Aprovada pelo Senado Federal no dia 10 de julho e sancionada pela presidência da República no dia 14, a nova lei de proteção de dados pessoais terá impacto direto em organizações de Saúde. Especialistas argumentam que hospitais, operadoras e outras instituições do setor serão, inclusive, os mais impactados pelas medidas. Há prazo de 18 meses para adaptação.
Conforme o professor John Paul Hempel Lima, coordenador acadêmico do MBA em Health Tech da FIAP (Faculdade de Informática e Administração Paulista) os hospitais já contam com sistemas de proteção e preocupação constante com os dados pessoais de seus pacientes, salvaguardando-os de usos indevidos. “A lei esclarece diversos pontos quanto à guarda e uso dos dados. Com esse projeto, o paciente poderá ter acesso aos dados pessoais disponíveis nos hospitais”, explicou. A nova medida, ainda conforme o especialista, também prevê a possibilidade de o paciente sugerir correções e até a exclusão de dados desnecessários armazenados pelas empresas. “Os hospitais deverão criar documentos claros de quais dados são armazenados e para qual finalidade. No meu modo de ver, a lei dá clareza para a relação entre cidadão – dados – empresa”, reforçou.
Os dados anônimos, conforme o docente, poderão ser utilizados pelas organizações sem mudanças. “O uso de dados individuais será dificultado, mas dados anonimizados ainda poderão ser utilizados. Usar, por exemplo, métricas de idade, doenças prévias e tempo de internação, a partir de um conjunto anonimizado será permitido. No entanto, utilizar as informações pessoais para bloquear o acesso de um paciente a determinados tratamentos será vetado”, disse.
Valor econômico
De acordo com o Guilherme Forma Klafke, advogado constitucionalista da Faculdade de Direito São Bernardo, o impacto da nova lei, todavia, será sentido com intensidade porque as atividades da Saúde envolvem quantidade cada dia maior de dados. Ele cita relatório do Grupo de Ensino e Pesquisa em Inovação da Faculdade Getúlio Vargas (FGV), onde também atua, que mostra que hospitais e empresas têm dados pessoais muito importantes, como nome, idade, histórico de doenças e atendimentos, histórico de doenças familiares, resultados de exames, entre outros. “Esses dados não apenas viabilizam o tratamento de doenças com mais eficácia, mas também apresentam grande valor econômico, social e até mesmo científico. Apenas para dar dois exemplos, o setor de seguros de saúde tem especial interesse em todos os dados que envolvam doenças e histórico do paciente, inclusive de hábitos de vida, porque assim ele pode cobrar preços que diminuam os riscos na atividade.”
O especialista ainda destaca que os dados de Saúde são do tipo sensíveis e, por isso, receberam um tratamento especial na legislação aprovada. “A pesquisa da FGV constatou na prática o uso de dados no setor da Saúde para três finalidades principais: tecnologias usadas pelo usuário para seu próprio acompanhamento de saúde; tecnologias usadas para hospitais e exames, como prontuários; e testes clínicos, como farmacêuticas. Além desses, acrescento o uso de dados para fins científicos, tendo em vista a grande quantidade de centros de pesquisa médicos que se aproveitam de dados de pacientes e voluntários”, destaca Klafke.
O especialista enumera os cinco principais impactos causados pela legislação para os gestores ficarem de olho:
1) Sensibilidade dos dados: pode haver discussão sobre a categorização como sensível ou não de determinados dados. Por exemplo, um dado de geolocalização como as últimas unidades de Saúde visitadas pode parecer, à primeira vista, apenas um dado pessoal. Contudo, essa informação pode ser usada para levantar hipóteses sobre possíveis doenças contagiosas do paciente. A questão precisará ser resolvida caso a caso, mas, quanto mais os dados forem considerados sensíveis, maiores serão os custos de tratamento.
2) Consentimento: a lei afirma que é preciso ter autorização prévia para uso dos dados pelo seu titular. Há exceções para casos de proteção da vida, incolumidade física e psíquica ou tutela da saúde. Mas o especialista acredita que não está claro qual tipo de tutela de saúde dispensa o consentimento, o que abre margem para que as instituições simplesmente neguem essa necessidade. Consequentemente, podem ocorrer ações judiciais nesse sentido.
3) Segurança de dados: muitas empresas do setor armazenam dados em servidores estrangeiros. A lei prevê que a hospedagem deve se dar em país que proporcione grau de proteção semelhante ao nosso. As empresas devem verificar o grau de proteção oferecido pelos servidores onde armazenam seus dados e, se for o caso, migrar as informações.
4) Acesso: é importante que as empresas tenham um canal para que os pacientes e usuários lidem com seus dados. Isso porque a lei permite que os usuários confirmem, acessem, corrijam ou mesmo eliminem seus dados, o que pode inclusive estimular o interesse dos pacientes por suas próprias informações de Saúde, demandando-as com mais frequência. O especialista acredita, inclusive, que no futuro pode haver um sistema de portabilidade na Saúde semelhante ao que hoje existe na telefonia móvel.
5) Responsabilidade: em caso de vazamento de dados, as organizações envolvidas poderão ser responsabilizadas juntamente com o agente que causou o dano. Somente não acontece isso se a empresa não trata os dados ou se a culpa é exclusiva do titular ou de terceiros. Portanto, é fundamental que as empresas criem estruturas de controle de tratamento dos dados e acompanhamento desse tratamento pelos fornecedores contratados para hospedar, armazenar e transferir os dados.
Klafke ainda destaca o impacto para organizações que utilizam ferramentas de inteligência de negócios como analytics e Business Intelligence (BI), além da inteligência artificial. “Se o hospital deseja usar ferramentas de inteligência de negócio para melhorar os tratamentos dos seus pacientes ou a organização interna, deverá haver consentimento expresso do paciente previsto em contrato. Agora, se o hospital deseja usar essas ferramentas para obter algum tipo de vantagem econômica, haverá disputas de interpretação. Isso porque a lei prevê que dados anonimizados não serão considerados dados pessoais. Em tese, portanto, seria possível utilizar dados sensíveis anonimizados, desde que não fosse possível reverter o processo e conhecer o indivíduo a quem se referem os dados”.
Já para as ferramentas de inteligência artificial, o maior impacto, conforme o advogado, deverá ocorrer no treinamento das máquinas, já que será preciso manter um controle da segurança e do sigilo dos dados, inclusive em termos de hospedagem e coleta.
Fonte: GesSaúde