Com a entrada em vigor da LGPD, muitos gestores têm se perguntado se o seu Laboratório de Análises Clínicas deve pedir o consentimento do paciente toda vez que for realizar um exame.
Todavia, responder esse questionamento é demasiado complexo no cenário atual. E eu te explico o porquê.
Muitos estudos ainda se debruçam sobre a base legal do consentimento no contexto da LGPD. Além disso, há um mito, o chamado mito do consentimento, em que a referida base legal é a melhor opção para se eximir de possível responsabilidade.
Mas, tudo isso é uma grande mentira, e, nesse post, eu vou não só responder se o consentimento é ou não é a melhor base legal para o seu Laboratório, como também irei apresentar diversas possibilidades que a LGPD trouxe em paralela hierarquia com a base legal do consentimento.
Além disso, iremos avaliar se o consentimento vale ou não a pena no seu Laboratório de Análises Clínicas.
O que é a base legal do consentimento?
Em primeiro lugar, deve ficar claro que o consentimento vai muito além do que o senso comum prevê. Ou seja, enquanto base legal, o consentimento, na LGPD, possui diversas características e diversas modalidades, as quais veremos a seguir
De modo geral, para a lei, consentimento é “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade determinada.”
Assim, para que um consentimento seja válido, ele deve possuir os seguintes requisitos:
Livre
A LGPD acabou com àquela história do tudo ou nada, sabe? Aquela em que ou você aceita os termos, ou você tá fora? Pois é, o consentimento não pode ser condicionado a nada.
Específico
O controlador de dados – quem vai tratar os dados – sempre deve ter em mente qual a finalidade do tratamento. Ou seja, sob a base legal do consentimento, os dados devem ser tratados tendo em vista uma finalidade específica.
Nesse sentido, se essa finalidade mudar ou se você desejar tratar os mesmos dados com outra finalidade, será necessário pedir um novo consentimento, sob essas novas condições, ao titular de dados.
Por exemplo: se você coletou os dados bancários de um paciente para o pagamento de determinados exames, você não poderá usar esses mesmos dados para o pagamento de novos exames, no futuro, sem um novo consentimento do paciente.
Inequívoco
O consentimento não pode deixar dúvidas, ele não pode ser genérico ou duvidoso.
A título de exemplo, imagine que seu paciente vá realizar um exame e você diz para ele: “Alguns exames serão realizados pelo Laboratório de Apoio. Tudo bem?” Não. Está totalmente errado.
Você não deve deixar dúvidas sobre qual exame irá para o Laboratório de Apoio. Deve haver certeza.
Portanto, o correto é dizer: “Os exames x, y e z serão realizados pelo Laboratório W, nosso Laboratório de Apoio. Para isso, seus dados a, b, c e d, bem como uma amostra de seu material biológico coletado por nós, serão compartilhados com esse Laboratório. Tudo bem?”
Expresso
Caso você decida por usar a base legal do consentimento, é necessário que essa condição esteja visível, clara. Por exemplo, se você for solicitar o consentimento em uma cláusula contratual, essa cláusula deve estar destacada do restante e, se possível, trazer consigo um espaço de “aceite”.
Além disso, segundo a LGPD, o consentimento sempre deve ser fornecido por escrito ou por outro meio que demonstre a manifestação inequívoca da vontade do titular de dados.
Bases Legais
Conforme você verá a seguir, a resposta para a pergunta “O seu Laboratórios de Análises Clínicas deve pedir o consentimento do paciente toda vez que ele for realizar um exame?” encontra-se nas bases legais.
Logo, é importante esclarecer o que são bases legais.
As bases legais são todas as hipóteses que justificam, autorizam ou permitem o tratamento de dados. No que diz respeito ao tratamento de dados comuns, não há hierarquia entre elas. Logo, você pode escolher por uma ou mais de uma delas.
Por outro lado, no que diz respeito aos dados pessoais sensíveis, o consentimento, de fato, exerce posição superior, motivo pelo qual ele deve ser coletado.
Se você não sabe o que são dados pessoais e dados pessoais sensíveis, clique aqui e leia nosso conteúdo sobre o assunto.
Do mesmo modo, no que diz respeito ao tratamento de dados de crianças e adolescentes, e aqui leia-se crianças de 0 a 12 anos e adolescentes de 13 a 18 anos, o consentimento também ocupa local de destaque, devendo ser concedido por, pelo menos, um dos pais ou pelo responsável legal, sempre respeitando o melhor interesse da criança e do adolescente.
