30 PERGUNTAS SOBRE LGPD E SAÚDE

INTRODUZINDO LGPD, SAÚDE E A LBCA

Com quase 20 anos no mercado jurídico, a Lee, Brock, Camargo Advogados
(LBCA) tornou-se uma banca de referência em todas as áreas do Direito
Empresarial, ao atuar com base em três pilares principais: inovação,
credibilidade e resultados positivos para o cliente e possui expertise em Direito
Digital com trabalhos na área consultiva e contenciosa há mais de 10 anos.

Mantendo uma equipe altamente qualificada e especializada em privacidade e

proteção de dados, a LBCA oferece diversos serviços aos seus clientes, incluindo
uma consultoria para a implantação de programas de adequação à legislação
nacional e estrangeira, que são customizados para a realidade de cada empresa
e a atuação como Data Protection Officer (DPO) as a Service.

A proteção e a privacidade de dados pessoais no Brasil enfrentaram muitos

desafios até a constituição de marcos regulatórios importantes, como a Lei Geral
de Proteção de Dados (LGPD, Lei nº. 13.709), aprovada e sancionada em 2018. O
texto sofreu significativa influência da legislação europeia, o Regulamento Geral
sobre Proteção de Dados (GDPR), editado dois anos antes. A LGPD enfrentou
uma série de adiamentos e apenas entrou em vigor em agosto de 2020 e suas
sanções começaram a viger somente no ano seguinte, em agosto de 2021.

No Brasil, o direito à privacidade tem garantia constitucional (art.5º., inciso X) e

está previsto em outros diplomas legais, mas as regulações específicas ampliam
a segurança jurídica dos titulares de dados pessoais, seja na comunicação, nas
relações sociais ou de consumo dentro da sociedade da informação em rede, na
qual a maioria das ações do humanas, movidas por clicks, são transformadas
em dados .

A finalidade para uso e tratamento dos dados pessoais por meio do consentimento
inequívoco do titular está na base da LGPD e das políticas de privacidade. É um
aprendizado para as empresas brasileiras que iniciam sua adequação à LGPD,
ao mesmo tempo que buscam se adaptar ao crescimento das demandas dos
titulares de dados, que estão valorizando mais suas informações e são mediadas
pelo Encarregado, expressão trazida pela nossa lei, ou DPO, que é como essa
figura ficou amplamente conhecida em razão do GDPR. A LGPD se aplica a todas
as empresas, mas a regulação é mais incisiva em alguns segmentos - como as
instituições de saúde – porque tratam grandes volumes de dados sensíveis,
que ganham maior nível de proteção legal, porque podem gerar discriminação
ao titular, especialmente se envolver crianças e adolescentes. Os dados

2
sensíveis são relativos à etnia-raça, convicções religiosas e políticas, saúde,
questões genéticas e biométricas da pessoa natural, dentre outros fatores.
Hospitais, clínicas, laboratórios lidam com dados sensíveis de pacientes, que
devem ser tratados com um maior rigor de segurança e observância à legislação.
Os gestores precisam garantir a segurança desses dados - estejam estes em
prontuários, resultados de exames, telemedicina, intercâmbio de informações,
tratamento ministrado etc.) contra acessos não autorizados ou possíveis
vazamentos.

No caso de menores de idade, o tratamento desses dados pessoais depende

do endosso ao termo de consentimento dos pais ou responsável legal e devem
estar em conformidade com a LGPD. Ao garantir a segurança e transparência
dos dados, a empresa mitiga os riscos durante o tratamento e as sanções,
no caso de ocorrer um incidente de segurança. Vigendo em sua plenitude,
depois de um longo período de vacância da lei, a LGPD está produzindo seus
efeitos de proteção aos direitos à privacidade e proteção de dados pessoais e
promovendo uma mudança cultural nas corporações e na sociedade. O projeto
de aprimoramento da LGPD continua sob o comando da Autoridade Nacional de
Proteção de Dados (ANPD), responsável por orientar, regular, fiscalizar e aplicar
as sanções administrativas da nova Lei.

