A lei brasileira reconhece e protege ativamente a confidencialidade das informações médicas dos pacientes. Dois exemplos incluem a privacidade, um direito fundamental consagrado na Constituição brasileira, e uma resolução do Conselho Federal de Medicina (CFM) que 2.217/18 médicos devem respeitar os dados confidenciais de saúde de seus pacientes (comumente chamados de “segredos médicos”).
Outras leis brasileiras recentemente promulgadas que promovem o sigilo médico incluem a Lei de Proteção de Dados Públicos (Lei 13.709/20, comumente chamada de “LGBT”) e a Lei 14.289/22.
De acordo com a LGPD, as informações médicas dos pacientes são entendidas como dados pessoais discriminatórios. Para evitar esse uso indevido, a LGPD cria regras e proteções específicas para os dados de saúde dos indivíduos.
Da mesma forma, a Lei 14.289/22 protege a confidencialidade de uma pessoa infectada pelo HIV, hepatite, hanseníase e tuberculose, quando recebe serviços de saúde, ou em instituições de ensino, locais de trabalho ou atividades legais, ou em outras circunstâncias. A lei ampliou o escopo das situações de confidencialidade obrigatória e deu competência aos tribunais para ouvir e decidir sobre supostas violações. Anteriormente, o CFM e os tribunais brasileiros discutiam tais situações, o que levava a denúncias de tratamento injusto por parte de determinados grupos, incluindo pacientes infectados pelo HIV.
Órgãos públicos ou privados, especialmente profissionais de saúde, estão proibidos de publicar informações que descrevam a(s) saúde(s) do(s) paciente(s) e identifiquem o mesmo paciente. Assim, as organizações de saúde precisam reestruturar seus processos e sistemas internos para proteger essas informações do público em geral. Essa restrição se estende a outros profissionais de saúde (e pessoal administrativo) que trabalham na mesma organização, mas não diretamente envolvidos no atendimento ao paciente.
O inciso LXXIX, artigo 5º da Constituição Federal Brasileira, acrescenta a proteção de dados ao rol dos direitos fundamentais protegidos. Como resultado, a parte lesada pode agora alegar que sua ação viola seu sigilo médico e seu direito constitucional à privacidade.
Diante do exposto, as informações médicas dos pacientes devem ser mantidas em sigilo e a lei rigorosamente cumprida. Ainda em evolução, as leis de sigilo médico no Brasil datam dos primeiros códigos de ações judiciais que lutavam contra a inclusão de prontuários médicos usados como prova na ética e nos casos médicos, em vez de serem um produto do LGBT.
Quais são as exceções à exigência de sigilo médico?
A LGPD processa casos previstos em lei por justa causa ou mediante autorização expressa do titular dos dados ou de seu(s) responsável(is) legal(is), este último mais comumente para crianças. A exceção de “causa razoável” é particularmente significativa porque dá aos médicos uma maior discrição e torna mais difícil reivindicar indenização se a violação ocorrer “em benefício” do paciente. Existem exceções à confidencialidade médica, incluindo certas doenças infecciosas, abuso suspeito, aborto criminoso e uso de drogas. A relação entre os requisitos de confidencialidade médica e as exceções a eles associadas é muito fraca e muitas vezes ambígua.
Sem dúvida, a evolução do sigilo das informações médicas e a posterior promulgação da Lei 14.289/22 beneficiarão os pacientes. Aí fica a pergunta: como as empresas e operadoras de planos de saúde serão afetadas por essa robusta segurança da informação médica?
A confidencialidade médica visa proteger as informações do paciente de serem repassadas a pessoas não relacionadas, incluindo outros profissionais de saúde da mesma organização que não participaram do tratamento do paciente. Portanto, organizações como hospitais, médicos e clínicas devem tomar todos os cuidados necessários com ferramentas e soluções para evitar o uso indevido ou acesso não autorizado ou divulgação de informações médicas. Também recomendamos treinamento periódico e conscientização para todos os funcionários e terceiros relevantes com potencial acesso aos dados do paciente, desde profissionais de saúde até equipe de apoio administrativo.
Em 2020, um tribunal de São Paulo decidiu a favor de um hospital que não tomou medidas para proteger as informações médicas de pacientes colocados em seus sistemas. A Justiça de São Paulo considerou que o hospital foi negligente ao permitir o acesso gratuito a informações médicas confidenciais por especialistas responsáveis pelo tratamento do paciente e ordenou R$ 5.000,00 para cobrir a dor e o sofrimento do paciente.
As seguradoras de saúde e as empresas que gerenciam e analisam dados de planos de saúde (comumente chamadas de empresas de gestão de saúde) enfrentam o desafio de determinar a extensão do acesso às informações médicas. Embora também vise regular eventos como a LGPD, a demanda por “assistência à saúde” é suficiente para compartilhar informações médicas com profissionais de saúde dentro de entidades seguradoras e gestoras de saúde. Se a Lei 14.289/22 for promulgada, as alegações de “saúde” não violam a Lei 14.289/22, impedindo assim a análise de pelo menos alguns pacientes. A demanda por “assistência à saúde” pode surgir do processamento de dados pessoais sensíveis requeridos em LGBT sem o consentimento do paciente, e este é um tema muito atual no Brasil.
O processamento de dados pessoais sensíveis de determinados indivíduos sem o consentimento expresso do indivíduo para tal análise e compartilhamento é geralmente proibido no Brasil. Embora a aprovação possa ajudar essas empresas, alguns indivíduos podem decidir encerrar o credenciamento por medo de conflitos e discriminação. Esses mesmos motivos levaram os parlamentares a aprovarem a Lei 14.289/22.
Apesar das proteções civis, éticas e criminais existentes, o sigilo médico continua a ser problemático com exceções legais. Por um lado, o sigilo médico exige o cumprimento rigoroso em benefício do paciente. Por outro lado, o manuseio inadequado do sigilo médico pode exigir que as empresas implementem medidas e sistemas que visem evitar o vazamento de dados.
A nova lei não fornecerá sequer uma sanidade se exigir uma ação drástica sobre o mesmo tema. As empresas são obrigadas a revisar e analisar importantes processos e processos relacionados a dados pessoais para verificar possíveis atualizações, de acordo com as últimas Leis e em especial a LGPD e a Lei 14.289/22. O não cumprimento de tais leis gera a potencial ação da Autoridade Nacional de Proteção de Dados e a responsabilidade pela proteção de dados pessoais, incluindo sanções administrativas impostas pela LGPD nos termos da Lei 14.289/22. Indenizações e sanções civis e criminais também se aplicam. Sem dúvida, existe agora um novo triângulo de proteção de dados civis, criminais e pessoais. Resta saber se tal troika funcionará realmente como funcionou.