Carregando...
LGPD Proteção de Dados Telemedicina

Telemedicina e LGPD: o que muda com a Resolução CFM nº 2.314/2022?

A interface da LGPD com a área da saúde é um tema que gera várias polêmicas no dia-a-dia. Com a recente publicação da Resolução nº 2.314/2022 do Conselho Federal de Medicina - CFM, a telemedicina, assunto que vem dando o que falar há anos, ganhou contornos mais claros - e o CFM reforçou expressamente a importância da adequação à LGPD. Neste artigo, buscamos apresentar ao que empresas que prestam serviços de telemedicina devem estar atentas em matéria de proteção de dados.
24.05.2022 por DCOM
Foto colaborador

Já não é novidade que a área da saúde é fortemente impactada pela atual sistemática de proteção de dados pessoais. Seja pelo grande volume de dados pessoais sensíveis, seja pela interseção da Lei Geral de Proteção de Dados Pessoais (“LGPD”) com as normas setoriais aplicáveis (leis específicas do setor e resoluções dos Conselhos Federais e Regionais, por exemplo), fato é que a área da saúde é um foco de fiscalização que, inclusive, já começou.

Se no Brasil as sanções pela Autoridade Nacional de Proteção de Dados (“ANPD”) ainda não começaram a ser aplicadas, o benchmarking internacional nos permite antever o que, muito provavelmente, vai acontecer por aqui:

  • em Singapura, após incidente envolvendo a empresa SingHealth (Singapore Health Services), foi aplicada multa de U$250 mil (aproximadamente R$685 mil, na data da decisão) em virtude do compliance insuficiente da empresa em matéria de proteção de dados[1];
  • na Suécia, 7 das 8 operadoras de saúde suplementar do país foram multadas por não terem feito análises de risco de forma adequada[2];
  • em Portugal, a primeira multa tendo como base o Regulamento Geral de Proteção de dados, o famoso GDPR, no valor de €400 mil, foi aplicada ao Centro Hospitalar Barreiro Montiijo[3].

Os exemplos são inúmeros[4] e, por aqui, tudo indica que é uma questão de tempo até o mesmo cenário se materializar.

Diante dessa perspectiva, é fundamental entender melhor as normas setoriais que se aplicam à área da saúde. Afinal, a LGPD não é a única lei que deve ser observada.

Neste artigo, focaremos na telemedicina, um assunto que vem dando o que falar há anos e, enfim, foi regulamentado de forma mais assertiva pelo Conselho Feral de Medicina (“CFM”).

Regulamentação da Telemedicina

Com a crescente digitalização do setor da saúde, um dos assuntos com grandes incertezas era a telemedicina, até pouco tempo (mal) regulamentada pela Resolução CFM nº 1.643/2002. Seja pelo fato de se tratar de norma já com duas décadas e que, portanto, ignorava os avanços tecnológicos atuais, seja pelo crescimento dos atendimentos virtuais em razão da pandemia da Covid-19, fato é que faltava uma regulamentação que trouxesse clareza quanto à licitude e aos contornos jurídicos da telemedicina.

Foi para endereçar essas carências que, em 5 e maio de 2022, foi publicada a Resolução CFM nº 2.314, de 20 de abril de 2022, que regulamentou a telemedicina, como “forma de serviços médicos mediados por tecnologias de comunicação”.

A nova Resolução abarcou pontos como a obrigatoriedade de (i) registro das empresas que prestam serviços de telemedicina perante o Conselho Regional de Medicina do Estado em que sediadas, (ii) indicação de um médico como responsável técnico dessas empresas e (iii) condução das modalidades de telemedicina por médicos (havia dúvidas, por exemplo, se a teletriagem poderia ser conduzida por enfermeiros).

E no que toca à proteção dos dados dos pacientes, o que deve ser levando em conta?

A nova Resolução estabeleceu, expressamente, que os dados pessoais e clínicos do teleatendimento médico devem seguir as definições da LGPD e outros dispositivos legais, quanto às finalidades primárias dos dados. Ou seja, ela reforçou que a LGPD é importante e deve ser cumprida, e alguns pontos  que se referem diretamente ao tratamento de dados merecem atenção especial:

 

Registro dos Atendimentos e Prontuário

  • os atendimentos por telemedicina devem ser registrados, seja por meio de prontuário físico, seja eletrônico, e os registros devem observar os requisitos da LGPD ao conterem dados pessoais e dados pessoais sensíveis;
  • no caso de registro eletrônico por meio de Sistemas de Registro Eletrônico de Saúde (“SRES”), vale lembrar que, conforme a Sociedade Brasileira de Informática em Saúde (“SBIS”), o sistema escolhido deve ser devidamente certificado[5];
  • na mesma linha do que estabelece a Lei nº 13.787/2018 (sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de pacientes), o software utilizado deve atender a diversos requisitos de segurança da informação. Em especial, para garantia da autenticidade das assinaturas dos médicos a ele vinculados, deve-se ter o chamado “Nível de Garantia de Segurança 2 – NGS2”, no padrão da infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) ou outro padrão legalmente aceito[6];
  • a mesma Lei nº 13.787/2018 deve ser relembrada ao deixar claro que, seja para prontuários em papel, seja os digitalizados, o prazo mínimo de guarda é de 20 (vinte) anos a partir do último registro e que, alternativamente à eliminação, o prontuário poderá ser devolvido ao paciente;
  • a eliminação do prontuário antes desse prazo viola a norma e não deve acontecer, mesmo que a pedido do paciente. Afinal, as informações existentes no prontuário pertencem ao paciente, mas a guarda do prontuário é de responsabilidade do médico ou da instituição de saúde – a propriedade física do prontuário, em qualquer meio, é da instituição onde o paciente é assistido[7];
  • por fim, vale observar que, a princípio, nada impede a guarda de backups em nuvem, conforme já se manifestou a Coordenadoria Jurídica do CFM[8], desde que, naturalmente, sejam observados os requisitos mínimos de segurança aplicáveis.

