UMA ANÁLISE SOBRE APLICAÇÃO DA LGPD EM INSTITUIÇÃO PÚBLICA DE SAÚDE

REGISTRO DOI: 10.5281/zenodo.10072053


Caris Regina Valência Sales¹
Prof. Mestre Marco Aurélio Pereira da Silva²


RESUMO

O objetivo do presente artigo foi promover análise da aplicabilidade da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) no âmbito da saúde pública, destacando as normas vigentes, conceituais e práticos, em um contexto organizacional de serviços de saúde, que lidam diretamente com dados. A pesquisa envolveu revisão bibliográficas de autores especializados no tema e de legislações vigentes. Os resultados encontrados demonstram que os invólucros garantidos pela LGPD, tutelam os direitos fundamentais de privacidade e liberdade (art. 5, LXXIX). No entanto, também implicam em grandes desafios nos aspectos estruturais, cibersegurança, culturais e nas formações educacionais contínuas no setor saúde pública.

Palavras-chave: Proteção de Dados. LGPD. Saúde Pública. Gestão. Conformidade.

ABSTRACT

The objective of this article was to promote an analysis of the applicability of the General Data Protection Law (Law nº 13,709/2018) in the scope of public health, highlighting the current standards, conceptual and practical, in an organizational context of health services, which deal with directly with data. The research involved bibliographical review of authors specialized in the topic and current legislation. The results found demonstrate that the enclosures guaranteed by the LGPD protect the fundamental rights of privacy and freedom (art. 5, LXXIX). However, they also imply major challenges in structural, cybersecurity, cultural aspects and ongoing educational training in the public health sector.

KEYWORDS: Data Protection. LGPD. Public health. Management. Conformity.

1 INTRODUÇÃO

A revolução digital tem moldado o tecido da sociedade contemporânea de maneiras inimagináveis há algumas décadas. Desde o surgimento das primeiras tecnologias de informação e comunicação até o momento atual, vários setores, especialmente a saúde, têm sofrido mudanças significativas.

O setor de saúde, tradicionalmente dependente de registros físicos e processos manuais, agora se depara com os desafios e oportunidades da informatização. De acordo com Aragão S.M. e Schiocchet T. (2020), a evolução rápida das Tecnologia Informatização e Comunicação (TIC), especialmente com o uso intensivo da internet, ilimitado no tempo e no espaço, levou ao crescimento do volume e da variedade de informações que podem ser combinadas, aumentando o risco de vazamentos e reidentificação, mesmo após a anonimização ou a desidentificação de bases de dados saúde.

Em 14 de agosto de 2018, foi oficializada a Lei Geral de Proteção de Dados, nº 13.709/2018, com o principal propósito de resguardar os direitos essenciais à liberdade, privacidade e o pleno desenvolvimento da personalidade.

Com uso de sistema eletrônicos, monitoramento em tempo real e teles saúde, coleta-se uma enorme quantidade de dados informacionais. Porém, essa riqueza de dados também traz consigo o imperativo de garantir uma proteção robusta e confiável. Assegurar a inviolabilidade e privacidade desses dados é uma questão que combina complexidades técnicas e questões éticas profundas. Uma vez que informações delicadas de um paciente, ao serem expostas devido a falhas na segurança, podem resultar em circunstâncias desfavoráveis, tais como discriminação, estigmatização ou até mesmo utilização inadequada para fins comerciais.

Para Whitman e Mattord (2011) definem que a segurança da informação, como sendo a proteção da confidencialidade, integridade e disponibilidade de ativos da informação, seja em armazenamento, processamento ou transmissão, através da aplicação de política, educação, treinamento, conscientização e tecnologia.

Em meio às inúmeras vantagens dos prontuários eletrônicos, várias vulnerabilidades emergem. Uma das mais evidentes é o acesso não autorizado. Sistemas inadequadamente protegidos podem ser invadidos, expondo informações sensíveis dos pacientes, o que pode resultar em violações graves de privacidade. Falhas no software, que podem ser resultado de bugs ou erros de programação, representam outro risco significativo. Estas falhas podem não apenas causar a perda de dados cruciais, mas também levar à corrupção de registros, comprometendo o tratamento dos pacientes. Este risco é amplificado pelo crescimento constante de ameaças cibernéticas.

