Sempre que visito à trabalho um laboratório de análises clínicas, invariavelmente, me fazem a mesma pergunta: “por que preciso investir na adequação à LGPD se, com a assinatura dos meus pacientes nos termos de consentimento, já fico resguardado?”. A resposta é simples: esses termos não são suficientes para proteger legalmente o seu negócio.
O consentimento, segundo a nova Lei Geral de Proteção de Dados (LGPD), é definido como manifestação livre, “informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Mas não se trata de uma obrigação legal e nem é conveniente que o laboratório exija termos de consentimento de todos os pacientes em todas as situações.
O termo de consentimento é uma das bases legais previstas na LGPD que permitem o tratamento de dados pelo laboratório, mas existem muitas outras. E aqui é importante lembrar que, por base legal, entende-se cada norma ou lei prevista pela Agência Nacional de Vigilância Sanitária (Anvisa) ou pela Agência Nacional de Saúde Suplementar (ANS) que possa amparar legalmente a coleta e o armazenamento de dados pelos laboratórios.
São exemplos de bases legais para tratamentos de dados: Cumprimento de obrigação Legal ou regulatória; Cumprimento de procedimentos preliminares relacionados a Contrato de que o titular seja parte; Proteção da Vida ou da incolumidade física do titular ou terceiro; Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais da saúde, serviços de saúde ou autoridade sanitária; entre outras. O termo de consentimento se faz necessário apenas se não houver outra base legal que permita a coleta ou tratamento do dado.
O que acontece na prática
A fim de evitar mudar seus procedimentos internos para entrar em conformidade com a LGPD, alguns laboratórios passaram a obter termos de consentimento extensos, com uma longa lista de itens que o paciente precisa “aceitar”. Neste caso, os inconvenientes são vários. Desde dificuldades de entendimento do paciente sobre o que autorizou - e aí, a interpretação do judiciário e da Autoridade Nacional de Proteção de Dados (ANPD) será sempre mais favorável ao paciente -, até a generalidade do termo.
Explico: o termo de consentimento deve ser expresso e inequívoco, não pode ser genérico. Ou seja, o laboratório não poderá usar o dado coletado para uma finalidade que acredite fazer parte do consentimento, mas que o paciente, em sua leitura, não autorizou. Essas autorizações genéricas são ditas pela lei como nulas. É como se nunca tivessem sido autorizadas.
Caso o laboratório tenha obtido um consentimento e, posteriormente, queira alterar determinado dado ou forma de tratamento, vai precisar obter autorização prévia do titular. Mas a maior dificuldade mesmo está na complexidade da gestão do consentimento: o laboratório deve controlar de forma precisa e sem falhas o recebimento de revogações sobre os dados de seus pacientes.
Essas revogações podem ser enviadas por qualquer canal, seja a caixinha de sugestões, o SAC, ou até pessoalmente à(ao) recepcionista. A partir daí, o laboratório deve ser rígido no controle sobre a data de cada revogação, deixar de tratar os dados imediatamente e comprovar essa desassociação, mantendo isso arquivado.
Falhas na identificação de um pedido de revogação podem ocorrer, afinal, esse é um processo realizado por seres humanos, falíveis, ainda que muito bem treinados. Felizmente, já existem no mercado programas específicos para a gestão da proteção de dados. Mas para que sejam eficientes, os laboratórios precisam estar com seus procedimentos internos revisados, alinhados, assim como suas equipes muito bem treinadas.
Sobre a autora
Izabela Rücker Curi é advogada e sócia fundadora do escritório Rücker Curi Advocacia, board member pelo Instituto Brasileiro de Governança Corporativa IBGC-São Paulo, mediadora ad hoc e consultora da Global Chambers na região Sul. Fundadora da Smart Law, uma startup focada em soluções jurídicas que mesclem inteligência humana e artificial. É mestre em Direito pela PUC-SP e negociadora especializada pela Harvard Law School. Está entre os advogados mais admirados do Brasil, conforme ranking da revista Análise Advocacia 500. Há 25 anos atua como advogada para corporações, é pesquisadora em blockchain e reconhecida pelas práticas de conformidade às normas de proteção de dados. E-mail: [email protected].