A presente cartilha possui 30 perguntas e respostas sobre a aplicação da LGPD

no setor de saúde e traz uma visão geral passando pelas questões de aplicação
e afastamento de incidência da norma, os conceitos importantes, princípios
e fundamentos, bases legais, detalhamento sobre os agentes de tratamento,
atuação do DPO e questões práticas sobre a utilização de dados pessoais no
setor da saúde.

TENHA UMA BOA LEITURA!

Guia definitivo para adequação das empresas da área da saúde na lgpd
Entenda através do FAQ de 30 perguntas sobre LGPD e a saúde, a complexidade que
o setor enfrenta com a LGPD por lidar com dados sensíveis e saiba como aplicar a
LGPD ao seu negócio.

3
30 PERGUNTAS SOBRE LGPD E SAÚDE

01
O QUE É A LGPD?
A Lei Federal nº 13.709, de 14 de agosto de 2018, também conhecida por Lei Geral
de Proteção Dados ou LGPD, está vigente no Brasil desde setembro de 2020 e é o
conjunto de normas voltadas para a garantia da privacidade e da proteção geral
de dados pessoais ou pessoais sensíveis que sejam objeto de tratamento por
pessoa natural ou por pessoa jurídica de direito público ou privado.

02
EM QUE SITUAÇÕES A LGPD SE APLICA?
A Lei se aplica a qualquer pessoa natural ou por pessoa jurídica de direito público
ou privado que faça operação de tratamento (toda operação realizada com os
dados), independentemente do meio (online e/ou offline), do país de sua sede ou
do país onde estejam localizados os dados, desde que a atividade de tratamento
tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento
de dados de indivíduos localizados no território nacional e, além disso, os dados
pessoais objeto do tratamento tenham sido coletados no território nacional, de
acordo com o art. 3º da LGPD.

03
O QUE SÃO “DADOS PESSOAIS”?
Dados Pessoais são todas as informações relacionadas à pessoa natural
identificada ou identificável, de acordo com o Art.5º, I da LGPD, como, por
exemplo,o nome, data de nascimento, e-mail, telefone e CPF.

04
O QUE SÃO “DADOS PESSOAIS SENSÍVEIS”?
São todos os dados pessoais relacionados com origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual,
dado genético ou biométrico, quando vinculado a uma pessoa natural. Com base
no art. 5º, II da LGPD.

4
05
O QUE É “TRATAMENTO DE DADOS”?
É toda operação realizada com dados pessoais, como as que se referem à coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência,
difusão ou extração, nos termos do inciso X do art. 5º da LGPD. Em resumo, tudo
o que é feito com dados pessoais pode ser considerado como uma atividade de
tratamento.

06
QUEM SÃO OS TITULARES DE DADOS PESSOAIS?
De acordo com o artigo 5º, inciso V da LGPD, o titular de dados pessoais é
toda pessoa física a quem se refere os dados pessoais que são objetos de
tratamento. Desta forma, pessoas jurídicas detentoras de CNPJ não podem ser
titulares de dados pessoais. O atendimento aos direitos dos titulares, trata-se
de ação fundamental que deve ser garantida e cumprida. Isto porque, a LGPD
com o objetivo de fornecer maior controle para os titulares sobre o tratamento
dos seus dados pessoais e assegurar os seus direitos de liberdade, intimidade
e privacidade.
30 PERGUNTAS SOBRE LGPD E SAÚDE

07
COMO A LGPD IMPACTA O SETOR DE SAÚDE E POR QUAIS
MOTIVOS O SETOR DE SAÚDE DEMANDA UM NÍVEL MAIOR DE
PROTEÇÃO DE DADOS?
A LGPD impacta o setor de saúde a partir do momento em que cria uwm reforço na
proteção de dados de saúde, definindo-os também como dados sensíveis, sendo
necessário o controle no tratamento de dados em relação ao consentimento do
paciente e garantir total segurança para o tratamento de dados sensíveis para
os fins autorizados. Por tratar dados pessoais sensíveis, a área da saúde deverá
observar as melhores práticas de privacidade e proteção de dados.

Além disso, o setor de saúde demanda uma atenção especial por conta do
nível de sensibilidade das informações que são tratadas. Isso porque, dentro do
conceito de dados pessoais sensíveis há uma divisão para considerar os dados
de saúde como uma categoria especial de dados pessoais sensíveis. Falamos
das informações como o CID que é informado no atestado médico, o tipo de
exame ou procedimento que foi realizado, as informações médicas que foram
registradas no prontuário do paciente, etc.

