A Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018), conhecida como LGPD, inaugurou no Brasil uma nova era de responsabilidade no tratamento de dados pessoais, especialmente quando se trata de informações sensíveis, como aquelas relacionadas à saúde. Embora clínicas médicas frequentemente estejam no centro das discussões sobre adequação à lei, é fundamental compreender que o dever legal de proteção de dados recai sobre todas as atividades e espaços que lidam com dados de saúde, independentemente do porte ou da especialidade envolvida.
Estão sujeitos às obrigações da LGPD não apenas os hospitais e clínicas médicas, mas também consultórios de psicologia, clínicas odontológicas, centros de estética, fisioterapia, nutrição, laboratórios de análises clínicas e de vacinação, entre outros estabelecimentos que, ainda que de forma indireta, realizam o tratamento de dados relacionados ao estado físico, mental, histórico médico, exames, laudos, diagnósticos e outras informações sensíveis dos pacientes. Essas informações, por sua natureza íntima e potencialmente discriminatória, exigem um cuidado redobrado, tanto do ponto de vista ético quanto jurídico.
A LGPD define como dados sensíveis aqueles que dizem respeito à saúde ou à vida sexual do titular, bem como os dados genéticos, biométricos, raciais, religiosos e de opinião política, entre outros. Quando uma clínica ou profissional de saúde coleta, armazena ou compartilha qualquer dado dessa natureza, passa automaticamente à condição de controlador de dados pessoais sensíveis, assumindo uma posição de responsabilidade e sujeição à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), além do risco de sofrer sanções administrativas e ações judiciais.
O controlador é o agente que toma as decisões sobre o tratamento dos dados, e, por isso, deve garantir a adoção de medidas técnicas e administrativas eficazes para proteger os dados contra acessos não autorizados, vazamentos, perda ou tratamento indevido. Isso inclui a implementação de políticas internas de privacidade, protocolos de segurança da informação, treinamento contínuo da equipe, manutenção de registros de tratamento e obtenção de consentimento livre, informado e inequívoco dos pacientes para cada finalidade de uso dos dados.
O descumprimento dessas obrigações pode resultar em penalidades severas. A LGPD prevê sanções que vão desde advertências formais até multas que podem atingir 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além da possibilidade de suspensão das atividades de tratamento de dados. Em casos mais graves, especialmente envolvendo vazamento de dados sensíveis, o controlador pode ser responsabilizado judicialmente, inclusive com indenizações por danos morais, diante da violação da privacidade e dignidade do paciente.
Importa destacar que, mais do que um conjunto de normas técnicas, a LGPD representa uma mudança de paradigma: a privacidade passou a ser tratada como um direito fundamental e o sigilo profissional, tradicionalmente resguardado pelas profissões da saúde, passou a ser também uma obrigação legal expressa, com consequências objetivas em caso de descumprimento.
Nesse cenário, o apoio jurídico especializado é indispensável. Cada estabelecimento de saúde, seja um consultório individual ou uma grande clínica multidisciplinar, precisa ser orientado por profissionais capacitados a diagnosticar os riscos, elaborar os documentos necessários (como o termo de consentimento para tratamento de dados, políticas de privacidade, contratos de confidencialidade), e acompanhar a implementação de uma cultura de conformidade.
Em suma, a LGPD impõe a todos os agentes da área da saúde um compromisso inadiável com a integridade e a proteção dos dados pessoais sensíveis. Estar em conformidade com a lei não é apenas uma questão de evitar multas ou sanções: é um sinal de respeito, seriedade e responsabilidade com aqueles que confiam seus dados, e sua saúde, aos cuidados desses profissionais.
