3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

Guia_LGPD_Cremesp_Comentado_2023

1 Guia LGPD Cremespcomentado Edição 2023 I Introdução II III IV V VI Índice VII

guia LGPD Cremesp comentado EDição 2023 EXPEDIENTE Publicação do Conselho Regional de Medicina do Estado de São Paulo Rua Frei Caneca, 1.282 – São Paulo – SP - CEP 01301-910 Tel. (11) 4349-9900 - www.cremesp.org.br Presidente do Cremesp Irene Abramovich Coordenador da Assessoria de Comunicação Wagmar Barbosa de Souza Chefe da Assessoria de Comunicação Marcos Michelini gerência da procuradoria jurídica autárquica Carlos Magno dos Reis Michaelis Júnior Encarregado de Proteção de Dados Elcio Lima Garcia IDEALIZAÇÃO Angelo Vattimo, Flavia Amado Bassanezi e Joaquim Francisco Almeida Claro Elaboração Comissão de Gestão de Segurança da Informação e Proteção de Dados Pessoais do Cremesp Conselheiros: Angelo Vattimo (coordenador), Irene Abramovich, Joaquim Francisco Almeida Claro, Maria Camila Lunardi e Wagmar Barbosa de Souza. Integrantes: Carlos Magno dos Reis Michaelis Júnior, Cristina Aparecida Calabrese, Cynthia Aparecida dos Santos Silva, Djalma Gomes Rodrigues, Elcio Lima Garcia, Erika Ura Kusano, Elmo Menezes de Couto, João Carlos Ferreira Júnior, Julia Naddaf Remer, Luis Gonzaga Amim, Marcelo Gonçalves de Castro, Marcos David, Marcos Michelini, Paula Véspoli Godoy, Silmar Vizcaino e Suzana Dantas dos Santos. Revisão Aglaé Silvestre, Concília Ortona, Fátima Barbosa, Ivolethe Duarte, Julia Naddaf Remer, Marcos Michelini e Nara Damante Diagramação e capa Alexandre Paes Dias CAT – Central de Atendimento Telefônico Tel. (11) 4349-9900 Atendimento na sede: Rua Frei Caneca, 1.282 (das 9h às 18 horas) E-mail: lgpd@cremesp.org.br

3 Guia LGPD Cremespcomentado Edição 2023 ÍNDICE INTRODUÇÃO ......................................................................................4 I - PARA ENTENDER A LGPD .................................................... 6 Definições.......................................................................................... 6 Os envolvidos .................................................................................8 Princípios............................................................................................ 9 Bases legais ................................................................................... 12 Hipóteses ......................................................................................... 16 Consentimento ............................................................................ 18 II – TRATAMENTO DE DADOS EM CONSULTÓRIOS MÉDICOS ....................................................... 19 Direitos dos titulares ............................................................... 19 LGPD nos consultórios........................................................... 20 Mecanismos para obtenção de consentimento .....................................................................21 Dados pessoais de crianças e adolescentes ............22 Inventário de dados pessoais ............................................23 III – COMPARTILHAMENTO DE DADOS ...........................25 IV – MEDIDAS E AÇÕES .............................................................. 31 Etapas ..............................................................................................31 Interações.....................................................................................33 Documentos sugeridos para implantação .......... 34 Segurança, proteção e guarda de dados .............. 36 Encarregado de dados ......................................................40 V – CONSEQUÊNCIAS NO DESCUMPRIMENTO DA LGPD ............................................... 41 VI – NORMAS RELACIONADAS ............................................. 47 VII - PERGUNTAS E RESPOSTAS ..........................................48 VIII - REFERÊNCIAS ........................................................................55

4 Guia LGPD Cremespcomentado Edição 2023 I Introdução II III IV V VI Índice VII INTRODUÇÃO O Conselho Regional de Medicina do Estado de São Paulo (Cremesp), ciente da nova regulamentação referente à Lei Geral de Proteção de Dados Pessoais (LGPD) ‒ Lei nº13.709/2018 ‒ elaborou este guia de orientação aos profissionais médicos sobre a nova legislação, suas exigências e adequações a serem implementadas em seu cotidiano de trabalho. O estudo, efetivado pela Comissão de Gestão de Segurança da Informação e Proteção de Dados Pessoais do Conselho, é notadamente voltado para consultórios médicos de pequeno porte, os quais representam grande número das pessoas jurídicas registradas no Cremesp. É patente que as instituições públicas e privadas de saúde de maior porte necessitam se adequar à nova norma e, certamente, já estão estabelecendo suas próprias políticas internas e fluxos de proteção de dados pessoais, os quais deverão ser respeitados por toda equipe de saúde. Situação distinta é a do médico que em seu consultório é o controlador de dados pessoais e sensíveis de seus pacientes e colaboradores, que deverá se conscientizar e se organizar sob uma nova perspectiva de proteção de dados pessoais. Este guia tem como intento auxiliá-lo neste processo. O sigilo e a confidencialidade das informações dos pacientes e usuários do sistema de saúde já são de conhecimento dos profissionais que atuam na área, em especial, dos médicos, para os quais o sigilo é princípio deontológico basilar da profissão, pilar da relação médico-paciente, como previsto no Código de Ética Médica. O conjunto de regulamentações já existentes na área da saúde foi ampliado, em 2018, com a promulgação da LGPD, a qual foi publicada para proteger o direito fundamental de privacidade, garantido na Constituição Federal em seu artigo 5º, inciso X, como direito da personalidade,