As empresas ligadas ao setor de saúde estão entre as mais visadas para

ataques cibernéticos, superando o setor de varejo que foi altamente afetado nos
últimos anos. Os cibercriminosos sabem que os ataques que envolvem dados de
pacientes podem afetar a continuidade dos atendimentos médicos e, em razão
disso, caso não haja um backup atualizado e medidas de segurança capazes de
garantir a confidencialidade, integridade e disponibilidade dos dados pessoais,
numa tentativa de ransomware, por exemplo, há uma possibilidade de cobra ao
tratamento de dados pessoais.

DADO PESSOAL DADO SENSÍVEL DADO DE SAÚDE

6
08
EM QUAIS MOMENTOS OCORRE O TRATAMENTO DE DADOS EM
UMA RELAÇÃO MÉDICO-PACIENTE?
O tratamento de dados ocorrerá sempre que forem praticadas ações como coleta,
acesso, armazenamento de dados e as demais previsões do art. 5º, X, da LGPD.
Para exemplificar, temos a coleta de dados de anamnese, acesso do médico
ao prontuário, processamento de informações sobre planos de saúde, dentre as
outras muitas que compreendem o procedimento hospitalar e acompanhamento
do paciente.

09
QUAIS OS PAPÉIS QUE PODEM SER EXERCIDOS NUMA ATIVIDADE
DE TRATAMENTO DE DADOS?
De acordo com o art. 5º, da LGPD, temos duas figuras na atividade de tratamento
de dados:

• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem

competem as decisões referentes ao tratamentos de dados pessoais;

• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza

o tratamento de dados pessoais em nome do controlador;

• Exemplo 01: Um médico e um contador. O médico é o controlador dos dados

de seus pacientes e de seus funcionários, enquanto o contador é operador,
realizando o tratamento de dados pessoais em nome do médico, que é o
controlador.

• Exemplo 02: O hospital e o médico. O hospital será o controlador dos dados,

enquanto o médico, quando credenciado como pessoa jurídica, poderá atuar
na função de operador; neste caso, se o médico for um empregado (CLT),
não será considerado como operador, mas apenas como um representante
e preposto do hospital.
 30 PERGUNTAS SOBRE LGPD E SAÚDE

10
QUEM É O ENCARREGADO DE PROTEÇÃO DE DADOS?
O Encarregado de Proteção de Dados, também é conhecido como Data Protection
Officer (ou DPO), é a pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre eles, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD). Dentre suas atribuições estão os deveres
de aceitar reclamações e comunicações dos titulares e ANPD, bem como prestar
esclarecimentos e orientar os funcionários a respeito das práticas de proteção
de dados pessoais. Dentre as principais atribuições do DPO, encontramos:

dentes
inci Ges
de tã
o
tã

od
Ges

ec
ontrole
o
isc
d er
ão

st
Ge
Gestão da estr

ção
ntiza
s ice Bo
a
n
co

sp
ráti
utu

cas
ra d

s
do
ep

da
ri v

c id
de
a

ad ão
e
roteç
compliance

Relató oàp
rio de impact
11
A NOMEAÇÃO DO ENCARREGADO DE PROTEÇÃO DE DADOS É
OBRIGATÓRIA?
Sim, de acordo com a regra do art. 41 da LGPD, cada agente de tratamento de
dados deverá nomear um encarregado (DPO), independente do seu porte. Assim,
tanto o hospital ou clínica devem possuir um DPO nomeado, como também o
profissional médico (quando atuar como credenciado pessoa jurídica) deve
indicar um DPO para o seu consultório.

12
QUAIS REGRAS MÍNIMAS QUE É NECESSÁRIO SEGUIR PARA ATENDER
A LGPD?
É preciso agir com boa-fé e respeitar os princípios elencados nos incisos do
art. 6º da LGPD, são eles: finalidade, adequação, necessidade, livre acesso,
qualidade dos dados, transparência, segurança, prevenção, não-discriminação,
responsabilização e prestação de contas. Em resumo, o que esses princípios
versam é o tratamento de dados seguro, com finalidade especificamente
informada ao titular, compatível com a real necessidade e disponível para
consulta, retirada e modificação do titular.

