Em tempos de pandemia, os hospitais devem redobrar seus esforços na proteção dos dados de seus pacientes, que podem ser prejudicados em razão do aumento significativo do volume de atendimentos e pelo apetite, cada vez maior, sobre notícias dos últimos acontecimentos.
Mas afinal, o que acontece quando prontuários médicos vazam? Entenda melhor como mitigar os riscos neste cenário.
1. Introdução
A pandemia fruto do Coronavírus coloca a área da saúde ainda mais em evidência. Em um cenário de 634.835 mil casos confirmados e cerca de 29.891 mil mortes espalhadas pelo mundo[1], o setor hospitalar precisa estar cada vez mais atento ao tratamento de seus pacientes, mas não apenas no plano dos cuidados médicos, como também no plano da proteção de dados pessoais.
A área da saúde há tempos se beneficiou dos avanços propiciados pela era digital, tornando prática comum a disponibilização, entre hospitais, de prontuários e diagnósticos de pacientes em plataformas virtuais, como forma de facilitar e tornar mais organizada e eficiente a relação estabelecida entre médico, paciente e hospitais.
A disponibilização virtual de prontuários médicos é regulamentada no Brasil pela Lei nº 13.787/2018, que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente[2].
No trato dessas informações, as empresas e os profissionais da saúde também estão sujeitos ao Código de Ética Médica[3], e a outras importantes legislações, como a Lei Geral de Proteção de Dados (“LGPD”)[4], que entra em vigor em agosto de 2020[5].
Considerando o cenário tenso imposto pela pandemia de Coronavírus, uma pergunta ganha ainda mais relevância: o que acontece quando prontuários médicos vazam e quais são as consequências legais disso?
Este artigo se propõe a tratar brevemente esta questão, e indicar boas práticas para a proteção de dados no setor hospitalar, assegurando a boa reputação de hospitais, melhoria de processos e inteligência de mercado.
Embora a LGPD ainda não esteja em vigor, atualmente existem outras normas legais e infralegais vigentes que regulamentam essa matéria. Por isso, é de extrema importância o enfrentamento destas questões, a fim de evitar eventuais incidentes relacionados à prontuários e/ou outros documentos que contenham dados de saúde.
Caso se interesse pelo tema, não deixe de acessar também o e-bookelaborado pela nossa equipe de Proteção de Dados do Baptista Luz Advogados, chamado “Dados de Saúde e a Lei Geral de Proteção de Dados: estudo de casos”.
2. Os riscos envolvidos no vazamento de prontuários médicos
Você já imaginou estar com sintomas de gripe em tempos de Coronavírus? Essa situação, por si só, gera uma ansiedade em qualquer pessoa. Agora, imagine procurar auxílio médico e depois do atendimento ter seu prontuário médico vazado em redes sociais, a um clique de distância e disponível para todos os usuários de ferramentas como Whatsapp, Facebooke Instagram.
Este cenário caótico (e manifestamente ilegal) ocorreu recentemente em Foz do Iguaçu, no estado do Paraná, quando uma paciente procurou o hospital,e foi diagnosticada com suspeita de Covid-19. Seu prontuário foi divulgado nas redes sociais,e gerou alarme em toda a cidade, que até então não tinha casos registrados da doença. Porém, a situação se agrava: o diagnóstico da paciente estava errado[6]. Isto significa que o caso passou a ter repercussões jurídicas, diante da exposição gerada à paciente perante toda a cidade em que residia.
O caso narrado é muito importante e, infelizmente, não é isolado. Sua importância se dá justamente por ser um caso ilustrativo sobre os efeitos das normas de proteção de dados pessoais no setor hospitalar: afinal, o que é um prontuário médicoe como eles podem ser protegidos?
