Desafios do Encarregado de Dados (DPO) na saúde

Já falamos em outro artigo sobre a importância de ter a privacidade como estímulo à confiança e diferencial nos negócios na área da saúde, e, mais recentemente, sobre o papel do Encarregado de Dados na área da saúde, que tem muitas atribuições e desafios. 

O objetivo deste artigo, portanto, é debruçarmos um pouco sobre esses desafios, que passam desde o conceito do DPO, suas atribuições, alguns requisitos técnicos para a área da saúde até as sanções e responsabilidades das instituições, trazendo ao leitor uma abordagem mais prática. 

O desafio do DPO na área da saúde passa, necessariamente, em ter a consciência de todos esses tópicos mencionados, e o que fazer para encontrar em um profissional ou empresa para exercer importantes habilidades. 

Quem é o DPO e quais são suas atribuições? 

A Lei Geral de Proteção de Dados prevê um papel especial para o Encarregado de dados, também chamado no mercado de DPO em referência à regulamentação europeia sobre o tema. 

O DPO possui duas funções principais e muito relevantes para a área de saúde: primeiramente, ele é o porta-voz da empresa perante a ANPD, os titulares de dados pessoais, parceiros e fornecedores com quem há troca de dados, e, em segundo lugar, é o responsável por apoiar a equipe interna e oferecer treinamentos sobre o tema. Ambas as funções são extremamente importantes na área de saúde. 

O contato com o titular é essencial, já que é através dele que passa a ser possível criar uma relação de confiança. Independentemente da função desempenhada pela empresa, a área de saúde lida com dados sensíveis e, muitas vezes, com um grande volume de informações. Ao manter uma boa relação com o titular dos dados, é possível deixá-lo mais tranquilo sobre a forma como suas informações são utilizadas, evitando reclamações formais, desconfiança e danos reputacionais. Além disso, é uma obrigação legal oferecer-lhe informações acerca do tratamento de seus dados. 

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão que merece atenção, especialmente quando falamos do tratamento em grande volume de dados sensíveis. Apesar da constante lembrança do seu papel de fiscalizadora e aplicadora das penalidades legalmente previstas, ela possui outra função muito útil e necessária: receber questionamentos e emitir orientações para melhor compreensão da LGPD. 

Os dados de saúde, sensíveis pela LGPD e pelos quais todos os profissionais devem zelar com prioridade, são muito visados e têm um valor significativo, como mostra essa recente pesquisa, divulgada pela Forbes. Saber lidar com essa pressão e responsabilidade, é fundamental ao profissional que sua instituição de saúde irá nomear. 

A LGPD na área da saúde 

Empresas da área de saúde possuem um grande volume de dados envolvido em suas operações, sendo necessário que todos os colaboradores tenham noções básicas no que diz respeito a como manipular essas informações. Caso contrário, independentemente da qualidade da documentação disponível (como termos, políticas e avisos de proteção de dados) erros acontecerão com uma frequência maior que o necessário, expondo a empresa à aplicação de sanções. 

Dados relacionados à saúde dos indivíduos tem um status especial dentro da lei, considerados sensíveis, em razão dos impactos que sua exposição indiscriminada pode trazer à pessoa a quem são relacionados. A proteção de dados pessoais, portanto, mostra-se multifacetada: diz respeito a questões tecnológicas, econômicas e de direitos individuais.   

Nesse setor, empresas que lidam com a saúde de seus clientes terão que estar atentas às exigências legais e às demandas de seus clientes no que diz respeito à privacidade e à proteção de dados. Sejam elas hospitais, clínicas, planos de saúde ou laboratórios, todas estarão sob o escopo da LGPD e precisarão adotar um programa de governança em privacidade.   

Um programa de privacidade significa um maior cuidado com questões como:   

• A forma como o consentimento do paciente é obtido;  
• Quem tem acesso a quais dados de quais pacientes;  
• As soluções tecnológicas adotadas para garantir a segurança das informações;  
• Coleta, armazenamento, circulação e tratamento responsável dos dados dentro da empresa, dentro dos princípios da Lei;  

• Compartilhamento de dados com empresas prestadoras de serviços, que ajudam a atingir a finalidade pela qual o dado foi coletado e é tratado; 
• Atendimento e resposta adequados ao paciente, em relação seus direitos;  
• Resposta a incidentes (vazamentos, acesso não autorizado, exposição ilícita) envolvendo informações de pacientes;  
• Divisão apropriada de responsabilidade com parceiros com quem dados são compartilhados (contratos com médicos parceiros, empresas de transporte, segurança e outras);  
• Visão gerencial sobre riscos e habilidades multidisciplinares para lidar com o programa de privacidade. 