 

Avaliação e Contratação de Fornecedores

  • o hospital, clínica ou médico à frente dos serviços de telemedicina deve ter especial atenção na contratação de fornecedores de sistemas. Para além dos requisitos de segurança mencionados, deve ser feita avaliação completa do fornecedor quanto à sua adequação à LGPD. Isso porque pode haver a chamada responsabilidade solidária em caso de infração. Em outras palavras, se o fornecedor infringir direitos de um titular de dados, a responsabilidade pode recair também sobre o hospital, clínica ou médico contratante do sistema, mesmo que não sejam diretamente responsáveis pelo problema;
  •  além de uma avaliação formal da plataforma a ser contratada, é importante que haja contrato por escrito com o fornecedor, de forma a regular o que acontece em caso de infração à LGPD (pode ser previsto, por exemplo, que caso o hospital que contratou a plataforma seja responsabilizado, ele pode ser indenizado de volta pela empresa de software – direito de regresso);
  • nesse mesmo sentido, a Resolução é expressa ao dizer que, na contratação de serviços terceirizados de arquivamento, a responsabilidade pela guarda de dados de pacientes e do atendimento deve ser contratualmente compartilhada entre o médico e a contratada.

 

Direitos dos Pacientes

  • nos termos da LGPD, a empresa de telemedicina deve possuir programa de conformidade em proteção de dados atualizado, pois precisa ser capaz de assegurar os direitos dos titulares de dados (os pacientes). Para além dos direitos previstos na LGPD, a Resolução diz que é direito do paciente solicitar e receber cópia em mídia digital e/ou impressa dos dados de seu registro;
  • o paciente ou seu representante legal precisa autorizar o atendimento por telemedicina e a transmissão das suas imagens e dados por meio de consentimento, livre e esclarecido, chamado na resolução de termo de concordância e autorização, enviado por meios eletrônicos ou de gravação de leitura do texto com a concordância, devendo fazer parte do SRES do paciente;
  • em todo atendimento por telemedicina deve ser assegurado consentimento explícito, no qual o paciente ou seu representante legal deve estar consciente de que suas informações pessoais podem ser compartilhadas e sobre o seu direito de negar permissão para isso, salvo em emergência médica (consentimento esse que é específico para a telemedicina e não se confunde com o consentimento da LGPD).

Em linhas gerais, a nova Resolução de telemedicina reforçou a importância de cuidado com os dados de pacientes, na linha do que outras normas setoriais já faziam, jogando um pouco mais de luz sobre o tema.

Além disso, como visto, empresas que se proponham a oferecer serviços de telemedicina devem buscar uma adequação efetiva à LGPD, de forma a proteger os dados de seus pacientes e evitar as sanções que podem ser aplicadas em caso de infração. É por isso que a existência de robusto programa de governança, bem como a nomeação de encarregado pela proteção de dados (o famoso DPO – que pode ser interno ou um escritório terceirizado) é tão importante.

Esse é só o início da regulamentação sobre o tema no Brasil!

[1] https://healthitsecurity.com/news/massive-singhealth-data-breach-caused-by-lack-of-basic-security

[2] https://www.linkedin.com/pulse/multi-million-gdpr-fines-sweden-healthcare-providers-mihajlo-prerad/https://www.di.se/digital/mangmiljonboter-for-gdpr-brister-hos-vardgivare-capio-och-aleris-drabbas-hardast.

[3] https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/

[4] Para acompanhamento das multas aplicadas no âmbito europeu, vide https://www.enforcementtracker.com/

[5] http://sbis.org.br/certificacao-sbis/?id=112

[6] Nem toda digitalização observa esses requisitos. Vide, por exemplo, manifestação do CRM de Minas Gerais a esse respeito no Parecer CRM-MG nº 140/2018, referente ao Processo-Consulta nº 161/2018: https://sistemas.cfm.org.br/normas/visualizar/pareceres/MG/2018/140

[7] Veja, nesse sentido, o Parecer CRM/MG nº 134/2017, referente ao Processo-Consulta nº 6.091/2017: https://sistemas.cfm.org.br/normas/visualizar/pareceres/MG/2017/134.

[8] Vide o Despacho COJUR nº 368/2019: https://sistemas.cfm.org.br/normas/visualizar/despachos/BR/2019/368