5 Guia LGPD Cremespcomentado Edição 2023 I Introdução II III IV V VI Índice VII da integridade moral e da dignidade de cada ser humano. Assim, além das regulamentações já conhecidas pelos médicos, oriundas da Agência Nacional de Saúde (ANS), da Agência Nacional de Vigilância Sanitária (Anvisa), do Conselho Nacional de Saúde (CNS) e do Conselho Federal de Medicina (CFM), dentre outros órgãos de controle, há esta nova normativa, que veio regulamentar o tratamento de dados pessoais dos indivíduos, estejam eles dispostos emmeio f ísico ou digital. A norma exige implementação de novos procedimentos e fluxos de segurança no tratamento de dados pessoais, trazendo conceitos e obrigações referentes à proteção de dados pessoais dos titulares. Daí a importância de consultórios médicos se adequarem à lei e implantarem ações e procedimentos internos que garantam o tratamento de dados pessoais de forma apropriada. Essas medidas visam respeitar os princípios trazidos pela LGPD, mantendo a confidencialidade dos documentos do paciente — principalmente seus prontuários médicos — garantindo que eles sejam armazenados de forma segura (f ísica ou digital) e acessados somente pelos profissionais que de fato necessitem ter conhecimento das informações clínicas do paciente. Importante considerar que os dados pessoais aos quais os médicos têm acesso são dados sensíveis, conforme classificação da LGPD. Também não se pode olvidar que, nos consultórios, existem dados pessoais de outras pessoas, os quais podemos elencar como: colaboradores/funcionários, prestadores de serviço e demais fornecedores, que deverão ser adequadamente tratados. Este guia tem o propósito de orientar de maneira sucinta como o médico, em seu cotidiano deverá se adequar às obrigações estabelecidas na LGPD visando, além da boa prática médica, à governança na proteção dos dados pessoais de todos os envolvidos neste ambiente.

Guia LGPD Cremespcomentado Edição 2023 6 I Introdução II III IV V VI Índice VII I - PARA ENTENDER A LGPD DEFINIÇÕES A Lei Geral de Proteção de Dados (LGPD) dispõe sobre o tratamento e a proteção de dados pessoais, sejam eles em meios f ísicos ou digitais, com o objetivo de proteger os direitos fundamentais da liberdade e da privacidade. Essa norma trouxe grande impacto às pessoas f ísicas e organizações, no que tange ao tratamento de dados pessoais e dados pessoais sensíveis. Dados pessoais São as informações relacionadas à pessoa natural que permitem identificá-la, como por exemplo, nome, RG, CPF, CRM, CNH, email, celular e endereço residencial, entre outros dados. Dados pessoais sensíveis Informações que se referem à origem racial ou étnica, religião, orientação sexual, posicionamento político, f iliação a sindicato ou outras organizações, condições de saúde, dados genéticos ou biométricos são considerados dados pessoais sensíveis. Esses elementos devem ser tratados de maneira mais criteriosa e, por isso, exigem maior nível de segurança, para que seja evitada utilização com f im inadequado. A área da Saúde é uma das mais afetadas por essa def inição, uma vez que esse

Guia LGPD Cremespcomentado Edição 2023 7 I Introdução II III IV V VI Índice VII conjunto de informações não deve ser tratado com f ins discriminatórios ou preconceituosos, pois referem-se a doenças, relatórios médicos, prontuários, resultados de exames, dados biométricos, dentre outros dados específ icos do paciente. Tratamento de dados pessoais O artigo 5, inciso X, da LGPD, estabelece que toda operação realizada com dado pessoal é tratamento de dados, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Assim, em consultórios médicos, desde a coleta dos dados do paciente para simples cadastro até o armazenamento de seu prontuário médico (f ísico ou digital), transmissão de dados e compartilhamento com hospitais, laboratórios e operadoras, são formas de tratamento de dados pessoais, uma vez que tratam de informações sensíveis desses pacientes. Dados anonimizados e pseudonimizados A anonimização é a utilização de meios técnicos de tratamento que faz com que um dado perca a possibilidade de associação, direta ou indireta, a um indivíduo. A pseudonimização é um procedimento de anonimização em que um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, ao ser substituído por um identificador artificial ou pseudônimo.

Guia LGPD Cremespcomentado Edição 2023 8 I Introdução II III IV V VI Índice VII Segundo o Serpro1: “Se um dado for anonimizado, então a LGPD não se aplicará a ele. Vale frisar que um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular do dado - se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD. OS ENVOLVIDOS Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Exemplos de titulares de dados pessoais em consultórios médicos são os pacientes, seus familiares/visitantes, prestadores de serviços, funcionários e colaboradores. Agentes de tratamento: são o controlador e o operador. Dentre as obrigações dos agentes de tratamento, destacam-se a obrigatoriedade de adoção de medidas de segurança, técnicas e administrativas, para proteção de acessos não autorizados; o registro das operações de tratamento de dados, e a elaboração de relatório de impacto. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Exemplos de controladores são os próprios consultórios médicos e os médicos responsáveis pelo paciente. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Exemplos de operadores: secretárias dos mé1 https://shre.ink/kdEl

