Como sabido, dados de saúde são considerados dados pessoais sensíveis (definido no artigo 5º da Lei Geral de Proteção de Dados Pessoais — LGPD), devendo serem tratados com base no que dispõe ao artigo 11 da referida lei. As bases poderão ser definidas com a avaliação de cada caso.

Ao pensar em dados de saúde, o documento principal que nos vem à mente é o prontuário médico, tendo, inclusive, lei própria que trata sobre o tema. Dispõe o artigo 1º da Resolução do CFM nº 1.638/2002: “Definir prontuário médico como o documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo”.

Ou seja, é um documento de suma importância, que contém dados pessoais sensíveis, necessitando de cautela e prudência quando do seu acesso, compartilhamento, armazenamento e descarte.

Na vida real, ouvimos sobre diversas situações nas quais prontuários foram compartilhados sem autorização, gerando problemas tanto ao paciente como aos familiares, o que é inadmissível. É fundamental lembrar que, aqui não estamos tratando apenas do estado de saúde, mas também, da dignidade, da vida e do estado mental das pessoas, havendo a necessidade do cumprimento das regras a fim de evitar constrangimentos e discriminações.

Quando o paciente, aqui, titular de dados pessoais, pode ter acesso ao seu prontuário? Tanto o paciente, como seu representante legal podem acessar o prontuário a qualquer momento, obedecendo o que dispõe o Conselho Federal de Medicina (CFM) e a LGPD, em seu artigo 18, inciso II.

Com relação ao acesso ao prontuário, ensina o Código de Ética Médica (Resolução do CFM nº 2217/2018):

“É vedado ao médico:
Art. 88. Negar, ao paciente, acesso a seu prontuário, deixar de lhe fornecer cópia quando solicitada, bem como deixar de lhe dar explicações necessárias à sua compreensão, salvo quando ocasionarem riscos ao próprio paciente ou a terceiros.”

Quando poderá ser feito o compartilhamento de dados de saúde? O compartilhamento de dados dependerá da base legal utilizada, considerando também o Conselho Federal de Medicina (CFM), por conta do sigilo médico que deve ser observado.

Estabelece o Código de Ética Médica, como um princípio fundamental: “XI – O médico guardará sigilo a respeito das informações de que detenha conhecimento no desempenho de suas funções, com exceção dos casos previstos em lei”.

Logo, fica claro que os dados de saúde não podem ser divulgados pelo médico, de forma a identificar o paciente/titular de dados pessoais, em nenhuma circunstância. Ainda, sobre o tema, dispõe o mencionado Código:

“É vedado ao médico:
Art. 73. Revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por motivo justo, dever legal ou consentimento, por escrito, do paciente. Parágrafo único. Permanece essa proibição: a) mesmo que o fato seja de conhecimento público ou o paciente tenha falecido; b) quando de seu depoimento como testemunha. Nessa hipótese, o médico comparecerá perante a autoridade e declarará seu impedimento; c) na investigação de suspeita de crime o médico estará impedido de revelar segredo que possa expor o paciente a processo penal.”

Caso a instituição ou o médico optem pela utilização de anonimização, é imprescindível que, de fato, o processo não possa ser revertido, eis que, caso o seja, e ocorra uma violação de dados pessoais, a lei será infringida.

O sigilo médico está diretamente ligado aos direitos fundamentais do ser humano e o médico tem o dever profissional de respeitá-lo, pois caso não o faça, poderá sofrer a pena descrita no artigo 154 do Código Penal Brasileiro: “Revelar alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem: Pena – detenção, de três meses a um ano, ou multa”.

Ainda, vale dizer, que o médico também não pode fazer referência a casos clínicos identificáveis, exibir pacientes ou seus retratos em anúncios profissionais ou na divulgação de assuntos médicos, em meios de comunicação em geral, mesmo com autorização do paciente, tampouco, revelar informações confidenciais obtidas quando do exame médico de trabalhadores, inclusive por exigência das empresas, salvo se o silêncio puser em risco a saúde dos empregados ou da comunidade.

E quando o sigilo médico poderá ser quebrado? De acordo com o artigo 89 do Código de Ética Médica, “é vedado ao médico liberar cópias do prontuário sob sua guarda, salvo quando autorizado, por escrito, pelo paciente, para atender ordem judicial ou para a sua própria defesa” (grifo nosso).

Outro ponto interessante é sobre o armazenamento do prontuário, que deve ser mantido por 20 anos (conforme artigo 6º, da Lei nº 13.787/2018). Após tal prazo, pode ser eliminado ou devolvido ao paciente. Lembrando que essa eliminação deve ser segura, sem que ocorra acesso não autorizado aos dados do paciente!

Tratar dados pessoais sensíveis exige mais cautela, o que pode tornar a atividade mais delicada e cara. Independentemente do segmento da organização, é essencial adotar uma postura prudente, realizando conscientizações e investindo em segurança, com o intuito de manter um ambiente organizado e seguro.

Por fim, e longe de esgotar o assunto, é imperioso que o referido armazenamento cumpra o que define a LGPD, com a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais, bem como a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Fato é, que a privacidade e a proteção de dados pessoais são uma realidade e precisam ser respeitadas, não somente para efeito de cumprimento da legislação vigente e aplicável, mas principalmente, pelo respeito ao ser humano, sua dignidade, sua segurança e sua liberdade.