13
QUAL É A IMPORTÂNCIA DA GESTÃO DE TERCEIROS PARA AS
INSTITUIÇÕES DE SAÚDE?
A gestão de terceiros é importante para fins de responsabilidade civil perante
os titulares, e administrativa perante à ANPD. Tanto o Controlador quanto o
Operador são obrigados a reparar um dano causado em razão de uma atividade
de tratamento de dados pessoais que esteja violando a LGPD. Desse modo,
verificar se os terceiros estão adequados ou se adequando à LGPD, traz a
segurança jurídica necessária para que as relações comerciais sejam realizadas
de forma mais tranquila e robusta, considerando a importância do compliance e
cooperando para a continuidade dos negócios.
30 PERGUNTAS SOBRE LGPD E SAÚDE

14
QUAIS AS RELAÇÕES ENTRE A LGPD E O CÓDIGO DE ÉTICA MÉDICA?
A LGPD impacta o Código de Ética Médica, principalmente com relação ao sigilo
que deverá ser garantido pelos profissionais com relação a dados de pacientes,
bem como com relação ao consentimento que deverá existir por parte do
paciente para que seus dados sejam tratados.

15
QUAL A DIFERENÇA ENTRE INFRAÇÃO ÉTICA E INFRAÇÃO À LGPD?
As infrações éticas são aquelas decorrentes das falhas no exercício profissional
da medicina, que ferem o Código de Ética Médica, como o uso de imagens
“antes” e “depois” dos pacientes, ainda que o paciente consentisse, a Ética
proibe a prática. Já as infrações à LGPD, dizem respeito a falhas de proteção e
segurança de dados dos titulares, que vão contra o que prevê a lei e desrespeitam
os princípios que regem seu tratamento, um exemplo é o caso de vazamento de
dados por falta de mecanismos de segurança do banco de dados do consultório.

16
QUAIS AS PENALIDADES POR INFRAÇÃO À LGPD?
As penalidades são as previstas nos incisos do art. 52 da LGPD, aplicadas pela
autoridade nacional. Podem ir de multa a proibição total das atividades com
tratamento de dados, a depender da gravidade, boa-fé do agente e demais
critérios do §1º do mesmo artigo, vejamos:

• Advertência, com indicação de prazo para adoção de medidas corretivas;

• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de

direito privado, grupo ou conglomerado no Brasil no seu último exercício,
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões
de reais) por infração;

• Multa diária, observado o limite total a que se refere o inciso II;

• Publicização da infração após devidamente apurada e confirmada a sua

ocorrência;

10
 • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

• Eliminação dos dados pessoais a que se refere a infração;

• Suspensão parcial do funcionamento do banco de dados a que se refere

a infração pelo período máximo de 6 (seis) meses, prorrogável por igual
período, até a regularização da atividade de tratamento pelo controlador;

• Suspensão do exercício da atividade de tratamento dos dados pessoais a

que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável
por igual período;

• Proibição parcial ou total do exercício de atividades relacionadas a tratamento

de dados.

17
EM QUAIS HIPÓTESES É PERMITIDO O COMPARTILHAMENTO
DE PRONTUÁRIO DO PACIENTE?
O compartilhamento de dados é permitido quando houver necessidade de
partilhar dados com outros controladores, desde que haja consentimento
informado e esclarecido do titular de dados, conforme prevê o art. 8º, §5º da
LGPD. Ainda,o prontuário poderá ser compartilhado nas seguintes situações:

(i) Com os Conselhos Regionais de Medicina, quando estes o

requererem, observado o disposto no Art. 90, do Código de Ética Médica;
(ii) Quando autorizado, por escrito, pelo paciente (art. 89 Código de Ética Médica;
(iii) Para atender ordem judicial (Quando requisitado
judicialmente o prontuário será disponibilizado ao perito médico
nomeado pelo juiz - art. 89, § 1º Código de Ética Médica); ou
(iv) Para a sua própria defesa (Quando o prontuário for apresentado em sua
própria defesa, o médico deverá solicitar que seja observado o sigilo profissional
- - art. 89, § 2º Código de Ética Médica).