Ataques cibernéticos são tentativas não autorizadas de explorar, roubar e causar danos a informações confidenciais, em sistemas de computadores vulneráveis, com motivações criminais ou pessoais.

Face a um contexto de uma sociedade que passa por uma rápida evolução digital, o volume de dados gerados e armazenados em sistemas de saúde, tem visto um crescimento exponencial. Em especial, o Sistema Único de Saúde que faz parte do tripe da Seguridade Social, destinado a assegurar o direito relativo à saúde, como regramento solicita informações documentais, pessoais e até profissionais, o não solicitar informações documentais, por situações de força maior é a exceção.

2. MATERIAL E MÉTODOS

A pesquisa indutiva situa-se em compreender a profundidade dos vultosos desafios organizacionais, diante do marco regulatório de Proteção de Dados em meios físicos e plataformas digitais, no contexto de execução de politicas públicas de saúde, setor que lidam diretamente com manuseios de dados: pessoais (nome, RG, CPF, gênero, data e local de nascimento, filiação, telefone, endereço residencial, cartão ou dados bancários) sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural) , anonimizados (titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento) e banco de dados (conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico). O estudo utilizou a ferramenta de revisão bibliográfica, publicações institucionais e normas vigentes.

Nesse percurso, a pesquisa apresenta cogitar sobre as dificuldades e impactos que as ações de natureza tecnológica, mudanças regulatórias internas e até mesmo física estruturais, sofridas pela administração pública de saúde, bem como suas responsabilidades e sansões.

De acordo com Gil (2010, p. 30) “a principal vantagem da pesquisa bibliográfica reside no fato de permitir ao investigador a cobertura de uma gama de fenômenos muito mais ampla do que aquela que poderia pesquisar diretamente”.

3. DISCUSSÃO

O Sistema Único de Saúde (SUS) é uma das principais áreas afetadas pelo cumprimento da LGPD, pois recolhe, guarda, processa e tem acesso a diferentes informações relativas à saúde e doença dos utilizadores, bem como aspetos genéticos, biométricos e mesmo a vida sexual das pessoas. Por esse motivo, atualmente a efetividade da LGPD, carregar consigo sistematicamente, a discursão de um cenário onde o orçamento é insuficiente, inexistências de infraestruturas, falta de suporte técnico, sistema de informação adequado, educação permanente descontinuada e falta de planejamento de cibersegurança, em um mundo onde as violações de dados, estão se tornando comuns, garantir a integridade e a inviolabilidade de dados de pacientes, é mais do que uma obrigação técnica.

Ao que pese, também é fundamental arrozar quanto a responsabilidade pela segurança de dados. Ao contrário do que possa se entendido, a responsabilidade não recai apenas sobre a alta gestão da instituição pública, mas sim, incide sobre todos os profissionais da saúde que manejam dados de usuários do SUS. A formação contínua e a capacitação surgem como um dos elementos centrais para o sucesso, um sistema por mais avançado que seja, é apenas tão eficaz quanto as pessoas que o utilizam. Por isso, a capacitação não deve ser vista como uma tarefa única, mas sim como um compromisso de educação contínua.

Em um campo em rápida evolução como a saúde digital, novas atualizações, características e ameaças emergem regularmente. Manter a equipe atualizada e confiante em suas habilidades não apenas melhora a eficiência, mas também garante a segurança dos dados.

Em termos de inovações, o setor de saúde está testemunhando um renascimento tecnológico. Blockchain, criptografia avançada e soluções baseadas em inteligência artificial estão remodelando a paisagem da proteção de dados, promovendo uma segurança mais rígida e práticas de monitoramento mais eficientes. A colaboração com especialistas em segurança cibernética só amplifica esses esforços.

