Como você faz o tratamento dos dados de seus pacientes? Com a aprovação da Lei Geral de Proteção de Dados, passou a ser obrigatório que profissionais de Odontologia garantam a segurança dessas informações.

Nas últimas décadas, a tecnologia permitiu por meio da análise de dados a entrega de produtos e serviços cada vez mais segmentados e customizados, dando às empresas que possuíssem esses dados vantagens competitivas.

Isto é: quem tinha acesso a essas informações conseguia identificar perfis, potencialidades de mercado e diversas possibilidades lucrativas.

Porém, o tratamento destas informações levantou questionamentos relacionados à privacidade das pessoas em um período marcado de vazamento de informações, uso indevido e até comercialização de dados pessoais.

No Brasil, a Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD) foi criada para garantir maior privacidade das informações, e atender a demanda das multinacionais sobre o compartilhamento de dados.

A medida foi inspirada na General Data Protection Resolution (GPDR), regulamentação que trata do tema na União Europeia.

Com isso, a LGPD busca impedir que empresas utilizem de forma indiscriminada ou compartilhem dados pessoais e sensíveis das pessoas sem suas devidas autorizações ou base legal justificável.

A lei não faz qualquer distinção de mercados, portanto ela também impacta os serviços de Odontologia, área que lida no dia a dia com dados, inclusive sensíveis, de pacientes.

Conheça mais sobre a lei e entenda o que sua clínica ou consultório deve fazer para se adequar à legislação.

1 → O que é a Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade de todos os indivíduos.

Ela define o tratamento de dados feito por pessoa física ou jurídica de direito público ou privado e engloba tanto operações realizadas por meios digitais quanto físicos.

Logo, toda e qualquer informação de uma pessoa necessita da permissão da mesma para ser utilizada e é resguardada pela LGPD, que classifica os dados em dois tipos:

• Dados pessoais: nome, data de nascimento, endereço, telefone, e-mail, imagem, estado civil, histórico profissional ou escolar/acadêmico, números de identificação (RG, CPF, CRO), dados de navegação e geolocalização, dados de cookies, etc.
• Dados sensíveis: origem racial ou étnica, orientação sexual, convicção religiosa, opinião política, filiação sindical, dados genéticos e biométricos, dados de saúde, dados de menores, etc.

Neste ponto, é fundamental ressaltar que o cuidado com o tratamento de dados sensíveis deve ser redobrado, pois dizem respeito à intimidade da pessoa e, se revelados ou identificados, podem gerar discriminação ou perseguição.

Segundo Ayesa Meurer Wisintainer, Gerente Sênior de Compliance e Encarregada de Dados da Henry Schein, os dados sensíveis não devem ser solicitados e nem utilizados, salvo em situações onde a informação seja extremamente necessária para que exista a relação de compra e venda ou execução de serviço.

“Informações excessivas ou desnecessárias para execução de uma determinada atividade não devem ser coletadas, pois não obedecem aos princípios da LGPD. E no caso de serem dados sensíveis, quando indispensáveis, é preciso ter um cuidado ainda maior no tratamento e segurança”, explica.

A partir disso, de acordo com o Artigo 5º da LGPD, o tratamento de dados abrange:

• Coleta
• Produção
• Recepção
• Classificação
• Utilização
• Acesso
• Reprodução
• Transmissão
• Distribuição
• Processamento
• Arquivamento
• Armazenamento
• Eliminação
• Avaliação ou controle da informação
• Modificação
• Comunicação
• Transferência
• Difusão
• Extração

O documento também estabelece que não importa se a sede da empresa ou seu banco de dados está localizado no Brasil ou no exterior: se há o tratamento de informações sobre pessoas físicas, brasileiras ou não, que estão em território nacional, estão sob as normas da LGPD.

EXCEÇÃO: a lei não se aplica para fins exclusivamente particulares (não econômicos), jornalísticos, artísticos, de segurança pública e do Estado, de defesa nacional, de investigação e repressão de infrações penais.