11
30 PERGUNTAS SOBRE LGPD E SAÚDE

18
O QUE É COMPREENDIDO COMO PRONTUÁRIO DO PACIENTE?
O prontuário do paciente é um documento que tem como finalidade registrar
informações de saúde do paciente, juntamente com os cuidados prestados
em diferentes situações, a exemplo de internação hospitalar, atendimento
de ambulatório, situações de emergência, entre outras. Além de dever ser
devidamente identificado, o prontuário de paciente deve concentrar todas as
informações de percurso, evidenciando as alterações e demonstrando a evolução
clínica durante todo o período de atendimento, de forma clara e suficiente para
justificar o diagnóstico e tratamento e documentar os resultados com eficiência.

A Resolução do CFM nº 1.638/2002 define o prontuário, no artigo 1º, como “[... ] o

documento único constituído de um conjunto de informações, sinais e imagens
registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde
do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico,
que possibilita a comunicação entre membros da equipe multiprofissional e
a continuidade da assistência prestada ao indivíduo” e o artigo. 5º da mesma
Resolução estabelece os o requisitos que devem constar no prontuário.

19
QUAIS AS INFORMAÇÕES QUE PODEM SER COMPARTILHADAS
E COMO?
Podem ser compartilhadas as informações que o paciente consentir, nos termos
do §5º, do art. 5º da LGPD. Esse compartilhamento deve se dar por meios que
garantam a segurança e o respeito dos princípios previstos no art. 6º da LGPD,
além disso, é necessário um acordo de confidencialidade para preservar as
informações e dados compartilhados entre as controladoras.

Como parte das atividades do hospital, para cumprir com algumas das
finalidades propostas pelo tratamento de dados, e com base no exercício
regular de direitos previstos em contratos, visando garantir a tutela da saúde
do titular, se faz necessário o compartilhamento de dados com terceiros, como
laboratórios e operadoras de planos de saúde, que auxiliam na análise das
informações de saúde. Nestes casos, é importante que essa possibilidade seja
devidamente informada ao titular, por meio do contrato que ele assina com o
hospital, informando, sempre que for possível, com qual empresa e quais dados
estão sendo compartilhados.

12
Da mesma forma, algumas informações precisam ser repassadas ao Ministério
da Saúde e para as Secretarias Estaduais e Municipais, como forma de
cumprimento de obrigações legais. O hospital deverá garantir que apenas os
dados estritamente necessários para o cumprimento da obrigação legal sejam
reportados e, sempre que for possível, de forma anonimizada para que seja
respeitada a privacidade dos titulares. Caso o envio não possa ser realizado de
forma anonimizada, o titular deverá ser informado de que seus dados poderão
ser, mediante requisição e auditorias dos órgãos públicos, compartilhados para
esta finalidade.

20
COMO A RELAÇÃO MÉDICO-PACIENTE É AFETADA COM A LGPD?
Os médicos deverão solicitar somente os dados necessários de pacientes ou
qualquer pessoa que vá ao consultório médico, devendo ter uma justificativa do
seu uso. Todas as etapas de retenção, uso, tratamento ou compartilhamento
deve ter o enquadramento em uma base legal e uma finalidade legítima. Quando
o tratamento ocorrer pelo consentimento, o agente de tratamento deverá
demonstrar que foi permitido ao titular ter total consciência de tudo o que está
acontecendo e autonomia para decidir o que será feito com essas informações,
tendo ainda o direito de proceder com a correção ou exclusão desses dados, se
assim entenderem.

21
QUEM PODE RETIRAR OU ACESSAR EXAMES/LAUDOS/PRONTUÁRIOS
DO PACIENTE?
Em regra, o acesso aos exames, laudos e prontuários do paciente devem ser
restritos apenas às pessoas que realmente precisam daquela informação para
exercer o seu trabalho, como a equipe que o atendeu (composta dos médicos,
enfermeiros, técnicos, auxiliares, etc), cada qual com a sua própria limitação
de acesso, conforme definição nas políticas e procedimentos internos e
organizacionais do hospital.

Já para a retirada destes documentos, apenas o próprio titular ou o seu

representante legal (pais, tutores, curadores ou guardiães) devem ser
autorizados. Se o titular indicar algum terceiro para a retirada, é importante
que seja encaminhado uma autorização pelo próprio paciente, que deverá ser
arquivada para fins de comprovação da retirada e identificação da pessoa que
foi autorizada a fazê-lo.