A integridade dos dados armazenados eletronicamente é fundamental para o atendimento ao paciente. Qualquer alteração, seja ela acidental ou mal-intencionada, pode ter consequências graves. Sem protocolos e sistemas de verificação adequados, os dados podem ser alterados, excluídos ou corrompidos, tornando-os inúteis ou até mesmo perigosos para o atendimento clínico. Backups, embora sejam uma prática padrão em TI, podem ser inadequados ou mal gerenciados.

A interação entre diferentes sistemas tecnológicos, especialmente em um ambiente onde diferentes departamentos ou mesmo instituições precisam compartilhar informações, pode ser complicada pela falta de capacitações.

A capacitação adequada para todos os envolvidos é fundamental para garantir a segurança e eficácia dos prontuários eletrônicos. Funcionários mal treinados ou desconhecedores de tecnologia podem inserir dados de forma incorreta, usar o sistema de maneira insegura ou mesmo serem vulneráveis a tentativas de invasões. Bem como, a infraestrutura por exemplo lógica, sistemática e outros precisam ser moderna, segura e bem mantida. Equipamentos antigos, sistemas operacionais desatualizados ou redes inseguras podem ser portas abertas para atores mal-intencionados, comprometendo a segurança dos dados.

A LGPD, estabelece diretrizes claras sobre a proteção de dados no Brasil, é uma ferramenta valiosa na defesa contra violações de dados. No entanto, para que seja eficaz, sua implementação precisa ser completa e abrangente. Isso significa não apenas fazer as mudanças técnicas necessárias, mas também promover uma mudança cultural em toda a organização, enfatizando a importância da proteção de dados e garantindo que todos os envolvidos entendam suas responsabilidades e penas legais.

As instituições pública de saúde, possuem desafios a serem enfrentados por esta instituição, esperamos não apenas entender o panorama atual, mas também fornecer percepções que podem beneficiar outras instituições em situações semelhantes, ajudando-as a se adaptarem e prosperarem na era digital.

No cenário brasileiro, Instituições públicas de saúde enfrentam desafios distintos dos encontrados em instituições privadas. Muitas vezes operando sob restrições orçamentárias e com recursos tecnológicos limitados. Garantir um atendimento de qualidade, enquanto navegam por um panorama tecnológico em constante evolução. Além das restrições financeiras, a falta de treinamento especializado para a equipe pode resultar em lapsos na gestão de dados e segurança da informação.

4 O PAPEL DA LGPD NA PROTEÇÃO DA PRIVACIDADE DOS PACIENTES

O papel da LGPD emergiu como um ato imperativo, especialmente diante do crescente avanço digital, destinada a salvaguardar a privacidade dos cidadãos, diante de dados intrinsecamente sensíveis.

A transição para a conformidade não é uma tarefa pequena, a Lei recomenda nomear e publicizar um encarregado pela Proteção de Dados (DPO). Algumas prefeituras nomearam um encarregado para cada secretaria.

Primordialmente, a distinta Lei, atribui o desempenho de aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Com isso, o cidadão passa a ter cada vez mais garantia da proteção de seu direito fundamental à proteção de dados pessoais.

Dessa forma, será possível garantir a proteção dos dados, minimizar os riscos de vazamentos ou acessos não autorizados e fortalecer, isso inclui a adoção de medidas de segurança da informação, como por exemplo a criptografia, controle de acesso, o monitoramento e a auditoria dos sistemas.

Portanto, é importante garantir a proteção da privacidade desde a concepção do produto, conforme exigido pela Lei Geral de Proteção de Dados Pessoais (BERNARDO; PINZEGHER; SCHUELTER, 2022, p.05). Além disso, é necessária a implementação de práticas de governança de dados, incluindo políticas claras de privacidade, procedimentos de consentimento informado e ações de treinamento para profissionais envolvidos no manuseio dessas informações.

A proteção de dados, em conformidade com a LGPD, é um testamento à responsabilidade e comprometimento gestão de saúde pública.