A seguir, confira o quadro ilustrativo que estabelece quais as bases legais existentes para cada tipo de dado. Caso você tenha interesse em entender mais sobre cada uma delas, clique aqui e confira.
| Dados pessoais | Dados pessoais sensíveis |
| Consentimento | Consentimento (sobrepõe-se às outras) |
| Obrigação Legal ou Regulatória | Obrigação Legal ou Regulatória |
| Políticas Públicas | Políticas Públicas |
| Pesquisa | Pesquisa |
| Exercício regular de direitos em contratos e processos judiciais, administrativos e arbitrais | Exercício regular de direitos em contratos e processos judiciais, administrativos e arbitrais |
| Proteção da vida | Proteção da vida |
| Tutela da Saúde | Tutela da Saúde |
| Prevenção à fraude | Prevenção à fraude |
| Execução de Contrato | |
| Legítimo Interesse | |
| Proteção ao crédito |
De outro lado, as bases legais para o tratamento de dados de Crianças e Adolescentes duas, na seguinte ordem:
- Melhor interesse da criança e do adolescente (sobrepõe-se às outras);
- Consentimento específico dado por, pelo menos, um dos pais ou pelo responsável legal;
O consentimento dos pais ou responsável legal não será necessário quando os dados forem usados, justamente, para localizar os pais ou responsável ou para manter a proteção do menor. Nesse caso, os dados poderão ser usados uma única vez, estritamente para essas finalidades, e não devem ser armazenados.
Os Laboratórios de Análises Clínicas devem pedir o consentimento do paciente toda vez que ele for realizar um exame?
Agora que você conhece as bases legais e entende que o consentimento é uma delas. Vamos ao que interessa.
Em 12 de março de 2021, a Confederação Nacional de Saúde publicou um Código de Boas Práticas, referente à Proteção de Dados para Prestadores Privados em Saúde. Conforme diz o documento, na página 24, “Por meio deste documento busca-se a confluência das especificidades normativas já existentes na prestação de serviços da saúde e a efetividade da proteção de dados, nos termos previstos no art. 50 da LGPD.”
Ou seja, a Lei Geral de Proteção de Dados não vem para exterminar a saúde e romper todas as normativas existentes. Na verdade, a Confederação Nacional da Saúde enxergou a conexão que a lei tem com outras normativas que já faziam parte do cenário da saúde.
Assim, o que buscamos é uma adaptação e efetividade da Proteção dos Dados com a LGPD que é uma lei benéfica ao mercado, especialmente, aos serviços.
Além disso, o Código de Boas Práticas efetiva o art. 50 da LGPD que traz, de forma inovadora, a possibilidade de realização de códigos de conduta pelo setor privado.
Mas, afinal, por que falar sobre isso agora? Porque o Código traz a aplicabilidade das bases legais, e preenche, inclusive, lacunas importantíssimas, conforme veremos a seguir.
Nesse sentido, analisaremos três momentos em que o seu Laboratório trata dados e sugeriremos as bases legais que devem ser usadas, conforme o Código de Boas Práticas da CNSaúde.
Cadastro
Durante o atendimento no Laboratório duas coisas devem ficar claras. Primeiro, trata-se de um contrato, pois o Laboratório é um fornecedor de serviços. Logo, estamos em uma relação de fornecedor e consumidor. Segundo, os atendentes não são funcionários da saúde.
Pois bem, quando coletamos dados como nome, data de nascimento, nº de RG, CPF, e endereço, seu Laboratório está coletando dados pessoais para a execução de um contrato de prestação de serviços. Afinal, você precisa realizar um cadastro. Certo?
Na situação em tela, sugerimos que você utilize a base legal de execução de contrato. Ora, se o paciente não fornecer os dados, como você irá prestar o serviço à ele?
Solicitação de autorização do Plano de Saúde
O seu Laboratório de Análises Clínicas só pode atender algum Plano de Saúde mediante a formalização de um contrato escrito que estabeleça os deveres e obrigações entre as partes.
Esse contrato, conforme a Lei 13.003/2014, deve estabelecer com clareza todas as condições para a execução das responsabilidades do seu Laboratório e da Operadora, incluindo a forma como se dará a solicitação de autorização dos exames.
