A proteção de dados pessoais tornou-se uma obrigação legal para empresas de todos os setores, especialmente na área da saúde, onde informações consideradas sensíveis exigem cuidados ainda mais rigorosos. Além da Lei Geral de Proteção de Dados (LGPD), as recentes mudanças na Norma Regulamentadora nº 1 (NR1) ampliaram a necessidade de controle e segurança no tratamento de informações relacionadas aos trabalhadores.

Dados de saúde exigem proteção especial

A LGPD, instituída pela Lei nº 13.709/2018, estabelece regras para a coleta, armazenamento e uso de dados pessoais. Entre os princípios da legislação estão transparência, segurança e responsabilização.

Na área da saúde, o cuidado deve ser ainda maior, pois informações como prontuários médicos, receitas, diagnósticos, doenças crônicas e histórico de tratamentos são classificadas pela legislação como dados sensíveis.

Segundo a advogada Andressa Battisti, especialista em Direito Civil, Processo Civil e com ênfase em LGPD, essas informações só podem ser tratadas nas hipóteses previstas em lei e demandam medidas rigorosas para evitar acessos indevidos e vazamentos.

Prazo de adaptação já terminou

“A lei ela é de 2018, mas ela passou a vigorar em 2020 e em 2021 inclusive já iniciaram as sanções”, lembra a advogada. De acordo com ela, não existe mais período de adaptação. Consultórios, clínicas e hospitais, independentemente do porte, devem estar em conformidade com a legislação para evitar penalidades administrativas e judiciais.

Falhas comuns

Mesmo após anos de vigência da LGPD, práticas inadequadas continuam sendo observadas em instituições de saúde e entre os problemas mais frequentes estão o compartilhamento de exames e receitas por aplicativos sem mecanismos adequados de segurança, envio de documentos para destinatários errados e exposição de prontuários físicos em locais acessíveis a terceiros.

“E a gente percebe que a ausência desses cuidados, inclusive entre fornecedores, entre um laboratório e um médico que é enviado sem ter esse cuidado, sem ter a criptografia que a gente fala, sem ter essa questão da política de privacidade, pode incorrer sim, numa violação à Lei Geral de Proteção de Dados”, salienta Andressa.

Direitos dos pacientes e segurança para as instituições

A legislação garante aos pacientes o direito de saber quais dados foram coletados, solicitar correções, revogar consentimentos quando aplicável e ser informado sobre eventuais incidentes de segurança.

Já para as instituições e profissionais de saúde, a LGPD estabelece critérios claros para o tratamento das informações, proporcionando maior segurança jurídica quando os procedimentos são realizados dentro das bases legais previstas.

“Na verdade, a lei ela não proíbe o tratamento, ela vem para organizar o tratamento. Então, todo mundo é beneficiado. O que a gente observa, inclusive, nas instituições, principalmente de saúde, que eles vêm com bons olhos isso, porque é uma maneira de proteção, de organização e que muitas vezes a falta disso incorre em danos, em penalidades e que ninguém quer sofrer”, pontua.

Quatro pilares para a conformidade

Para estar adequada à LGPD, uma instituição de saúde deve estruturar quatro frentes principais: mapear os dados coletados, definir a base legal para cada tratamento, criar políticas de privacidade e termos de uso e nomear um encarregado de proteção de dados, conhecido como DPO. Esse profissional atua como elo entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Segundo a especialista, a ausência de qualquer uma dessas etapas compromete a efetiva conformidade com a legislação.

O fator humano continua sendo o principal risco

Mesmo com investimentos em tecnologia, a maior parte dos incidentes de segurança ainda está relacionada a falhas humanas, como o envio de informações por canais inadequados, o compartilhamento sem autorização e o descumprimento de procedimentos internos, que estão entre as situações mais recorrentes.

Por isso, treinamentos periódicos, regras claras e uma cultura organizacional voltada à privacidade são considerados essenciais para reduzir riscos.

O compartilhamento de informações médicas por aparelhos pessoais também exige atenção. Embora situações emergenciais possam justificar o uso excepcional de dispositivos particulares, a orientação é que a comunicação ocorra, preferencialmente, por canais corporativos e controlados pela instituição.

A adoção de aplicativos oficiais, com recursos de segurança e criptografia, reduz significativamente o risco de vazamentos e facilita a rastreabilidade das informações.

Multas podem chegar a 2% do faturamento

A LGPD prevê sanções severas para organizações que descumprem suas determinações. “Ela prevê 2% sobre o faturamento da empresa limitada a 50 milhões de reais por infração. Realmente é um valor alto, dependendo do faturamento da empresa, então é algo que faz diferença”, explica a advogada.

Além das multas, as penalidades podem incluir bloqueio ou eliminação de dados, divulgação pública da infração e ações judiciais por danos materiais e morais. “E claro, se falando em dados sensíveis, dados de saúde, é muito além, é proporcional ao dano”, frisa.

NR1 amplia atenção aos dados dos trabalhadores

As alterações da NR1 introduziram uma nova abordagem sobre os riscos psicossociais no ambiente de trabalho, exigindo que empresas monitorem fatores relacionados à saúde mental, sobrecarga, estresse e outros aspectos emocionais dos colaboradores.

Esse processo envolve a coleta de informações altamente sensíveis, criando uma conexão direta com a LGPD. “Como são dados extremamente sensíveis dos trabalhadores, é onde entra a Lei Geral de Proteção de Dados, para cuidar desses dados que foram coletados”, explica a advogada.

Saúde mental e privacidade caminham juntas

A especialista ressalta que os dados obtidos pelas empresas em decorrência da NR1 não podem ser utilizados para decisões de contratação, promoção ou demissão. “É muito importante essa proteção ao máximo, porque as duas legislações se encontram no mesmo patamar. De nada adianta, ter a NR1 e não ter a LGPD. Tu precisas dos dois para não incorrer em uma violação, uma infração e uma penalidade”, afirma.

O objetivo das informações coletadas deve estar restrito à promoção da saúde e do bem-estar dos trabalhadores.

Adequação deve ser permanente

A recomendação para empresas e profissionais de saúde é revisar constantemente os processos relacionados ao tratamento de dados, controlar acessos, formalizar contratos com fornecedores e manter políticas de privacidade atualizadas. “A gente sempre observa e fala que quem trata disso não pode ser um checklist pontual, ele tem que estar sempre adequado, sempre atualizado, porque agora veio a NR1 e daqui a pouco vai vir outra legislação e todas essas legislações precisam estar protegidas pela Lei Geral de Proteção de Dados”, coloca.

Para Andressa, o momento exige ação imediata, afinal “não existe mais período de adaptação. A lei está em pleno vigor, seja a Lei Geral de Proteção de Dados, seja a NR1. Então, todos são obrigados a se adequar. Quem não estiver adequado e bater a fiscalização, vai ser multado, vai responder processo. Então, não existe mais tempo. Na verdade, é uma corrida contra o tempo para adequação. E também não pode só a LGPD sem a NR1 ou a NR1 sem a LGPD. Tem que ter a duas, porque as duas são fundamentais, uma sem outra ela não existe”, conclui.