Hospitais, clínicas, consultórios, laboratórios e saúde suplementar tratam grande volume de dados pessoais sensíveis. Isso porque a LGPD classifica como sensível qualquer dado a respeito da saúde ou à vida sexual, dado genético ou biométrico.
Os dados sensíveis requerem uma proteção maior e, por consequência, as condições para seu tratamento são muito mais exigentes: precisa haver um consentimento expresso, em documento separado e para uma finalidade específica.
A área da saúde, um segmento já extremamente regulado por conta da sua inquestionável importância, tem como desafio compatibilizar as novas regras da LGPD com as normas setoriais já existentes, de forma a definir o adequado cumprimento de suas obrigações.
Há, portanto, muito a fazer. Desde a entrada do paciente e preenchimento da ficha cadastral até as informações registradas em prontuário, passando por fornecedores, prestadores de serviço, colaboradores e laboratórios. Todos precisarão ser preparados para a nova realidade, uma vez que a penalidade prevista é alta, além do evidente desgaste pelo qual passaria uma instituição de saúde diante de uma notícia de vazamento.
Em países como Portugal e Holanda, as primeiras multas do Regulamento Geral sobre Proteção de Dados Europeu (GDPR, na sigla em inglês) foram impostas a hospitais que não observaram as restrições legais sobre acesso aos dados de prontuários médicos (de pacientes).
Em Portugal, o hospital Barreiro Montijo, entre outras violações, mantinha 985 usuários cadastrados como médico, enquanto apenas 296 médicos efetivamente trabalhavam no hospital, o que lhe rendeu multa de 400 mil euros imposta pela Comissão Nacional de Proteção de Dados. Já na Holanda, uma celebridade teve 85 funcionários acessando seu prontuário ao dar entrada no Hospital de Haga. Nesse caso, a autoridade holandesa de proteção de dados impôs multa de 460 mil euros.
No Brasil, a penalidade para o descumprimento da LGPD é significativa: multa simples, de até 2% do faturamento da pessoa jurídica de direito privado alcançando até R$ 50 milhões por infração, sem falar nas proibições de utilização dos dados pessoais.
No entanto, o prejuízo maior está em tornar pública a infração, haja vista que a instituição perderá sua credibilidade por não cuidar dos dados de seus clientes/pacientes.