/ Caráter confidencial e sensível do prontuário médico
O vínculo médico-paciente é uma relação obrigacional nutrida pela confiabilidade do segundo no primeiro. Todas as informações provenientes desta relação devem ser transcritas no prontuário médico que, portanto, conterá os dados clínicos do paciente. Define-se prontuário médico como:
“documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo[7]”
As informações sobre o estado de saúde do pacientee todos os dados atrelados ao prontuário médicodevem ser considerados confidenciais, conforme prevê o artigo 2º da Lei nº 13.787/18:
Art. 2º O processo de digitalização de prontuário de paciente será realizado de forma a assegurar a integridade, a autenticidade e a confidencialidade do documento digital.
§1º Os métodos de digitalização devem reproduzir todas as informações contidas nos documentos originais.
§2º No processo de digitalização será utilizado certificado digital emitido no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) ou outro padrão legalmente aceito.
§3º O processo de digitalização deve obedecer a requisitos dispostos em regulamento.
Esta obrigação de sigilo faz-se presente também em outras normas administrativas, como a Resolução do Conselho Federal de Medicina nº 1605/2000[8], que proíbe o médico de revelar o conteúdo do prontuário sem o consentimento do paciente.
Nesse mesmo sentido, além das informações contidas na declaração do óbito, o Código de Ética proíbe que médicos permitam o manuseio e o conhecimento de prontuários por pessoas não obrigadas ao sigilo profissional, como também, proíbe-as de prestar informações a empresas seguradoras sobre as circunstâncias da morte do paciente[9].
Como se não bastasse, considerando que há dados de saúde do paciente, o prontuário é considerado dado pessoal sensível para fins da LGPD, para os quais são exigidos maior proteção em razão do seu potencial altamente discriminatório.
/ Responsabilidade pela guarda e pelo manuseio do prontuário médico
Embora a denominação prontuário médico possa levar à falsa ideia de que este pertence ao médico, trata-se de documento do paciente, cabendo ao médico ou à instituição hospitalar promover a sua guarda e manter os seus dados pelo prazo mínimo de 20 anos.
Conforme a legislação já existente, os hospitais deverão zelar pela privacidade e a proteção dos dados dos prontuários independentemente do seu formato, seja físico ou digital.
Para os prontuários digitais, importante ressaltar a existência de normas administrativas do Conselho Federal de Medicina (CFM) que obrigam que sistemas de registro eletrônico em saúde (“S-RES”)[10]tenham uma certificação específica, além de preverem o Manual de Certificação para Sistemas de Registro Eletrônico em Saúde, que estabelece padrões mínimos de segurança da informação aplicáveis a sistemas que tratam dados tão relevantes como os dados de saúde.
Além dos sistemas eficientes de segurança da informação, os estabelecimentos de saúde também devem observar a postura de seus profissionais. Não raras vezes, vimos casos nos quais os dados sensíveis foram divulgados em conversas realizadas pelas plataformas online, de modo que tal conteúdo foi compartilhado pelo receptor, repercutindo na viralização da informação.
A realização de treinamentos eações educativas e de conscientização dos colaboradores e médicos serve para reforçar as políticas e práticas de privacidade da empresa, e são essenciais para transmitir a mensagem e os parâmetros ideais de privacidade para toda a organização.
Por isso, os estabelecimentos de saúde deverão refletir sobre os melhores meios de armazenamento e padrões de segurança eficientes,para evitar o vazamento e/ou uso indevido dos dados de saúde de seus pacientes, tanto nos meios físicos como nos meios digitais.
Vale mencionar que a responsabilidade por incidentes de segurança da informação, como é o caso do vazamento de dados de prontuários, pode abranger todos os agentes envolvidos no tratamento dos dados pessoais, já que a responsabilidade dos agentes, nos termos do CDC e da LGPD, é solidária.
3. O prontuário médico vazou – e agora?
O fato de o prontuário médico possuir muitas informações sobre a intimidade do paciente faz com que ele seja considerado um documento extremamente sigiloso. De acordo com o Código de Ética Médica, o médico não pode permitir o manuseio e o conhecimento das informações contidas nos prontuários por pessoas que não estejam obrigadas ao sigilo profissional, ficando estas informações sob a sua guarda ou da instituição que assiste o paciente.