5 REQUISITOS E IMPLICAÇÕES

Em resumo, a LGPD trouxe mudanças significativas na autorização e no uso de dados pessoais na área da saúde. A transparência, a clareza e o respeito à autonomia dos pacientes são fundamentais para estabelecer uma relação de confiança e proteger a privacidade e os direitos individuais no contexto da saúde.

Nessa linha, resta evidente a necessidade de adaptação de fluxos de captação de dados que envolve o cadastramento de pacientes e todos os cidadãos que usam a rede pública de saúde. Os dados solicitados devem passar pela etapa de consentimento, além da necessidade de armazenamento em sistemas seguros, e profissionais treinados para garantir a segurança das informações e a integridade física e moral do indivíduo..

Conforme o inciso II deste artigo, somente é permitido o tratamento dos dados sensíveis sem o consentimento do titular em situações em que for indispensável(VETIS-ZAGANELLI; BINDA FILHO, 2022).

Em 2018 foi criada a Autoridade Nacional de Proteção de Dados (ANPD) com vista a fiscalizar a aplicação da LGPD. Assim, o Capítulo VIII da Lei informa acerca das sanções administrativas que podem ser aplicadas pela ANPD. 0 Capítulo IX, em complementação, apresenta a responsabilidades do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP). Desta forma, é imprescindível a aplicação da Lei para garantir, além da proteção medidas de segurança e os padrões estabelecidos na LGPD.

É fundamental que as instituições compreendam e estejam em conformidade com tais medidas, a fim de evitar multas e sanções aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) (BARJA; COELHO; HAWRYLISZYN, 2021, p. 09).

A Resolução ANPD nº 1, cria o método de dosimetria, que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator. 

O Regulamento de dosimetria e aplicação de sanções administrativas é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à Lei Geral de Proteção de Dados Pessoais – LGPD.

A norma prêve a regulamentação dos artigos 52 e 53 da LGPD e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas e alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, aprimorando o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.

Como sanções prevista na Lei, constam: advertência, multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração, multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais), publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação, suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.   Com exceção das multas, todas as demais sanções poderão ser aplicadas ao Poder Público. 

 Além das multas, a Autoridade poderá aplicar também punições bastante severas aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais, como o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados.

A arrecadação das multas aplicadas pela ANPD será destinada ao Fundo de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos. 

A forma de sanções será aplicada, após análise feita em processo administrativo caso a caso, respeitando oportunamente ampla defesa, de acordo com as peculiaridades do caso concreto e conforme os seguintes critérios que são: gravidade e natureza das infrações e dos direitos pessoais afetados, boa-fé do infrator, vantagem auferida ou pretendida pelo infrator, condição econômica do infrator, reincidência, grau do dano, cooperação do infrator, adoção de mecanismos e procedimentos internos capazes de minimizar o dano, adoção de política de boas práticas e governança, pronta adoção de medidas corretivas e proporcionalidade entre a gravidade da falta e a intensidade da sanção. 

6. ABORDAGEM PARA IMPLEMENTAÇÃO DE MUDANÇAS

A implementação bem sucedida de mudanças, especialmente em um ambiente tão crucial quanto intituição de saúde pública, requer uma abordagem holística.

A alta gestão, para o cumprimento da LGPD, deve idealizar um Plano de Estratégico de Aplicação da LGPD. Dentre ações contidas no Plano deve constar regulamentação interna, quantificar números de servidores com familiaridade com sistema de informação, bem como fazer avaliação de nível de segurança de sistema de informações, investir em cibersegurança, identificar e nomear encarregado pela proteção de dados em cada setor de administrativo ou assistencial da saúde público, e por fim, realizar capacitações em 100 % dos servidores sobre o que é proteção de dados, entender o direito do usuário, conhecer novos processos de trabalhos, saber quais garantias a Lei proteger, saber quanto as penalidades que a Lei estipula.

Por certo, que o conhecer e o saber, são braços fortes para a efetividade da Lei nas Instituições de Saúde.

7. CONSIDERAÇÕES FINAIS

Por fim, embora ofereça relevantes salvaguardas aos titulares de dados pessoais, a LGPD acabou por criar um extenso rol de investimentos, obrigações e responsabilidades aos administradores públicos, que necessita de elevada capacidade de gestão e integração de equipe, além de efetivo empenho e treinamentos dos servidores agentes de todos os níveis hierárquicos.

