13 Apr PROJETO DE LEI DO ESTADO DE SÃO PAULO PROPÕE QUE PACIENTES TENHAM ACESSO AOS SEUS PRONTUÁRIOS ELETRÔNICOS
Apresentado em 7.4.2020 pelo Tenente Coimbra, o Projeto de Lei nº 225/2020 do Estado de São Paulo (“PL”) pretende garantir que os pacientes das redes hospitalares pública e privada tenham acesso aos seus prontuários médicos de forma eletrônica.
No caso da rede pública e da rede privada de saúde conveniada ao Poder Público Estadual, o acesso ao prontuário médico deverá ser garantido por meio de um website. Já no caso da rede privada não conveniada, o acesso poderá ser garantido tanto por meio de website como via e-mail.
O PL pretende colocar em prática um direito dos pacientes que há muito tempo é previsto nas normas éticas emanadas pelo Conselho Federal de Medicina: a garantia de acesso ao prontuário.
Todavia, os prontuários médicos contêm dados referentes à saúde do paciente, incluindo histórico de doenças e tratamentos clínicos adotados. Nesse sentido, consistem em dados pessoais sensíveis, tutelados pela Lei Geral de Proteção de Dados (“LGPD”) cuja entrada em vigor se aproxima. Deve-se, portanto, considerar a possibilidade e os riscos de disponibilização de prontuários médicos à luz da LGPD.
Acerca do tratamento de dados pessoais sensíveis promovido pelo PL, parece ser possível, desde um primeiro momento, ampará-lo em algumas das hipóteses trazidas pelo artigo 11 da LGPD, inclusive no consentimento do titular dos dados a depender dos mecanismos adotados para o acesso.
Mesmo na ausência de consentimento, a depender do contexto, o tratamento dos dados pessoais sensíveis poderá ser enquadrado como cumprimento de obrigação legal ou regulatória pelo controlador e tutela da saúde.
No que se refere ao cumprimento de obrigação legal ou regulatória, a Lei nº 13.787/2018, já regulou expressamente a digitalização de prontuários de pacientes, inclusive demandando a adequação à LGPD.
Quanto à tutela da saúde, a própria justificativa do PL aponta os ganhos de tempo e qualidade de atendimento em serviços de saúde com a disponibilidade dos prontuários em sua forma eletrônica. Logo, a finalidade de tutela da saúde justifica o tratamento de dados pessoais sensíveis.
Em que pese a possibilidade de enquadrar o tratamento dos dados pessoais sensíveis em mais de uma hipótese do artigo 11 da LGPD, esse tratamento deve levar sempre em consideração a finalidade, adequação e necessidade. Por exemplo, o artigo 4º do PL vincula a disponibilização do prontuário à autorização do paciente e o artigo 7º impede a divulgação a terceiros sem a referida autorização.
Considerando que o tratamento dos dados pessoais sensíveis poderá ocorrer também por rede pública, a LGPD dispõe de artigos específicos para tanto.
O artigo 23 da LGPD, em seu inciso I, exige que a rede pública de saúde, ao disponibilizar eletronicamente os prontuários de pacientes, limite-se ao tratamento necessário à sua finalidade. Em outras palavras, o tratamento deve ocorrer exclusivamente para o cumprimento da obrigação legal da Lei nº 13.787/2018 e da tutela da saúde. Adicionalmente, o inciso III do mesmo artigo demanda que seja indicado um encarregado do tratamento dos dados pessoais sensíveis. Futuramente, a ANPD pode impor outras exigências à rede pública.
Ademais, o artigo 25 da LGPD exige que, se a prestação do serviço de saúde pública demandar algum nível de compartilhamento de dados, os dados pessoais sensíveis sejam mantidos “em formato interoperável e estruturado para o uso compartilhado”, possibilitando o compartilhamento necessário ao cumprimento da finalidade.
Por fim, questão fundamental a ser discutida diz respeito às medidas de segurança para a prevenção de incidentes (incluindo vazamentos) e acessos não autorizados envolvendo dados pessoais sensíveis.
O PL requer a utilização de algumas medidas de segurança, resumidas em (i) exigência de login e senha para acesso ao website contendo o prontuário do paciente; (ii) disponibilização dos prontuários apenas por profissionais da saúde mediante assinatura (original ou digital); e (iii) proibição de divulgar informações de pacientes a terceiros, sujeitos às sanções administrativas e legais por descumprimento. Resta esclarecer se tais medidas satisfazem as exigências de seguranças da LGPD.
Embora conte com uma seção referente à segurança e boas práticas no tratamento de dados pessoais e dados pessoais sensíveis, os artigos da LGPD voltados para o tema são bastante genéricos. Em suma, a LGPD exige que sejam adotadas medidas de segurança técnicas e administrativas capazes de proteger os dados pessoais e dados pessoais sensíveis – no caso concreto, dados de saúde – de acessos não autorizados e de situações de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, seja em consequência de incidente ou ilicitude. Vale recordar que as medidas técnicas têm, invariavelmente, algum custo financeiro, o qual pode ou não representar um entrave à adoção das melhores medidas pela rede pública de saúde. A LGPD reforça também que os sistemas utilizados para o tratamento dos dados de saúde – no caso concreto, o website – devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da própria LGPD, além das demais regras específicas aplicáveis. Novamente, espera-se que, uma vez constituída, a ANPD possa emitir diretrizes mais detalhadas voltadas para a saúde pública.
Supondo aprovado o PL, caberá ao tempo e a experiência elucidar se as medidas de segurança que propõe bastam para proteger os dados pessoais sensíveis de pacientes e, se não forem suficientes, o quanto os investimentos necessários para adequá-las aos padrões impostos pela LGPD e ANPD poderão impactar na eficácia do PL.
Conclui-se que o PL representa um ganho para a população geral em termos de acesso às informações referentes à própria saúde e pode vir a significar melhoria na qualidade e na agilidade do atendimento. No entanto, ao cobrir-se um santo, não se pode descuidar do outro, qual seja a tutela da privacidade e da intimidade dos pacientes. Essa será a missão das instituições que compõem a Rede Pública e Privada de Saúde quando o PL for aprovado e a LGPD entrar em vigor.
Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener, Granja & Vieira Advogados.
Sem comentários