13
30 PERGUNTAS SOBRE LGPD E SAÚDE

22
QUAL É A DIFERENÇA ENTRE O CONSENTIMENTO DA LGPD
PARA O CONSENTIMENTO DO TCLE?
O consentimento previsto na LGPD deve ser coletado em documento apartado
e demonstrar que o titular foi devidamente informado quanto ao tratamento de
dados que irá ser realizado. Para ser considerado válido, o consentimento possui
alguns requisitos, dentre eles o de ser uma “manifestação livre, informada e
inequívoca” da sua vontade para atender a uma finalidade específica.

Sempre que a base legal que justificar o tratamento de dados for o consentimento,
é necessário que este documento seja assinado pelo titular ou seu representante
legal.Já o Termo de Consentimento Livre e Esclarecimento (TCLE) é um
documento médico, elaborado seguindo as diretrizes do Código de Ética Médica
e que traz informações sobre o tratamento médico e assistencial ao qual o
paciente será submetido, abordando as possíveis consequências do tratamento,
efeitos colaterais, benefícios e malefícios. Não é um documento típico sobre
privacidade, mas pode trazer informações básicas sobre como os dados de
saúde serão tratados e reportar para um canal de contato entre o paciente e o
DPO.

23
COMO GARANTIR A UTILIZAÇÃO DA TELEMEDICINA COM RESPEITO
À PROTEÇÃO DE DADOS E SEGURANÇA DA INFORMAÇÃO?
Quando a instituição passa a implementar regras de boas práticas e governança
no tratamento de dados, incorporando o Encarregado pela Proteção de Dados
(DPO) no acompanhamento das atividades realizadas, inclusive com a avaliação
das ferramentas que serão utilizadas, elaboração de políticas, procedimentos e
orientações para que o fluxo de dados aconteça de forma segura e de acordo
com os padrões exigidos, há uma mitigação dos potenciais riscos de privacidade
e segurança da informação.

Este acompanhamento próximo pelo DPO tem por objetivo dissipar as

ameaças para garantir que as plataformas que serão utilizadas na telemedicina
(considerando todas as modalidades que foram trazidas pela resolução),
estarão seguras para utilização. É necessário implementar um risk assessment,
objetivando assegurar que o tratamento de dados seja realizado em conformidade
com a legislação envolvida no tema e melhores práticas de mercado.
24
É POSSÍVEL CONCILIAR PROTEÇÃO DE DADOS E A UTILIZAÇÃO
DE INTELIGÊNCIA ARTIFICIAL NO SETOR DE SAÚDE E QUAIS OS
PRINCIPAIS RESULTADOS QUE PODEM SER OBTIDOS?
A Inteligência Artificial (IA) pode ser entendida como a competência de um
dispositivo computacional replicar certas habilidades cognitivas, funcionando de
forma semelhante ao cérebro humano, interpretando, analisando, descobrindo,
deduzindo ou relacionando informações por meio de algoritmos de modo ágil,
eficiente e lidando com uma grande quantidade de dados. A sua utilização na área
da saúde permite melhor gestão de leitos, por exemplo, já que consegue atualizar
dados instantaneamente e examinar variáveis para calcular a necessidade de
sistematizar ou requerer mais unidades. Isso permite agir com antecedência
para evitar um colapso na rede hospitalar e podem ser aplicadas também em
situações como:

a. Em níveis de atenção (primária, secundária, terciária), por clínicas,

hospitais, centros de saúde e UPAs, a fim de entender, por exemplo,
quanto determinado sintoma da doença merece atenção;cláusulas-
padrão contratuais;

b. Na medicina de prevenção (primária, secundária, terciária, quartenária),

por exemplo, na seleção de grupos de pacientes que devem receber
antes dos outros, algum tipo de tratamento; selos, certificados e códigos
de conduta regularmente emitidos;

c. Na criação de protocolos de saúde pelas secretarias de saúde da União,

dos Estados e Municípios, para reunir informações importantes sobre
atendimentos, facilitando o acompanhamento do quadro e evitando a
disseminação de vírus;