Vale dizer que a evolução tecnológica e a introdução de novas operações de tratamento de dados demandam um processo desafiador, contínuo e ininterrupto de aperfeiçoamento de procedimentos de trabalho, tornando o cumprimento da LGPD um processo sob constante revisão por parte da Administração Pública.

Destacou-se que para isso é necessária a criação de uma política de utilização de dados pessoais, aprovada pela alta administração e internalizada por meio da divulgação a todos os membros da organização. Adicionalmente, mostrou-se a necessidade da elaboração de um Plano Estratégico de Implementação.

O regulamento de dosimetria, ainda, busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, provendo segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório.   

Por fim, fica evidenciado que a LGPD trará relevantes mudanças organizacionais, econômicas e sociais, representando um grande avanço para a sociedade brasileira.

8. REFERÊNCIAS

ARAGÃO, Suéllyn Mattos de; SCHIOCCHET, Taysa. Lei Geral de Proteção de Dados: Desafios do Sistema Único de Saúde. Revista Eletrônica deComunicação, Informação e Saúde. Vol. 14, n° 3, p. 692-708. jul.-set, 2020.Disponível em:<https://www.reciis.icict.fiocruz.br/index.php/reciis/article/view/2012/2391>. Acessoem: Acesso em 06 mar. 2023.

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Senado Federal: Centro Gráfico, 1988.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2020.

BRASIL.https://lgpd.portovelho.ro.gov.br/artigo/35867/decreto-no-19145-de-14-de-julho-de-2023-titular-e-suplente-do-comite-gestor-de-privacidade-e-protecao-de-dados-pessoais. Acessado em 20 out de 2023.

CARDOSO BARZOTTO, Luciane. Lei Geral de Proteção de Dados. São Paulo: Atlas, 2019. Disponível em: https://cdea.tche.br/site/wp- content/uploads/2022/05/capa_lgpd.png. Acesso em: 01 jun. 2023.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2. ed. São Paulo: Thomson Reuteres Brasil, 2019.

DE ARAGÃO, Suéllyn Mattos; SCHIOCCHET, Taysa. Lei Geral de Proteção de Dados: desafio do Sistema Único de Saúde. Revista Eletrônica de Comunicação, Informação e Inovação em Saúde, v. 14, n. 3, 2020.

GIL, Antônio Carlos. Como elaborar projetos de pesquisa. 5ª ed. São Paulo: Atlas, 2010.

MENDES, Laura Schertel; DONEDA, Danilo. Comentário à nova Lei de Proteção de Dados (Lei 13.709/2018): o novo paradigma da proteção de dados no Brasil. Revista de Direito do Consumidor, São Paulo, v. 27, n. 120, p. 555-587. Acesso set/out. 2023.

PAMPLONA FILHO, Rodolfo; CONI JUNIOR, Vicente Vasconcelos. A Lei Geral de Proteção de Dados Pessoais e seus impactos no Direito do Trabalho. Revista Direito Unifacs: debate virtual, Salvador, n. 239, p. 1-42, maio 2020. Disponível em: https://revistas.unifacs.br/index.php/redu/article/view/7108. Acesso em: 20 jul. 2022.

ROSSO, Ângela Maria. LGPD e setor público: aspectos gerais e desafios. Revista Síntese Direito Administrativo, Porto Alegre, v. 15, n. 180, p. 9-29, dez. 2020.

WHITMAN, Michael E., and Herbert J. Mattord. Principles of information security. Cengage learning, 2011.


¹Acadêmica do Curso de Direito. E-mail: sales.caris@gmail.com. Artigo apresentado ao Centro Universitário Dr. Aparício Carvalho, como requisito para obtenção do título de Bacharel em Direito, Porto Velho/RO, 2023.
²Professor Orientador. Professor do Curso de Direito. E-mail: marco. pereira@fimca.com.br.