Direitos do titular

Com relação aos direitos do titular dos dados, a lei traz várias garantias à pessoa, que, se solicitadas, devem ser respondidas pela empresa ou entidade que possui as informações em um prazo legal de 15 dias. Algumas solicitações previstas em lei são:

• Saber para quê suas informações serão usadas
• Solicitar a revogação do consentimento das informações
• Solicitar a exclusão de dados
• Retificar e alterar dados equivocados
• Transferi-los para outras empresas e instituições
• Verificar decisões automatizadas

Dessa forma, o tratamento de dados deverá acontecer respeitando os seguintes princípios de privacidade:

• Finalidade: apenas coletar dados para fins legítimos, informando com clareza à pessoa como eles serão usados.
• Adequação: disponibilizar todas as informações sobre a coleta e o uso de dados.
• Necessidade: manter e utilizar apenas os dados essenciais, apagando-os quando deixarem de ser relevantes.
• Livre acesso: ao ser requisitado, ser capaz de apresentar ao titular os dados e a forma como são processados.
• Precisão: manter os dados precisos a todo momento, deletando ou atualizando dados errados ou imprecisos.
• Transparência: o titular deve ser informado de maneira clara e acessível sobre os riscos e direitos sobre seus dados.
• Segurança: tomar medidas técnicas e administrativas para proteger os dados de danos, furtos ou perdas.
• Prevenção: tomar medidas preventivas para a proteção dos dados, evitando danos aos titulares.
• Não discriminação: não utilizar os dados para nenhum fim discriminatório, ilícito ou abusivo, atendendo aos requisitos da lei.
• Responsabilidade: adotar estes princípios e ter condições de provar sua adoção em todos os procedimentos da empresa.

IMPORTANTE: a lei não se refere apenas a dados de clientes, mas também de funcionários, ex-funcionários, visitantes, fornecedores e quaisquer outras pessoas físicas que compartilhem suas informações com a empresa ou organização.

2 → Como a lei impacta a Odontologia

Prontuário clínico, anamnese, odontogramas, prescrições, atestados, receitas e encaminhamentos são apenas alguns exemplos de documentos que fazem parte da rotina de clínicas e consultórios.

Todos contêm dados pessoais e, inclusive, sensíveis de pacientes, pois apresentam informações relacionadas à saúde da pessoa.

Em razão disso, a LGPD também engloba a atividade de dentistas, independente do tamanho de seu negócio ou de atuar como pessoa física ou jurídica.

O ciclo de vida do dado

De acordo com Ayesa, o ciclo de vida de um dado normalmente compreende ações de coleta, processamento, armazenamento, anonimização (processo de tornar anônimos os dados do paciente), transferência e exclusão.

Anonimização: quando um paciente faz um cadastro na clínica e compartilha seus dados é possível associar um código interno a todas as informações, como por exemplo “123”.

Dessa forma, “123” será identificado como aquele paciente, “124” será outro paciente e assim por diante.

“Quando os dados são anonimizados, eles ficam menos expostos. Ao tratar um paciente, a dentista ou o dentista não vai precisar acessar esses dados a cada consulta, apenas o código interno (123, 124, etc) para identificar o paciente e realizar seus registros de atendimento”, explica.

Transferência: o compartilhamento pode ser interno, entre departamentos e áreas, ou externo, entre a clínica e outras empresas e instituições, como transportadoras, prestadores de serviços, bancos, convênios ou contadores.

Nessa cadeia de transferência, é essencial que os dados sejam compartilhados apenas com terceiros que tenham os mesmos cuidados de segurança e proteção à privacidade que a clínica ou dentista possui e que a LGPD exige.

“Se a clínica manda uma moldeira junto com informações pessoais de um paciente para o protético, por exemplo, ambos são responsáveis pelo tratamento desses dados. Porém, a clínica tem uma responsabilidade maior, pois o paciente confiou a ela a segurança de seus dados”, explica Ayesa.

IMPORTANTE: ao coletar os dados do paciente, ele deve ser informado sobre a possibilidade do compartilhamento com terceiros.

Dados identificáveis

É extremamente importante destacar que dados indiretos que possibilitam a identificação de uma pessoa também deverão seguir os requerimentos da lei.

Isso significa que um exame dentário, por exemplo, mesmo que não apresente o nome de uma pessoa, pode permitir, em certas circunstâncias, a identificação da mesma, seja por meio da imagem ou de um número de cadastro.