Dentre os possíveis resultados que a utilização da Inteligência Artificial pode

trazer para o setor de saúde, estão:

a. Respostas rápidas;

b. Dentificação de padrões;

c. Análise de imagens;

d. Imperceptíveis a olho nu;

30 PERGUNTAS SOBRE LGPD E SAÚDE

25
A MEI OU A SOCIEDADE DE UM OU MAIS MÉDICOS DEVE SE
ADEQUAR A LGPD E INDICAR UM ENCARREGADO DE PROTEÇÃO
DE DADOS (DPO)?
Inicialmente, é importante ressaltar que todas as empresas que realizam
atividades de tratamento de dados e que não se enquadrem nas hipóteses de
exclusão da incidência da LGPD (art. 4º), precisam se adequar às normas da
legislação e garantir a segurança das informações que estão sob sua guarda
e responsabilidade. Em decorrência deste entendimento, podemos dizer que a
LGPD se aplica, também, aos médicos que atuam por meio de um registro como
Microempreendedor Individual (MEI) ou como uma sociedade entre dois ou mais
médicos.

Ainda que a Autoridade Nacional de Proteção de Dados (ANPD) tenha simplificado

o processo de adequação dos considerados “agentes de tratamento de pequeno
porte”, a Resolução nº 2/2022 excluiu deste tratamento diferenciado os agentes
que realizam tratamento de alto risco. A própria Resolução, ao definir o que
seria enquadrado como alto risco, indica a utilização de um critério geral e outro
específico, sendo que entre os específicos está o tratamento de dados pessoais
sensíveis, por exemplo. Assim, no caso do MEI de um médico, ele está fora do
âmbito de aplicação da Resolução e deve se adequar à LGPD, inclusive com a
indicação de um Encarregado de Proteção de Dados (DPO).

26
QUAIS AS DIFERENÇAS ENTRE O OPEN HEALTH E A
INTEROPERABILIDADE?
O Open Health basicamente, em linhas gerais, visa possibilitar que haja o
compartilhamento dos registros médicos eletrônicos, tanto dos atendimentos
do sistema único de saúde, o SUS, quanto os privados e de operadoras de planos
de saúde, onde a informação é propriedade do paciente e só tem acesso quem
ele autoriza. Já a interoperabilidade pode ser entendida como uma característica
que se refere à capacidade de diversos sistemas e organizações trabalharem em
conjunto (interoperar) de modo a garantir que pessoas, organizações e sistemas
computacionais interajam para trocar informações de maneira eficaz e eficiente.

16
27
É POSSÍVEL ATENDER AO PEDIDO DE APAGAMENTO DE
DADOS/INFORMAÇÕES DO PRONTUÁRIO DO PACIENTE?
A LGPD prevê, no art. 18, uma lista de direitos que poderão ser exercidos pelo
titular, e dentre eles temos o direito de solicitar a eliminação/apagamento de
dados. É importante destacar que o exercício deste direito está limitado em
algumas situações bem específicas, sendo que se ainda houver a necessidade
de atender uma finalidade, o controlador poderá informar que não irá apagar
aquela informação.

A eliminação, portanto, não é automática e depende do enquadramento das

bases legais que autorizam aquele tratamento e a finalidade indicada no início do
tratamento. A Resolução n. 1.821/07, do Conselho Federal de Medicina, e a Lei nº
13.787/18 (Lei do Prontuário Eletrônico) estabelecem o prazo de armazenamento
dos prontuários médicos pelo período de 20 anos, que serão contados a partir do
último registro, podendo ser eliminados ou devolvidos ao paciente.

Esse prazo inclusive também se aplica para prontuários que ainda estejam de
forma física e que não foram digitalizados. A destruição precisa ser documentada
e deve-se resguardar a intimidade do paciente.

28
QUAIS OS CUIDADOS QUE PRECISAM SER OBSERVADOS NA
GUARDA DE ARQUIVOS FÍSICOS?
Ainda que os dados e informações sobre os pacientes e colaboradores do
hospital estejam armazenados em ambientes físicos, também devemos zelar
pela sua proteção com a adoção de medidas de segurança apropriadas para
cada um dos cenários, com a utilização, por exemplo, de armários e gaveteiros
com cadeados e chaves que fiquem na responsabilidade de um número limitado
de pessoas, preferencialmente pelo gestor daquela área.