Isso significa, portanto, que é vedado ao médico liberar cópias do prontuário que esteja sob sua responsabilidade, não podendo repassá-lo a terceiros, salvo se o paciente consentir, ou se visar ao atendimento de ordem judicial ou, por fim, para a defesa do próprio médico[11].
Mas e se estivermos diante de um vazamento involuntário do prontuário médico?
As instituições hospitalares e os médicos poderão ser responsabilizados na esfera civil mediante pedido de indenizações a depender do caso. Daí porque a adoção de medidas de segurança adequadas, apesar de não impedir o ajuizamento de processos, pode ser considerada um elemento importante para diminuir o valor das indenizações.
A repercussão jurídica também alcança a esfera penal. Segundo o Código Penal, a violação do segredo profissional é caracterizada quando as informações sigilosas obtidas em razão da profissão são reveladas, sem justa causa, podendo a revelação produzir dano a outrem. Nestes casos, a pena é de detenção, de três meses a um ano, ou multa[12][13]
O médico também poderá sofrer penalidades ético-disciplinares e ser dispensado por justa causa quando tiver vínculo empregatício, devendo a instituição hospitalar instaurar investigação interna para apurar os fatos.
Por fim, mas não menos importante, os reflexos do vazamento também poderão repercutir em organismos de defesa do consumidor, como os PROCONs e o Ministério Público, que certamente terão atuação importante na fiscalização da LGPD, notadamente porque os titulares dos dados pessoais podem representar a ambas as instituições solicitando providências.
4. Conclusão
É inegável que são muitos os riscos envolvidos no tratamento de dados pessoais, especialmente quando falamos em dados pessoais sensíveis, como é o caso de dados atinentes à saúde de pacientes.
Porém, nosso propósito é tratar do tema de forma proativa: a regulação da proteção de dados no Brasil abre um claro caminho para que as organizações atuem com maior segurança jurídica, diminuindo, assim, os riscos de suas atividades e criando oportunidades de ganhos reputacionais no mercado. Hospitais ou clínicas que adotem medidas de segurança técnicas e organizacionais aptas a protegerem os dados de saúde de seus pacientes e, ainda, que cumpram as normas brasileiras como um todo, passarão mais credibilidade e segurança aos seus pacientes.
Nesse sentido, o propósito deste artigo é transmitir, em linhas gerais, quais são os pontos de atenção que os agentes de saúde devem ter em mente durante o tratamento de dados coletados, para evitar justamente que ocorra o vazamento de dados importantes que constam em prontuários médicos.
Por isso, concluímos que os estabelecimentos de saúde deverão refletir sobre os melhores meios de armazenamento e padrões de segurança eficientes, para evitar o vazamento e/ou uso indevido dos dados de saúde de seus pacientes, tanto nos meios físicos como nos meios digitais, sob pena de incorrer nas consequências legais do vazamento.
Em tempos de Covid-19, sabemos que há uma tendência entre as autoridades estrangeiras pelo abrandamento de medidas relacionadas ao tratamento de dados pessoais para facilitar o monitoramento do surto e promover pesquisas de tratamento. No entanto, ainda não há sinal que o mesmo abrandamento ocorra nos vazamentos de prontuários médicos.
Sabemos, também, que a classe médica está sendo duramente afetada, tendo sido travada uma verdadeira batalha para salvar vidas. Por isso que, devido ao triste contexto que estamos vivendo, acreditamos que difundir as boas práticas para a proteção de dados no setor hospitalar é de grande valia, assegurando que as instituições hospitalares de todo o país tenham acesso à informação.
Dossiê Covid-19
Nos próximos dias, fique atento: divulgaremos conteúdos em diversos formatos para que você tenha um panorama maior do impacto do COVID-19 no universo jurídico e empresarial. Para receber as atualizações em seu e-mail, inscreva-se acessando este link.
Veja também:
- Medidas nos Mercados Financeiro e de Capitais para a redução dos efeitos do Coronavírus;
- Não tenha medo de Patent Trolls (especialmente em tempos de Coronavírus);
- COVID-19: privacidade e proteção de dados no ambiente de trabalho.