“Qualquer documento que tenha informações sobre a saúde de alguém, mesmo que não apresente um nome, se enquadra no que a lei chama de dado identificável, pois contém informações unicamente atreladas a um indivíduo”, reforça Ayesa.

Dados de menores

No caso da solicitação de dados de crianças e adolescentes fica a cargo dos responsáveis legais a autorização para a coleta.

Quando a pessoa completar 18 anos, a concessão não é mais válida e a autorização passa a ser dela própria.

3 → Como se adequar à legislação

Para estar em conformidade com a LGPD, é recomendável que a clínica ou consultório faça um levantamento dos dados que já possui e siga as seguintes orientações:

• Classifique os dados entre pessoais e sensíveis;
• Identifique onde e como estão sendo armazenados;
• Identifique a finalidade de cada dado coletado;
• Anonimize, quando possível, as informações de cada titular;
• Liste todos os terceiros com quem esses dados serão compartilhados (transportadoras, bancos, softwares, prestadores de serviço, convênios, etc);
• Verifique se eles também estão de acordo com a LGPD;
• Forneça acesso aos dados somente a pessoas que realmente necessitam tratá-los;
• Realize um treinamento com sua equipe para implementar boas práticas de tratamento, privacidade e segurança de dados de acordo com a LGPD.
• Elabore a Política de Privacidade da clínica, um documento no qual é descrito como são realizadas as medidas acima e demais diretrizes do consultório que sejam relevantes.

É importante verificar também se as informações estão armazenadas de acordo com o tempo em que as normas de Odontologia estabelecem.

Essa organização e sistematização permite à clínica ou dentista a resposta rápida diante de solicitações de titulares dos dados ou da Autoridade Nacional de Proteção de Dados (ANPD), órgão federal criado para a fiscalização das normas da LGPD.

A lei também faz menção à criação do cargo de Encarregado de Dados, em inglês Data Protection Officer (DPO).

Esse profissional deve ficar exclusivamente responsável pela segurança e proteção dos dados, tanto físicos quanto digitais, e prestar contas à ANPD quando necessário.

Entretanto, a obrigatoriedade da nomeação de alguém para esta função, no caso de pequenas e médias empresas, startups e pessoas físicas que tratam de dados pessoais com fins econômicos, ainda está sendo discutida.

Tanto essa quanto outras questões de aplicação da LGPD para este público são tema prioritário na agenda regulatória de 2022 da ANPD.

Segundo Ayesa, há profissionais que optam por não fazer nada e aguardar a regulamentação e outros que já iniciaram a adequação pois entendem que, independente da decisão, já estão suscetíveis à aplicação da LGPD.

“Minha recomendação é que não esperem a agenda regulatória para começar a se adequar. Tratar dados com privacidade e segurança é uma obrigação moral e de todos, independente da lei exigir”, orienta Ayesa.

Enquanto pequena empresa ou pessoa física, profissionais de Odontologia podem, e devem, buscar se adequar desde o primeiro momento, nomeando alguém de sua confiança ou ele mesmo para ser o responsável pelo tratamento de dados.

RECOMENDAÇÃO: como a lei é recente e ainda possui tópicos que estão sendo discutidos, existem particularidades que demandam análises jurídicas a serem interpretadas e cumpridas corretamente. Para evitar erros que possam gerar prejuízos futuros, é fundamental contar com suporte especializado.

4 → Cuidados sobre o tratamento de dados

Com a LGPD em vigor, o aspecto pelo qual mais deve se ter atenção e cuidado é relacionado à prevenção de vazamentos de dados.

É essencial sempre ressaltar que as informações devem ser coletadas mediante consentimento, deixando claro ao titular dos dados para qual finalidade serão utilizadas.

Assim, o tratamento de dados ─ seja ele feito de forma manual, por meio de papéis, planilhas e arquivos físicos, seja de forma digital, com o uso de softwares ─ deve sempre ser transparente e, se possível, escrito em uma Política de Privacidade que possa ser consultada quando necessário.

Clínicas com softwares

As clínicas, consultórios ou dentistas que utilizam software odontológico, são classificados como Controladores de Dados, ou seja, aqueles que coletam os dados do paciente e têm a obrigação de mantê-los em segurança.

