Por Gabriel Nantes Gimenez e Ana Carolina Reis Figueiredo* (artigo publicado originalmente no JOTA)
Nenhuma organização está imune ao comportamento de seus colaboradores, ainda mais quando falamos em vazamento de informações relativas à saúde. Mas, como os hospitais podem implementar medidas profiláticas para garantir a proteção dos dados pessoais de seus pacientes? Já vale adiantar: o tratamento passa pela conformidade dos hospitais com a Lei Geral de Proteção de Dados (LGPD).
Hospitais estão, naturalmente, mais expostos aos riscos à privacidade, na medida em que lidam com dados de saúde, que, para a LGPD, são classificados como “sensíveis” e exigem maiores cuidados por parte da organização. Mas, afinal, o que isso significa na prática?
As atividades de enfermeiras, médicos, secretárias, auxiliares de enfermagem, nutricionistas, fisioterapeutas etc. se confundem, para fins da LGPD, com atividades do próprio hospital, sendo ele o responsável pela conformidade de cada atividade com a legislação, enquanto agente controlador que determina finalidades e meios relacionados ao tratamento dos dados pessoais dos pacientes, respondendo pelos descumprimentos legais e danos causados por seus colaboradores.
O hospital pode não apenas ser condenado a indenizar os danos sofridos pelo titular de dado, como ser sancionado pela Autoridade Nacional de Proteção de Dados (ANPD) no âmbito de eventual procedimento fiscalizatório instaurado pelas sanções administrativas previstas no artigo 52 da LGPD. Contudo, muito além dos impactos financeiros, o efeito reputacional é incontestável, incluindo o impacto na percepção de confiança dos pacientes.
Medidas que hospitais podem tomar
A principal medida é a necessidade de implementação de um robusto programa de governança em privacidade, que pode mitigar – e muito – os riscos de novos eventos danosos. No entanto, muitas vezes, o que se perde com isso tem a ver com a privacidade relacionada à gestão de pessoas.
Escolhas individuais de colaboradores envolvidos no tratamento de dados pessoais afetam as organizações, o que significa que um programa de privacidade será tão bom quanto forem efetivas suas políticas e procedimentos. A mera existência de documentação de privacidade e proteção de dados, sem efetiva internalização pelos colaboradores de hospitais, é inócua.
Para garantir a efetividade dessas políticas e procedimentos, deve-se tratar a causa raiz do problema: a cultura enraizada nos colaboradores, motor para seus comportamentos, já viciada por momento anterior à legislação de privacidade. Para isso, um dos principais instrumentos é o treinamento e a conscientização dos envolvidos no tratamento de dados pessoais no dia a dia do hospital. Ainda que a LGPD seja silente sobre esse tema, treinamentos são obrigatórios em algumas legislações, como no caso do Health Insurance Portability and Accountability Act de 1996 (“HIPAA”), dos EUA.
Os treinamentos podem mudar comportamentos inadequados e reforçar os bons, ao transformar políticas e procedimentos em conteúdo que possa ser absorvido, trazendo para a realidade do colaborador os princípios de privacidade – que devem servir como bússola para que o profissional, enquanto representante do hospital, tome a decisão ética e juridicamente necessária.
O primeiro passo é: não pressupor o entendimento sobre o tema da privacidade e da proteção de dados, sem garantir oportunidades de aprendizado suficientes aos envolvidos. Em razão do caráter recente da privacidade, existe uma curva de aprendizado de todos. Por essa razão, é essencial que se identifique o público a quem devem ser fornecidos os treinamentos, ou seja, quem tem acesso aos dados dos pacientes. Ainda, deve-se customizar os treinamentos de acordo não apenas com as atividades realizadas pelo departamento, mas considerando o perfil dos participantes. Técnicas diferentes, desde aulas expositivas até casos práticos com gamificação, geram maior adesão.
Tão importante quanto a realização são os registros dos treinamentos realizados. Esse tipo de documentação ajuda os hospitais a comprovar diligência em caso de eventual vazamento, cumprindo com o princípio da accountability. Dessa forma, os participantes de treinamentos devem reconhecer por escrito o recebimento e entender que estão sujeitos às políticas dos hospitais e à legislação de proteção de dados pessoais.
O acompanhamento da participação e a compreensão do público faz parte desse controle, gerando métricas para avaliar diversos aspectos relacionados aos programas de treinamento, que podem ir desde o número de pessoas treinadas e treinamentos contemplados até a mudança no número de relatos de incidentes de privacidade ou necessidade de treinamentos adicionais. Testes e quizzes podem ajudar a demonstrar o nível de maturidade dos colaboradores.
Os profissionais, sejam eles de saúde ou administrativos, são agentes em nome de um hospital, em sua nobre missão de cuidar de vidas. A criação de uma cultura de privacidade significa tornar todos vigilantes e atentos em relação à proteção de dados pessoais em uma organização, em especial de pacientes, normalmente já em situação de vulnerabilidade. Treinamentos representam, assim, remédio organizacional com ótimo retorno de investimento, na medida em que seus custos são baixos em relação aos eventuais danos financeiros significativamente maiores em caso de vazamento de dados.
[1] Inclusive a ANPD já se manifestou no sentido de que os colaboradores de um agente de tratamento não são exercem o papel de operadores, mas sim desempenham suas atividades de tratamento como se o agente de tratamento- empregador- fosse. [https://mbarros.adv.br/wp-content/uploads/2022/04/Guia-Orientativo-para-Definicoes-dos-Agentes-de-Tratamento-de-Dados-Pessoais-e-do-Encarregado.pdf acessado em 28.06.2022]
[2] Conforme previsto no art. 42 da LGPD.
[3] De acordo com o art. 52 da LGPD: “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados”.
[4] https://www.law.cornell.edu/cfr/text/45/164.530
[5] Art. 6º, X, LGPD: “X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
*Gabriel Nantes Gimenez e Ana Carolina Reis Figueiredo são advogados de Privacidade e Proteção de Dados do Opice Blum, Bruno e Vainzof Advogados Associados.