tanto nacionais quanto estrangeiras, com vistas a oferecer uma contratação célere, existente, válida e eficaz no Brasil.

A obra está voltada à comunidade jurídica e para médicos, biomédicos, farmacêuticos, biólogos e outros profissionais da pesquisa clínica que trabalham em empresas do ramo farmacêutico, Organização Representativa para a Pesquisa Clínica (ORPC) e centros de pesquisa clínica no País.

Advogada com sólida experiência prática no tratamento do tema, Analluza Bolivar Dallari, recebeu o título de Doutora pela Faculdade de Direito da Universidade de São Paulo (USP) por tese voltada ao estudo do contrato de pesquisa clínica.

 SERVIÇO

Evento: Lançamento do livro “Contrato de Pesquisa Clínica”.
Dia: 12/12/2019
Local:  Livraria da Vila – Alameda Lorena, 1731 – Jardins.
Horário: 18h30 às 21h30.

O post Analluza Bolivar Dallari lança livro no dia 12 de dezembro apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

O texto aprovado seguirá para sanção presidencial e as obrigações estabelecidas pela LGPD passarão a vigorar a partir de agosto de 2020.

Além da criação da ANPD, foram alterados dispositivos importantes relacionados à área da saúde.

A versão inicial da LGPD vedava, a não ser mediante autorização do titular, a comunicação ou o uso compartilhado de dados pessoais sensíveis de saúde (como prontuários), com objetivo de obter vantagem econômica. A partir de agora, será possível a comunicação ou o uso compartilhado desses dados (art. 11, § 4º), desde que o titular consinta ou para a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde (como os reembolsos).

Uma das principais críticas à LGPD é que ela poderá atrasar os programas de inteligência artificial (IA) que, dentre outras soluções, poderiam diagnosticar o câncer e rastrear distúrbios genéticos.

Na medida em que o art. 11, § 3º da LGPD prevê que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores (como prontuários) poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, estabeleceu-se uma zona nebulosa no caminho da inovação na área da saúde.

A AI, para funcionar adequadamente, exige o processamento de uma quantidade enorme de dados.

A partir do progressivo sucesso do reconhecimento de imagens, a IA poderia ajudar os patologistas a identificar rapidamente situações de risco, potencializando o resultado das lâminas ou até indicando possíveis células cancerígenas.

Da mesma maneira, a IA poderia ampliar a eficiência dos exames radiológicos e melhorar a precisão dos diagnósticos.

Muitas são as razões de ordem técnica que contribuem para atraso nas pesquisas. É sempre difícil reunir grandes conjuntos de dados (big data) de saúde que representem uma certa população.

Em primeiro lugar, os dados estão pulverizados em uma infinidade de consultórios, laboratórios e hospitais, que por sua vez usam diferentes sistemas de registros.

Em segundo lugar, é difícil obter informações desses sistemas, pois normalmente os prestadores, em qualquer ramo profissional, não pretendem facilitar a migração dos dados.

Em terceiro lugar, há agora a Lei Geral de Proteção de Dados (LGPD).

Um dos principais efeitos da lei é tornar bem mais difícil que médicos e hospitais compartilhem dados com pesquisadores que podem promover a inovação, como as startups (ou healthtechs).

A lei impõe uma série de restrições e procedimentos, que marca toda a cadeia de uso de dados, ameaçando eventuais incidentes com pesadas multas e interdições.

Os modelos algorítmicos de IA não produzem resultados adequados quando o treinamento é realizado em amostra de dados não representativa. Por essa razão,  a tecnologia de reconhecimento facial hoje é muito mais eficaz em homens brancos do que em mulheres negras.[1] Assim, se as startups de saúde utilizarem exclusivamente o banco de dados de um hospital de elite de São Paulo, por exemplo, capaz de implantar todos os cuidados e procedimentos previstos na lei de proteção de dados, corre-se o risco de reproduzir esse preconceito na medicina, marginalizando ainda mais as comunidades pobres de outras regiões.

Para que a sociedade colha os benefícios da AI e das inovações científicas na área da saúde, é necessário repensar e simplificar o compartilhamento de dados, inclusive, com a perspectiva de ganhos financeiros para os investidores.

A primeira medida é a edição de salvaguardas para a pesquisa na área da saúde pela Autoridade Nacional, reconhecendo o “legítimo interesse” para o setor (art. 10) e regulando as hipóteses de tratamento sem o consentimento prévio.

A segunda medida é o acompanhamento das pesquisas e da própria concepção do negócio em conjunto com especialistas na LGPD, evitando-se prejuízos e interrupções.

Considerando a imensa gama de dados pessoais que são entregues diariamente por milhões de brasileiros em redes sociais sem grandes contrapartidas, o compartilhamento de dados na área da saúde parece trazer algo em troca: o potencial para uma vida mais longa e saudável.

[1] https://www.nytimes.com/2018/02/09/technology/facial-recognition-race-artificial-intelligence.html.

O post LGPD restringe inovações na saúde apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.