A criação de barreiras físicas, avisos de restrição de acesso, portas com

fechaduras eletrônicas ou com senha biométrica, são outras opções que poderão
ser utilizadas. Além dos riscos de comprometimento da confidencialidade,
integridade e disponibilidade destas informações, também devemos nos atentar
para outros fatores como incêndios, alagamentos, etc, em que a informação
poderá ser acidentalmente destruída. Desta forma, uma avaliação mais ampla
deverá ser feita pela equipe responsável pela guarda dos dados e informações.

17
30 PERGUNTAS SOBRE LGPD E SAÚDE

29
QUAIS OS CUIDADOS QUE PRECISAM SER OBSERVADOS NA
TROCA DE E-MAILS E MENSAGENS?
É importante que todas as comunicações, que forem transmitidas em nome do
hospital, sejam originadas das contas de e-mails corporativos e dos registros
próprios nos aplicativos de mensagens instantâneas (quando forem aplicáveis e
utilizados), para permitir que não haja interrupção nos atendimentos realizados.
Quando for necessário copiar algum destinatário, sempre procure avaliar a
necessidade de que aquela pessoa tenha acesso à informação ou documentos
que estão sendo compartilhados pela mensagem.

Procure sempre restringir, ao menor número de pessoas possíveis, o acesso às

informações confidenciais e aos dados pessoais e dados pessoais sensíveis que
transitam por e-mail e mensagens. Além disso, procure sempre que for possível,
criptografar o conteúdo da mensagem ou adicionar uma senha aos arquivos,
seguindo os padrões de segurança oferecidos pelo servidor de e-mail.

30
CUIDADOS NA UTILIZAÇÃO DE APLICATIVOS DE MENSAGENS
INSTANTÂNEAS NO ATENDIMENTO AO PACIENTE
Não é recomendável a utilização de aplicativos de mensagens instantâneas para
a troca de informações pessoais, envio de documentos e compartilhamento de
dados, especialmente os sensíveis. Procurem, sempre que possível, solicitar ao
titular que nestas situações faça o encaminhamento pelos e-mails ou sistemas
homologados pelo hospital para ter rastreabilidade e segurança de que as
informações serão recebidas diretamente pela instituição.

É importante priorizar sempre a utilização destes aplicativos apenas para

questões rápidas, de rotina, que não tenham impacto na transmissão de dados
pessoais. Outra dica importante é realizar o backup em local seguro e eliminar os
registros do aplicativo, nos casos em que o seu uso for permitido

18
Rua Dr. Renato Paes de Barros, 618 - 1º e 5º andares
04530-000 – Itaim Bibi – São Paulo – SP – Brasil

www.lbca.com.br

A Lee, Brock, Camargo Advogados (LBCA) é uma das dez maiores bancas de advocacia do país, que vem
rompendo paradigmas com um novo olhar sobre o universo corporativo. Com uma equipe multidisciplinar
formada por advogados e profissionais das áreas de TI, engenharia, gestão de informações e logística,
a LBCA vai além do campo convencional dos escritórios jurídicos, ao elaborar soluções integradas em
diversas frentes, desde as que requerem gestão completa de processos às que exigem participação no
desenvolvimento de produtos e serviços das empresas – sempre tendo a tecnologia como grande aliada.

Lado a lado com o cliente, a LBCA estabelece relações cooperativas de longo prazo, colaborando para
entregar as soluções de maior valor e menor custo para seus clientes.

Plataforma
Tecnologia 4o Maior 250 Mil
Credibilidade
ERP Escritório Full Service e respeito no
própria processos
BI de São Paulo mercado jurídico

Desenvolvimento de
Soluções integradas Um novo olhar sobre Gestão completa produtos e serviços Multidisciplinariedade
em diversas frentes o direito corporativo de processos das empresas

PRÊMIOS E RECONHECIMENTOS

Entre os mais Reconhecida na 2° edição Contencioso de Consumidor Recomendada pela área

admirados desde 2010 da “Análise Advocacia de Volume / Contencioso de Litigação e pela área
Diversidade e Inclusão” Trabalhista de Volume de Proteção de Dados

19