Guia LGPD Cremespcomentado Edição 2023 9 I Introdução II III IV V VI Índice VII Autoridade Nacional de Proteção de Dados (ANPD²): é o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para sua implementação. Foi criada em13 de junho de 2022, por medida provisória, e transformada em Autarquia de natureza especial, tendo como principais funções promover o conhecimento das normas sobre proteção de dados pessoais, alémde fiscalizar e aplicar sanções, em caso de descumprimento da legislação. PRINCÍPIOS Os princípios da Lei Geral de Proteção de Dados (LGPD) encontram-se em seu artigo 6º, prevendo a norma que qualquer tratamento de dados pessoais deverá observar a boa-fé, além de outros dez princípios: dicos, prestadores de serviços de Tecnologia da Informação, colaboradores da área administrativa do consultório médico, contador e departamento pessoal. 2 https://shre.ink/kdDY Encarregado: pessoa indicada, pelo controlador e pelo operador, para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD). 1 - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; ou seja, tratamento de dados com aplicação clara, específica e válida.

Guia LGPD Cremespcomentado Edição 2023 10 I Introdução II III IV V VI Índice VII 2 - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. A adequação significa serem compatíveis às finalidades anteriormente descritas. 3 - Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Quanto à necessidade, é a utilização somente da informação indispensável para atingir seu objetivo. 4 - Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. Estabelece que todo titular de dados pessoais tem o direito, de forma não onerosa, à consulta sobre o tratamento de suas informações. 5 - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Princípio que garante mais um direito do titular no que tange à condição de seus dados. 6 - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e seus respectivos agentes, observados os segredos comercial e industrial. Reiteradamente, mais um princípio que se refere ao direito do titular em obter esclarecimentos a respeito do tratamento e os agentes envolvidos.

Guia LGPD Cremespcomentado Edição 2023 11 I Introdução II III IV V VI Índice VII 7 - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Visa priorizar o controle de acesso aos dados pessoais e, no caso do exercício da Medicina, o controle de dados sensíveis. 8 - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Estabelece a necessidade de regras para garantir a salvaguarda dos dados pessoais. 9 - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos, ou seja, a não utilização dos dados com fins distinguidores, por exemplo, com a finalidade de discriminar determinado paciente de um plano de saúde. 10 - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Este princípio norteia o entendimento dos papéis dos agentes de tratamento de dados, inclusive no que diz respeito à responsabilidade. Os princípios previstos na LGPD visam assegurar que o tratamento de dados será realizado com o mínimo necessário para atingir suas finalidades legítimas e específicas, de modo que o titular esteja ciente de como será realizado o tratamento (transparência) e de que seus dados estão sendo protegidos de acessos indevidos e de vazamentos.

Guia LGPD Cremespcomentado Edição 2023 12 I Introdução II III IV V VI Índice VII BASES LEGAIS A LGPD elenca, em seu artigo 7º, as hipóteses de tratamento de dados pessoais que são, portanto, utilizados usualmente em consultórios e que devem se enquadrar em uma das bases legais estabelecidas no referido artigo. São dez as bases legais que permitem o tratamento de dados pessoais: I. Consentimento informado do paciente e demais pessoas que fazem parte das atividades do consultório O consentimento do titular é a manifestação livre, informada, inequívoca, pela qual o titular concorda com o tratamento para uma finalidade determinada. Deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. As autorizações genéricas para o tratamento de dados pessoais são consideradas nulas. II. Cumprimento de obrigação legal ou regulatória pelo controlador (profissional ou serviço de saúde) Com essa base jurídica, o controlador pode tratar dados pessoais – sem consentimento – do titular para cumprir uma obrigação legal ou regulatória. O tratamento de dados, nesses casos, não é uma escolha discricionária do controlador, mas uma obrigação a se cumprir. III. Tratamento de dados pela Administração Pública para execução de políticas públicas

Guia LGPD Cremespcomentado Edição 2023 13 I Introdução II III IV V VI Índice VII IV. Realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais Os institutos de pesquisa são entidades da administração pública, direta ou indireta, ou ainda, pessoa jurídica de direito privado sem fins lucrativos, legalmente constituídos conforme as leis brasileiras, que tenham como objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico (Artigo 5º, XVIII). V. Execução de contrato e procedimentos preliminares relacionados a contrato dos quais sejam parte o titular, a pedido do titular dos dados Base legal para utilização de dados pessoais para fazer cumprir contratos, como de prestação de serviços ou contrato de trabalho. Considerando a área da saúde, podemos citar Conforme o Guia Orientativo Tratamento de Dados Pessoais pelo Poder Público3: “recomenda-se que o conceito de política pública seja interpretado de forma ampla, de modo a abranger qualquer programa ou ação governamental, definido em instrumento formal, isto é, lei, regulamento ou ajuste contratual, conforme o caso, cujo conteúdo inclui, em regra, objetivos, metas, prazos e meios de execução”. Por exemplo: política de controle do tabagismo, programas de vacinação, programa farmácia popular. 3 https://shre.ink/kdDd

