Sempre que visito à trabalho um laboratório de análises clínicas, invariavelmente, me faz a mesma pergunta: “por que preciso investir na adequação à LGPD se, com a assinatura dos meus pacientes nos termos de consentimento, já fico resguardado?”. A resposta é simples: esses termos não são suficientes para proteger legalmente o seu negócio.
O consentimento, segundo a nova Lei Geral de Proteção de Dados (LGPD), é definido como manifestação livre, “informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Mas não se trata de uma obrigação legal e nem é conveniente que o laboratório exija termos de consentimento de todos os pacientes em todas as situações.
O termo de consentimento é uma das bases legais previstas na LGPD que permitem o tratamento de dados pelo laboratório, mas existem muitas outras. E aqui é importante lembrar que, por base legal, entende-se cada norma ou lei prevista pela Agência Nacional de Vigilância Sanitária (Anvisa) ou pela Agência Nacional de Saúde Suplementar (ANS) que possa amparar legalmente a coleta e o armazenamento de dados pelos laboratórios.
São exemplos de bases legais para tratamentos de dados: Cumprimento de obrigação Legal ou regulatória; Cumprimento de procedimentos preliminares relacionados a Contrato de que o titular seja parte; Proteção da Vida ou da incolumidade física do titular ou terceiro; Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais da saúde, serviços de saúde ou autoridade sanitária; entre outras. O termo de consentimento se faz necessário apenas se não houver outra base legal que permita a coleta ou tratamento do dado.
O que acontece na prática
A fim de evitar mudar seus procedimentos internos para entrar em conformidade com a LGPD, alguns laboratórios passaram a obter termos de consentimento extensos, com uma longa lista de itens que o paciente precisa “aceitar”. Neste caso, os inconvenientes são vários. Desde dificuldades de entendimento do paciente sobre o que autorizou – e aí, a interpretação do judiciário e da Autoridade Nacional de Proteção de Dados (ANPD) será sempre mais favorável ao paciente -, até a generalidade do termo.
Explico: o termo de consentimento deve ser expresso e inequívoco, não pode ser genérico. Ou seja, o laboratório não poderá usar o dado coletado para uma finalidade que acredite fazer parte do consentimento, mas que o paciente, em sua leitura, não autorizou. Essas autorizações genéricas são ditas pela lei como nulas. É como se nunca tivessem sido autorizadas.
Caso o laboratório tenha obtido um consentimento e, posteriormente, queira alterar determinado dado ou forma de tratamento, vai precisar obter autorização prévia do titular. Mas a maior dificuldade mesmo está na complexidade da gestão do consentimento: o laboratório deve controlar de forma precisa e sem falhas o recebimento de revogações sobre os dados de seus pacientes.
Essas revogações podem ser enviadas por qualquer canal, seja a caixinha de sugestões, o SAC, ou até pessoalmente à(ao) recepcionista. A partir daí, o laboratório deve ser rígido no controle sobre a data de cada revogação, deixar de tratar os dados imediatamente e comprovar essa desassociação, mantendo isso arquivado.
Falhas na identificação de um pedido de revogação podem ocorrer, afinal, esse é um processo realizado por seres humanos, falíveis, ainda que muito bem treinados. Felizmente, já existem no mercado programas específicos para a gestão da proteção de dados. Mas para que sejam eficientes, os laboratórios precisam estar com seus procedimentos internos revisados, alinhados, assim como suas equipes muito bem treinadas.
Izabela Rücker Curi, advogada e sócia fundadora do escritório Rücker Curi Advocacia, board member pelo Instituto Brasileiro de Governança Corporativa IBGC-São Paulo, mediadora ad hoc e consultora da Global Chambers na região Sul. Fundadora da Smart Law, uma startup focada em soluções jurídicas que mesclem inteligência humana e artificial. É mestre em Direito pela PUC-SP e negociadora especializada pela Harvard Law School. E-mail: izabela@curi.adv.br