Já a empresa que fornece o programa é classificada como Operadora de Dados, ou seja, aquela que tem a responsabilidade de realizar o tratamento de dados em nome do Controlador.

A partir disso, é muito importante que, na hora de contratar o serviço, a clínica escolha um software confiável, buscando saber sobre sua política de privacidade e como a empresa trata os dados enquanto Operadora.

Neste caso, suponhamos que haja um incidente com vazamento de dados, de quem seria a culpa? A resposta é: depende.

Digamos que o vazamento tenha ocorrido na base do software odontológico. Então a responsabilidade é do Operador (da empresa de tecnologia), com corresponsabilidade do dentista, já que este fez uma má escolha sobre a empresa.

Por outro lado, se o incidente aconteceu, por exemplo, porque a pessoa Encarregada pela segurança dos dados fez um download da lista total de pacientes e divulgou na internet, a responsabilidade é do Controlador.

Em todo caso, o incidente sempre deve ser avaliado, conforme iremos ver no próximo tópico deste artigo.

Por último, uma dica indispensável para clínicas que utilizam sistemas odontológicos é fazer a gestão do acesso, reduzindo o número de dispositivos que acessam a plataforma e limitando os perfis de cada usuário.

Clínicas sem softwares

Para consultórios e profissionais de Odontologia que ainda não utilizam softwares, o cuidado com prontuários e fichas em papel deve ser redobrado.

Elas também são classificadas como Controladoras de Dados, mas nesse caso não há a função de Operador.

Riscos de perda e roubo, que podem provocar vazamentos de dados, danos pela ação do tempo ou mesmo situações inesperadas, como incêndios e enchentes, podem gerar problemas futuros e colocar em jogo a questão ética e moral do consultório.

Frente a isso, é preciso garantir a segurança do tratamento, armazenamento e acesso de todos os dados de pessoas físicas, pacientes ou não, que a clínica possui.

5 → O que fazer em caso de vazamento de dados

Se mesmo com todas as medidas de prevenção, ou a falha delas, ocorrer o vazamento de dados de pacientes ou demais pessoas físicas, existe um procedimento de Comunicação de Incidentes com Dados que deve ser seguido.

Segundo a ANPD, um incidente de segurança com dados é qualquer evento relacionado à violação na segurança de informações.

Essas ocorrências englobam acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração e vazamento ou qualquer forma de tratamento inadequada ou ilícita que possa ocasionar risco para os direitos e liberdades do titular dos dados.

Diante disso, a primeira coisa a fazer nesses casos é avaliar internamente o incidente com relação à natureza, categoria, quantidade de dados e titulares afetados, além de consequências concretas e prováveis.

Para essa análise interna, a ANPD disponibiliza um formulário de avaliação sobre o impacto do incidente. Caso se chegue à conclusão de que o risco foi baixo, não é preciso reportar à autoridade, porém é vital que se crie um plano de ação para que não aconteça novamente.

Do contrário, se o impacto foi considerado relevante, é preciso fazer o comunicado ao órgão e aos titulares dos dados caso o incidente possa acarretar danos relevantes às pessoas.

Nesse cenário, a LGPD prevê penalidades que variam de acordo com a gravidade da situação e englobam:

• Advertências simples;
• Multas por infração cometida;
• Divulgação da infração cometida;
• Bloqueios, suspensões, proibições e até eliminação do banco de dados, podendo ser parcial ou total;
• Possibilidade de ações judiciais por parte de titulares dos dados.

No caso das multas, os valores variam de penalidades diárias de 2% do faturamento do negócio no ano anterior, podendo chegar a R$ 50 milhões por infração.

Para isso, a ANPD leva em consideração:

• A natureza das infrações e dos direitos pessoais afetados
• A boa-fé do infrator
• A vantagem pretendida
• As condições econômicas
• A reincidência
• O grau do dano
• Os processos e procedimentos implementados para atendimento à LGPD
• A cooperação com a autoridade

Por fim, a criação de leis protetivas de dados é uma tendência mundial e está cada vez mais em evidência. É preciso ter consciência de que subestimar suas sanções é uma aposta fadada ao fracasso.