Guia LGPD Cremespcomentado Edição 2023 14 I Introdução II III IV V VI Índice VII contrato com os colaboradores ou contrato de prestação de serviços médicos/honorários com pacientes. VI. Exercício regular de direito em processo judicial, administrativo ou arbitral O objetivo é resguardar o direito ao acesso à Justiça, seja no âmbito administrativo, arbitral ou judicial, não sendo necessário consentimento do titular para seu aproveitamento. Esta base legal pode ser aplicada quando for necessário o aproveitamento de dados pessoais dos pacientes para defesa do médico em processos judiciais e/ ou administrativos. O Código de Ética Médica já prevê, em seu artigo 89, que cópias de prontuários sob sua guarda poderão ser utilizadas para atender ordem judicial ou para sua própria defesa, ressaltando que, neste último caso, deverá o médico solicitar que seja observado o sigilo profissional. VII. Proteção da vida ou da incolumidade física do titular ou de terceiro Essa hipótese prevê o tratamento e, inclusive, o compartilhamento de dados pessoais em situações, quando necessário, para proteger a vida ou para a preservação da segurança de um indivíduo. No âmbito da Saúde, o uso de dado pessoal, como: tipo sanguíneo no atendimento de emergência, ou mesmo, dados pessoais contidos no seu documento de identif icação, para que se estabeleça contato com familiares ou verif icação de convênio médico.

Guia LGPD Cremespcomentado Edição 2023 15 I Introdução II III IV V VI Índice VII Dessa forma, se o tratamento ocorrer para garantir a vida e a integridade f ísica da pessoa, está amparado por lei. VIII. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária Procedimentos realizados somente por profissional de saúde e/ou serviços de saúde permitem o tratamento de dados conforme base legal aqui descrita. É admitido o tratamento de dados para a tutela da saúde como, por exemplo, nos casos de intervenção cirúrgica. IX - Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais É subjetivo o termo “legítimo interesse”, o que exige que sua aplicação seja realizada de maneira criteriosa, sendo necessário levar em conta o interesse do controlador e o direito do titular. O Artigo 10, §§ 2º e 3º, da LGPD, prevê que essa base legal deve ser documentada, pois a ANPD poderá solicitar ao controlador o relatório de impacto à proteção de dados baseados nessa hipótese legal. X - Proteção do crédito, inclusive quanto ao disposto na legislação pertinente Essa base legal tem por finalidade garantir que, em situação de cobrança de dívidas contraídas, possam ser consultadas as instituições de proteção de crédito reconhecidas pelo Código de Defesa do Consumidor como entidades de caráter público.

Guia LGPD Cremespcomentado Edição 2023 16 I Introdução II III IV V VI Índice VII HIPÓTESES DE TRATAMENTO DE DADOS SENSÍVEIS Pode ocorrer o tratamento de dados pessoais sensíveis somente em situações específicas pontuadas no artigo 11 da LGPD (abaixo). Ou seja, é inadmissível o tratamento de dados sensíveis sem consentimento ou além dessas possibilidades previstas. Vale ressaltar, ainda, que a comunicação ou compartilhamento desses dados é proibida com o objetivo de obter vantagem econômica. “I. Quando o titular ou seu responsável legal consentir, para finalidades específicas; II. Sem fornecimento de consentimento titular, quando for indispensável para: a) Cumprimento de obrigação legal ou regulatória pelo controlador; b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) Proteção da vida ou da incolumidade f ísica do titular ou de terceiro; f) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; g) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrô-

Guia LGPD Cremespcomentado Edição 2023 17 I Introdução II III IV V VI Índice VII nicos, resguardados os direitos mencionados no Artigo 9º desta lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. § 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica. § 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do Artigo 23 desta lei. § 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benef ício dos interesses dos titulares de dados, e para permitir: I - a portabilidade de dados quando solicitada pelo titular; ou II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. § 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de

Guia LGPD Cremespcomentado Edição 2023 18 I Introdução II III IV V VI Índice VII riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.” Como se vê, os dados sensíveis – que incluem os da saúde do indivíduo – possuem regulação mais rigorosa e, por isso, sua finalidade deve ser delimitada e dada a devida ciência ao paciente sobre o motivo daquela informação estar sendo coletada. CONSENTIMENTO O conceito de consentimento é definido pelo artigo 5º da LGPD como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. É um dos requisitos para tratamento de dados, conforme descrito como base legal, e deverá ser realizado por escrito ou por outro meio que demonstre a manifestação de vontade do titular dos dados. O consentimento poderá ser revogado a qualquer momento com a manifestação expressa do titular de dados de maneira gratuita e facilitada. O consentimento é tido como principal ferramenta para o tratamento de dados pessoais. Mas, na área da Saúde, é um documento que pode ser dispensado, dependendo da base legal utilizada para fundamentar o tratamento como, por exemplo, para a tutela da saúde nos casos de urgência e emergência em que o paciente não possui naquele momento condições de consentir e a intervenção deve ser imediata.

Guia LGPD Cremespcomentado Edição 2023 19 I Introdução II III IV V VI Índice VII II - TRATAMENTO DE DADOS EM CONSULTÓRIOS MÉDICOS DIREITO DOS TITULARES A coleta de dados pessoais é o primeiro passo na relação entre o paciente e o consultório médico. A Lei Geral de Proteção de Dados trouxe mais segurança ao tratamento dos dados sensíveis dos pacientes. A lei orienta aos médicos a forma em que será armazenado, compartilhado, arquivado e transmitido os dados pessoais e sensíveis, nos estabelecimentos de Saúde. No cotidiano dos consultórios médicos, secretárias, atendentes, enfermagem e o próprio médico estão a todo tempo tratando e compartilhando dados pessoais dos pacientes, inclusive, via internet. Daí o cuidado que se deve ter com o vazamento dessas informações, uma vez que o paciente pode ser facilmente identificado e ter a sua intimidade violada. O prontuário médico — documento que retrata toda a intimidade e saúde dos pacientes, conforme Resolução CFM 1821/2007, seja ele em papel ou eletrônico — deve ser adequado à segurança necessária, evitando-se a violação do sigilo nele contido. Toda a equipe que tem acesso a ele precisa ser treinada e monitorada quanto aos procedimentos de segurança e riscos de vazamento de seu conteúdo.