Desta maneira, o contrato deve estabelecer quais dados do paciente deverão ser compartilhados com a Operadora e de que maneira isso acontecerá.
Esse compartilhamento é necessário para que a Operadora cumpra seu dever legal de cobertura dos exames, nos termos da Lei 9.656/98, bem como o contrato estabelecido com o beneficiário.
Nesse sentido, o tratamento de dados do seu Laboratório em casos de solicitação de autorização e faturamento de exames, é justificado pela base legal de Execução de Contratos.
Coleta e Área técnica
Uma das bases legais que será muito utilizada nos Laboratórios de Análises Clínicas é a Tutela da Saúde, que diz o seguinte:
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Lei Geral de Proteção de Dados
Isto é, a tutela da saúde será utilizada sempre que o tratamento for realizado por profissionais de saúde.
Mas quem são os profissionais da Saúde?
Profissionais da Saúde
Como é sabido, a LGPD ainda está em processo de adaptação nos setores. Portanto, ainda existem algumas lacunas, que em sua maioria têm sido preenchidas pela General Data Protection Regulation (GDPR), ou Regulamento Geral sobre Proteção de Dados da União Europeia, vez que a nossa lei foi inspirada na mesma.
Nesse sentido, o Código de Boas Práticas da CNSaúde, adotou como profissionais da Saúde o mesmo que a Legislação Europeia, qual seja: profissionais sujeitos à obrigação de sigilo profissional. Partindo desse ponto, o Código trouxe então que tutela da saúde é:
“De acordo com o RGPD, trata-se da base legal aplicável se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social, se os dados forem tratados ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional.“
[Código de Boas Práticas] Proteção de Dados para Prestadores Privados em Saúde, Edição 2021, pela CNSaúde – pg.45.
Em suma, não será necessário pedir o consentimento do paciente para analisar a amostra de seu material biológico, pois trata-se de uma relação de consumo, em que o serviço é de saúde, prestado por um profissional da área.
Não só essa, como também diversas outras situações no seu Laboratório serão pautadas por essa base legal, desde que o tratamento dos dados seja realizado por um profissional de saúde.
Consentimento
Tudo o que vimos anteriormente, trata-se de evitar o uso do consentimento. Pois, ao contrário do que muitos pensam, o consentimento é muito oneroso, no contexto de empresas da área da saúde.
Afinal, imagine ter que solicitar o consentimento dos paciente para: coletar os dados para fazer uma ficha de cadastro; coletar amostra de material biológico para a realização da análise; analisar, caso haja erro, solicitar o consentimento para analisar novamente, e por aí vai…
Trata-se de uma exigência impossível de ser cumprida pelos Laboratórios de Análises Clínicas, simplesmente porque não é possível solicitar um consentimento informado, exato e específico para cada finalidade.
“Senhor João, o senhor permite que seus dados saiam do posto de coleta de Betim, pela viação X, até a sede do Laboratório em Belo Horizonte, onde serão analisados X, Y, Z, e enviados ao laboratório de apoio, via motoboy, para a análise M, N e O?”
Além disso, o consentimento pode ser revogado a qualquer momento. Então, se Senhor João decide que não quer que o exame vá mais para o Laboratório de Apoio, ele deve revogar no seu Laboratório, que demorará X horas e que se efetivará quando o material já estiver analisado.
Todavia, é bom que fique claro que em caso de tratamento de dados de Crianças e Adolescentes, não existe outra opção a não ser solicitar o consentimento para, pelo menos, um dos pais ou para o responsável legal.
Diante do exposto, nota-se que, na área da saúde, falar em consentimento toda vez que o paciente for realizar o exame, e em todos os seus processos, seria loucura. No entanto, isso não exime o seu Laboratório de Análises Clínicas de proteger os dados que trata, independentemente da base legal que justifica o tratamento.
Por último alertamos que as sugestões de uso das bases legais para tratamentos aqui analisados são apenas isso: sugestões. Para atribuir uma base legal para cada tratamento de dados realizado pelo seu Laboratório, é necessário uma análise mais profunda e técnica do ciclo de vida dos dados, na sua empresa.
Por isso alertamos sempre que a adequação do seu Laboratório à LGPD deve ser conduzida por profissionais especializados na lei e no segmento laboratorial.