Este último ponto é um diferencial importantíssimo a um profissional que irá atuar na área da saúde, vez que é muito comum ter que apresentar aos gestores da empresa, que tomam as decisões sobre o tratamento de dados, todas as questões importantes que precisam levar em consideração, matriz de riscos e ações necessárias para mitigação de cada risco encontrado. 

Especificidades de um DPO na área da saúde 

A pessoa (física ou jurídica) que atua como DPO na área da saúde, deve ter algumas habilidades que acreditamos essenciais, e irá ajudar os gestores das organizações a tomarem decisões mais conscientes e inteligentes, são elas: 

• Entendimento regulatório, já que a área da saúde exige bons conhecimentos sobre as regras da ANS e normas específicas; 
• Conhecimento profundo do modelo de negócio da empresa em que atua; 

• Saber a fundo os conceitos trazidos pela LGPD, de preferência com um background das normas e orientações da Europa, sobre a intepretação do GDPR; 
• Estudar e se atualizar diariamente sobre as normas específicas do setor de Saúde, que mudam constantemente; 
• Entender os motivos pelos quais os dados de saúde são considerados sensíveis e como encontrar a melhor base legal para utilizá-los; 
• Saber gerenciar riscos, apontar probabilidades de ocorrência e medidas mitigatórias; 
• Conhecer o mínimo sobre segurança da informação, para ajudar e aconselhar os gestores da área (CTO, CISO) a elaborarem medidas de proteção aos dados pessoais transitados dentro e fora da empresa; 

• Ter “jogo de cintura” para lidar com fornecedores, colaboradores, gestores, diretores, CEO, de forma isenta, imparcial e ao mesmo tempo apresentar opções e meios de tratar os dados pessoais de forma segura e em conformidade. 

Essas são algumas das habilidades que entendemos importantes a um bom DPO, formação multidisciplinar e que não se adquire de um dia para o outro, bastando muito estudo, dedicação e experiência na área. 

Responsabilidades e sanções do DPO na saúde

A responsabilidade do DPO nas organizações já vem sendo discutida há bom tempo, e as opiniões dos especialistas, as quais nós particularmente concordamos, vêm segmentando no sentido de não ser aplicável à pessoa do DPO, mas à empresa responsável pelo tratamento dos dados pessoais, a não ser que aquele tenha agido de má-fé ou com dolo, submetendo-se à aplicação do Código Civil brasileiro. 

A própria ANPD já emitiu opinião sobre o assunto, no seu “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, em sua versão 2.0, publicada em abril de 2022, no qual afirma que operadores e controladores são responsáveis pelas decisões sobre o tratamento de dados pessoais. 

Sobre a responsabilidade da empresa (clínica, laboratório, plano de saúde) ou médico, existe uma posição que explica bem essas situações, da qual compartilhamos o mesmo entendimento, vejamos: 

“Na atividade clínica, o Código de Defesa do Consumidor é a principal lei aplicável, porque a relação jurídica médico-paciente é considerada uma relação de consumo em termos de prestação de serviços. Dentro da sistemática deste texto legal, a responsabilidade civil do estabelecimento de saúde será diferente da responsabilidade civil do profissional liberal. Assim, tem-se que o estabelecimento de saúde – seja hospital ou o laboratório de análises clínicas – responde de forma objetiva por quaisquer danos causados aos pacientes, nos termos do artigo 14, §4º, da mesma lei.  

Por exemplo, em um vazamento de prontuários médicos de um hospital ou dos resultados de exames realizados por um laboratório, resta evidente que a responsabilidade destes estabelecimentos será objetiva. Entretanto, o mesmo vazamento de dados de prontuários armazenados por um médico em seu consultório resultará em apuração de culpa, por ser um profissional liberal”.1 

A empresa, portanto, ao nomear um profissional para atuar como DPO, seja pessoa física ou jurídica, deve ter muito cuidado na escolha, vez que suas funções, opiniões e responsabilidades diárias podem impactar diretamente na imagem da empresa, que poderá ser submetida às penalidades existentes na Lei, que vão desde advertência, suspensão das atividades, proibição de uso do banco de dados, até a multas que podem chegar a 50 milhões de reais! 

Como o escritório Camargo e Vieira pode contribuir? 

Ter um DPO é de extrema importância para uma boa gestão de um programa de proteção de dados e ter o profissional correto fará toda a diferença na atuação diária da sua empresa. Para as empresas na área da saúde, como ficou demonstrado, é ainda mais importante, já que estão envolvidas com dados que representam risco muito maior.  

Por isso, não deixe de buscar um profissional que atenda às demandas da sua empresa! Estamos à disposição para ajudá-lo através do serviço de DPO as a service, com profissionais especializados e certificados pela IAPP.