Guia LGPD Cremespcomentado Edição 2023 20 I Introdução II III IV V VI Índice VII As situações do dia a dia dos estabelecimentos de saúde que envolvem o tratamento de dados pessoais são: criação e armazenamento de prontuários médicos (f ísico ou virtual); transmissão de informações entre prof issionais sobre o estado de saúde do paciente; e troca de informação entre o estabelecimento de saúde, operadoras de saúde e farmácias, entre outros. Os titulares têm direito a acesso e correção de seus dados, portabilidade, informações de compartilhamento, revogação de consentimento e eliminação de seus dados. LGPD Nos CONSULTÓRIOS A LGPD possibilita que toda pessoa natural ou jurídica de direito público ou privado realize tratamento de dados pessoais: independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou que os dados pessoais objeto do tratamento tenham sido coletados no território nacional. O consentimento do paciente deve ser uma manifestação livre, informada e inequívoca (consignada de forma escrita) pela qual ele concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Guia LGPD Cremespcomentado Edição 2023 21 I Introdução II III IV V VI Índice VII Caberá ao estabelecimento de saúde comprovar que o consentimento foi obtido em conformidade com o disposto na LGPD. Por essa razão, o consultório deverá se valer de meios eficazes para obter e armazenar o consentimento de seus pacientes, consumidores, usuários ou colaboradores para o tratamento de dados pessoais. MECANISMOS PARA OBTENÇÃO DE CONSENTIMENTO Elabore para o titular um documento com esclarecimentos objetivos acerca do tratamento de dados pessoais a ser efetuado. Esse documento não é tão diferente do Termo de Consentimento Livre e Esclarecido utilizado por muitos estabelecimentos de saúde, podendo este apenas ser adaptado para contemplar a finalidade do tratamento de dados pessoais; O consentimento deve referir-se a finalidades determinadas. Isso porque as autorizações genéricas para o tratamento de dados pessoais serão nulas, conforme a LGPD; Se o consentimento for fornecido por escrito em documento contendo outras cláusulas além dessa, a disposição que trata da anuência deve ser destacada. Obtido o consentimento, outros cuidados ainda são necessários. Deve-se, por exemplo, viabilizar ao titular dos dados pessoais que revogue, a qualquer momento e gratuitamente, o consentimento anteriormente dado. Nesse caso, os estabelecimentos de saúde devemexigir a manifestação escrita e em termos expressos do titular solicitando a revogação.

Guia LGPD Cremespcomentado Edição 2023 22 I Introdução II III IV V VI Índice VII Se o estabelecimento de saúde necessitar comunicar ou compartilhar com outros estabelecimentos ou pessoas os dados pessoais do titular que consentiu coleta e o armazenamento de certos dados, deve obter consentimento específico para essa finalidade. DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES O Estatuto da Criança e do Adolescente considera “crianças” indivíduos de 0 a 12 anos incompletos e como “adolescentes” indivíduos de 12 a 18 anos incompletos. O tratamento de dados pessoais de crianças e de adolescentes, como estabelece o Artigo 14 da LGPD, deverá ser realizado sempre com o consentimento específico de um dos pais ou pelo responsável legal. 4 Cartilha_Consultorios_OABSP_ComPriv_GT_Priv_Saude_141221-1.pdf Conforme a Cartilha para consultórios - Área da Saúde da OAB/SP4: “Os dados pessoais sensíveis mais delicados são os relacionados a adolescentes. A regra da LGPD deixou muitas questões em aberto e com alguns pontos de dúvida quando analisado o contexto legal geral. Assim, alguns pontos podem ajudar o profissional nessa decisão no caso específico: Os menores de 16 anos são absolutamente incapazes para atos da vida civil, sendo assim, a melhor conduta é providenciar o consentimento específico e destacado de um dos pais ou responsável; Havendo conflito entre os interesses de saúde do adolescente e adultos, o interesse na preservação da

Guia LGPD Cremespcomentado Edição 2023 23 I Introdução II III IV V VI Índice VII INVENTÁRIO DE DADOS PESSOAIS Sob a ótica da Lei Geral de Proteção de Dados (LGPD), o inventário de dados pessoais em consultórios é umprocesso importante para garantir a privacidade e a segurança das informações dos pacientes. As etapas seguintes ajudam a elaborar um inventário eficaz: 1. Identificação dos dados pessoais: identifique todas as informações pessoais que são coletadas, armazenadas, processadas ou compartilhadas pelo consultório. Isso pode incluir informações como nome, endereço, data de nascimento, histórico médico e informações financeiras, entre outras. 2. Fonte dos dados: anote a fonte de cada item de informação pessoal. Por exemplo: se foi fornecida por paciente, coletada durante a consulta médica ou obtida de terceiros. 3. Finalidade da coleta de dados: anote a finalidade da coleta de cada item de informação pessoal. Por exemplo: a informação pode ser coletada para fins médicos, administrativos ou cobrança. 4. Armazenamento dos dados: identifique onde cada item de informação pessoal é armazenado, se é em papel, em arquivo digital ou em outro meio. saúde do adolescente deverá prevalecer, especialmente em relação aos relativamente incapazes (entre 16 e 18 anos).”

Guia LGPD Cremespcomentado Edição 2023 24 I Introdução II III IV V VI Índice VII 5. Compartilhamento de dados: anote com quem a informação pessoal é compartilhada. Por exemplo: com outros prof issionais de saúde, empresas de cobrança ou órgãos regulatórios. 6. Prazos de retenção: anote os prazos de retenção para cada item de informação pessoal, de acordo com a legislação em vigor e as práticas internas do consultório. 7. Medidas de segurança: identifique as medidas de segurança implementadas para proteger a privacidade e a segurança das informações pessoais, incluindo medidas técnicas, administrativas e f ísicas. Uma vez elaborado o inventário, é importante mantê-lo atualizado periodicamente e revisar suas políticas e práticas de privacidade e segurança de dados para garantir o cumprimento da LGPD.

Guia LGPD Cremespcomentado Edição 2023 25 I Introdução II III IV V VI Índice VII III - COMPARTILHAMENTO DE DADOS PESSOAIS O uso compartilhado de dados é def inido pelo inciso XVI, do artigo 5º da LGPD, como “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específ ica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados”. É direito do titular obter informações de entidades públicas e privadas de como seus dados são compartilhados e para quais finalidades. A comunicação ou compartilhamento de dados sensíveis inerentes à saúde, com o objetivo de obter qualquer tipo de vantagem econômica, seja de forma direta ou indireta, como para seleção de riscos na contratação e exclusão de beneficiários, é vedada pela LGPD. Ou seja, é proibida, por exemplo, a troca de informações entre farmácias e operadoras de saúde sobre os tipos de medicamentos que um titular faz uso antes de aceitá-lo como beneficiário (Artigo 11, § 5º). A lei estabelece, no entanto, as seguintes exceções relativas a esta regra: a prestação de serviços da saúde, assistência farmacêutica e assistência à saúde. As exceções estabelecidas devem ser utilizadas sempre atreladas ao interesse do titular, como em:

Guia LGPD Cremespcomentado Edição 2023 26 I Introdução II III IV V VI Índice VII Serviços auxiliares de diagnóstico e terapia; e para: Realização de exames laboratoriais ou cumprimento de alguma prescrição de tratamento, desde que em benef ício do titular dos dados pessoais; Em atendimento às necessidades dos prestadores de serviços e gestores do SUS; Fins de portabilidade de dados, quando consentido pelo titular, em atendimento ao direito de portabilidade dos dados previsto no Artigo 18, V, da LGPD; Transações financeiras e administrativas resultantes do uso e da prestação de serviços de saúde, como pedidos de reembolso por despesas médicas ou em situações nas quais a operadora de saúde só autoriza a realização de procedimentos médicos mediante o fornecimento de laudo de exames do titular dos dados. COMPARTILHAMENTO DE DADOS PESSOAIS TRATADOS Operadoras: Em se tratando de paciente que possui contrato com operadora de saúde, não é incomum que a contratada requeira relatório detalhado ou cópia do prontuário, comprovando a necessidade do pedido de exame ou procedimento cirúrgico, sob pena de glosa. O médico poderá fornecer os dados solicitados pelas operadoras se o paciente assim autorizar. Caso o paciente não autorize esse compartilhamento de dados, nos termos da Resolução CFM nº 1.614/2001, as operadoras poderão indicar auditor para acessar, in loco, toda a documentação necessária, sendo-lhe vedada a retirada dos prontuários ou

Guia LGPD Cremespcomentado Edição 2023 27 I Introdução II III IV V VI Índice VII cópias da instituição. Se necessário, é permitido examinar o paciente, desde que devidamente autorizado pelo mesmo, quando possível, ou por seu representante legal. E, ainda, no caso de falecimento do paciente, vale a citação do artigo 77 do Código de Ética Médica, que proíbe ao médico prestar informações a seguradoras, além das contidas na Declaração de Óbito, salvo por expresso consentimento do seu responsável legal. No que se refere à contratação de planos de saúde, é importante destacar que o artigo 11, §5º, da LGPD, veda às operadoras de saúde o tratamento de dados de saúde para prática de seleção de riscos na contratação e exclusão de beneficiários. Médicos: É comumo compartilhamento de dados entremédicos, seja para obter uma segunda opinião, seja para discussão de casos. O artigo 73 do Código de ÉticaMédica diz que é vedado aomédico revelar fato que tenha conhecimento emvirtude do exercício de sua profissão. Essa proibição é extensiva, conforme preconiza o artigo 54 domesmo postulado ético, na relação entremédicos. O compartilhamento de dados é possível neste caso, desde que autorizado pelo paciente. Odono do segredomédico, bem como dos dados sensíveis, é o paciente, cabendo a este decidir sobre o pretenso compartilhamento comoutromédico, alémde seumédico assistente. O médico é o controlador dos dados pessoais de seus pacientes. Portanto, deve trocar informações sempre por meio de plataformas seguras e adequadas.

Guia LGPD Cremespcomentado Edição 2023 28 I Introdução II III IV V VI Índice VII Laboratórios: É costumeiro que, quando da realização de exames solicitados pelo médico assistente, o laboratório encaminhe não só ao paciente o exame acompanhado de seu laudo, como também ao médico assistente que o solicitou. No entanto, nesse compartilhamento entre médico assistente e laboratório deve se resguardar o devido sigilo profissional e a proteção de dados, haja vista a existência de dados sensíveis do paciente. Os laboratórios devem adequar seus fluxos para que, quando haja coleta dos dados, eles sejam tratados de maneira precisa para realização do diagnóstico e compartilhados somente com pessoas devidamente autorizadas pelo paciente. Dever legal: A LGPD prevê, dentre as bases legais para tratamento de dados pessoais e sensíveis sem a devida autorização do titular/ paciente, os casos de “cumprimento de obrigação legal ou regulatória pelo controlador” O Código de Ética Médica já prevê, em seu artigo 73, que é vedado ao médico: “Artigo 73 – Revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por motivo justo, dever legal ou consentimento, por escrito, do paciente. Parágrafo único – Permanece essa proibição: a)mesmoqueo fato sejade conhecimentopúblico ou o paciente tenha falecido; b) quando de seu depoimento como testemunha (nessa hipótese, o médico comparecerá perante a autoridade e declarará seu impedimento); c) na investigação de suspeita de crime, o médico estará impedido de revelar segredo que possa expor o paciente a processo penal.”

Guia LGPD Cremespcomentado Edição 2023 29 I Introdução II III IV V VI Índice VII Como exemplo de dever legal a ser cumprido pelo médico está a realização de notificação compulsória de doenças infecto-contagiosas (Lei nº 6.259/75) https://www.planalto.gov.br/ ccivil_03/leis/l6259.htm. Também a suspeita de crimes, abusos de crianças, mulheres e idosos, desde que não exponha o seu paciente a procedimento criminal, como, por exemplo, o apontado pela Lei nº 10.778/2003, https://presrepublica.jusbrasil.com.br/legislacao/98170/ lei-10778-03, que estabelece a notificação compulsória, no território nacional, do caso de violência contra a mulher que for atendida em serviços de saúde públicos ou privados. Como se vê, a quebra do sigilo médico ocorre apenas quando as informações dizem respeito ao interesse coletivo, em situações que coloquem em risco terceiros ou a sociedade. Familiares: Compete ao médico prestar todos os esclarecimentos clínicos e diagnósticos ao paciente. Contudo, deve-se observar com cautela a questão do compartilhamento desses dados do paciente com seus familiares, pois o dono do sigilo médico é o paciente, cabendo apenas a ele decidir sobre a sua revelação. Somente no caso de paciente que não responde pelos atos da vida civil é que a revelação dos dados obtidos no exercício da profissão pode ocorrer ao seu responsável legal, objetivando sempre a sua saúde e bem-estar. O Conselho Federal de Medicina possui entendimento de que, no caso de paciente falecido, o prontuário médico poderá ser liberado somente para parentes em até 4º grau, desde que comprovado o vínculo familiar e a ordem de vocação hereditária.

Guia LGPD Cremespcomentado Edição 2023 30 I Introdução II III IV V VI Índice VII Telemedicina: A Telemedicina está disciplinada atualmente na Resolução CFM nº 2.314/2022, a qual veio substituir a Resolução CFM nº 1.643/2002, considerando que este modelo existe para contribuir e favorecer o intercâmbio de informações entre médicos e entre médicos e pacientes, visando os melhores resultados ao paciente. Essa Resolução prevê que os dados coletados deverão ser preservados e armazenados sob a responsabilidade do médico (controlador), que deve seguir a LGPD quanto às finalidades dos dados tratados. A Telemedicina, por envolver transmissão de dados sensíveis, deverá ser realizada com cuidados técnicos e administrativos necessários para garantir a privacidade dos dados envolvidos.

Guia LGPD Cremespcomentado Edição 2023 31 I Introdução II III IV V VI Índice VII Planejamento implantação monitoramento IV - MEDIDAS E AÇÕES ETAPAS 1 – Planejamento Entendimento de quais são as primeiras informações e dados pessoais coletados que devem ser conhecidos e tratados, segundo a LGPD: Etapa Atividade 1 Nomeação do encarregado; 2 Identificação das medidas de segurança do consultório, no âmbito f ísico e eletrônico, tais como alarme, travas nas janelas, portas e armários, bem como os acessos aos dados pessoais via sistemas e plataformas digitais; 3 Diagnóstico do estágio atual nas operações de tratamento de dados (inventário): quais dados devem ser tratados, necessidades, armazenamento, acessos, base legal e compartilhamentos; 4 Análise do sistema de segurança da informação; 5 Levantamento dos contratos que envolvam compartilhamento de dados pessoais. 2 – Implantação Criação e operacionalização de mecanismos que protegem os direitos do indivíduo em relação à privacidade de seus dados pessoais, com destaque para:

Guia LGPD Cremespcomentado Edição 2023 32 I Introdução II III IV V VI Índice VII 3 – Monitoramento Acompanhamento contínuo do atendimento aos requisitos da LGPD, incluindo: Etapa Atividade 1 Elaboração das normas e políticas internas para o tratamento dos dados pessoais; 2 Instituição da política de segurança da informação; 3 Limitação do acesso aos dados pessoais tratados por meio de perfis e senhas, bem como o espaço f ísico com restrição de acesso; 4 Treinamento e conscientização dos colaboradores e parceiros para tratamento e proteção de dados pessoais; 5 Disponibilização de canal de comunicação com os titulares (e-mail, sistema...); 6 Adoção de novas medidas de segurança, inclusive diretrizes e cultura interna; 7 Elaboração ou atualização de termos de consentimento; 8 Adequação das cláusulas contratuais de contratos que preveem o compartilhamento de dados pessoais; 9 Eliminação de documentos que estejam fora do prazo de armazenamento obrigatório. Etapa Atividade 1 Revisão periódica do inventário; 2 Definição dos indicadores de segurança na proteção de dados; 3 Gestão de incidentes de vazamento, caso ocorram; 4 Análise de resultados e relatório de impacto.

Guia LGPD Cremespcomentado Edição 2023 33 I Introdução II III IV V VI Índice VII INTERAÇÕES Aproteçãodedados éuma tarefaquedeve envolver todos dentro da instituição de saúde. Para isso, as interações entre as pessoas e os setores da organização são importantes para a implantaçãoda cultura e operacionalização da proteção de dados. Jurídico – Colabora com a criação das políticas e revisão de contratos (cláusula LGPD); Recursos Humanos – Dissemina a cultura da privacidade/proteção de dados por meio de treinamento e capacitação da equipe; Promove a conscientização e o treinamento; Auditoria – Realiza inventário, mapeamento, análise do risco de vazamento, vulnerabilidades e análises periódicas do tratamento de dados pessoais; Tecnologia da Informação – Investimento em tecnologia é uma das medidas e ações recomendadas para que seja viável o melhor controle de acesso aos dados pessoais, segurança dos dados armazenados, segurança das comunicações, bemcomo dos dados pessoais sensíveis que fazemparte da áreamédica; Fornecedores – Adequação contratual estabelecendo direitos e obrigações quanto ao tratamento de dados pessoais e, principalmente, às responsabilidades dos controlados e operadores. Devem prever cláusula de proibição de desvio de finalidade sem autorização e regras específicas para acessos à base de dados.

Guia LGPD Cremespcomentado Edição 2023 34 I Introdução II III IV V VI Índice VII DOCUMENTOS SUGERIDOS PARA IMPLANTAÇÃO DA LGPD 1. Termo de Consentimento Para a atividade do médico, em seu consultório, sugere-se a elaboração de termos de consentimento para o tratamento de dados pessoais de pacientes, visitantes/familiares, funcionários e prestadores de serviço. O médico já está familiarizado com esse tipo de documento e ainda existem outros semelhantes, como os para transfusão de sangue, exames diagnósticos e termo de ciência e consentimento informado para a realização de procedimentos cirúrgicos e invasivos. Caso o atendimento seja realizado de maneira virtual, deverá seguir as normas da Telemedicina (Resolução CFM 2314/2022) e do Marco Civil da Internet (Lei 12.965/2014). A prestação de serviço de saúde com padrões digitais deverá seguir os padrões normativos e éticos usuais do atendimento presencial, como custeio da empresa e formas de remuneração possíveis ao seu tempo. Os termos de consentimento devem conter informações específicas para cada paciente, sendo essencial os dados pessoais do paciente (que o identifiquem), os do profissional médico que atende aquele paciente, as cláusulas de tratamento de dados pessoais e os direitos do titular/paciente, bem como cláusula emcaso de vazamento de dados. Importante salientar que os termos de consentimento para o tratamento de dados de crianças e adolescentes devem ser diferenciados, específicos e em destaque, pois devem ser assinados pelos responsáveis legais (ao menos um). A própria LGPD estabelece as diretrizes em seu artigo 14. A linguagemdeve ser clara e acessível, de maneira simples para o adequado entendimento.

Guia LGPD Cremespcomentado Edição 2023 35 I Introdução II III IV V VI Índice VII Ao elaborar um Termo de Consentimento, o consultório deverá: Inserir a especificação e o propósito de se coletarem esses dados; Informar se os dados serão compartilhados com terceiros (laboratórios, telemedicina, telerradiologia etc); Apontar os contatos dos responsáveis pela proteção de dados ou do Data Protection Officer (DPO), para o caso de esclarecimento de dúvidas. 2. Termo de confidencialidade/sigilo (colaboradores, prestadores, terceiros) O termo de sigilo, compromisso e confidencialidade deverá ser elaborado visando o cumprimento da LGPD também pelos funcionários, colaboradores, prestadores de serviço e terceiros envolvidos na atividade do médico. Importante que constem as cláusulas de responsabilidade, do acesso às informações sigilosas, aos dados pessoais e dados pessoais sensíveis, bem como das obrigações e penalidades aplicadas e do objeto do contrato. 3. Política de Segurança da Informação (PSI) Segundo a ANPD: “Essa política pode ser endereçada por organizações de qualquer porte e compreende uma boa prática para a gestão da segurança. Muito embora não seja obrigatória, a elaboração dessa política e sua implementação são incentivadas pela ANPD aos agentes de tratamento de pequeno porte porque evidenciam boa-fé e diligência na segurança dos

RkJQdWJsaXNoZXIy NjAzNTg=