Em vigência desde agosto de 2020, a LGPD ainda não foi totalmente compreendida por grande parte das pessoas. Nas sociedades médicas, é preciso se adequar para não correr riscos

A Lei Geral de Proteção de Dados (LGPD) foi criada em 2018 com o objetivo de promover a segurança de dados no país. Após um prazo de dois anos para as instituições se adequarem ao que determina a legislação, a lei passou a vigorar em agosto de 2020. Passados dois anos, no entanto, ainda existem muitas dúvidas e desconhecimento a respeito do que precisa ser feito para se adequar. As sociedades médicas, por exemplo, têm que seguir o que determina a legislação, porém muitas diretorias ainda tentam entender o que pode e o que não pode ser feito.

Com mais de 20 anos de experiência em projetos de Risco & Compliance, tanto no Brasil como no exterior, Sergio Woisky vem trabalhando nos últimos anos na orientação e na implementação da LGPD em empresas, em instituições de saúde e em associações médicas. “Em termos gerais no mercado, cerca de 80% das empresas e das sociedades ainda não se adequaram à LGPD. O desconhecimento ainda é muito grande. A lei é extensa, mas os conceitos contidos nela são relativamente simples”, avalia.

O primeiro grande desafio para a sociedade se adequar à LGPD, de acordo com o especialista, é a mobilização da equipe. As associações médicas têm uma estrutura dividida entre uma diretoria eleita, que detém o poder de decisão, e um corpo de funcionários de carreira, que conhece os detalhes do dia a dia, mas não decide. Segundo Woisky, o projeto ideal para implementar a LGPD na sociedade é aquele que mescla esses dois grandes grupos, gerando o engajamento de todos da equipe.

Além disso, as diretorias das sociedades são eleitas para um mandato por tempo definido e, em algumas entidades, não há a possibilidade de reeleição. “Por isso, as soluções precisam ser pensadas em longo prazo. Ou seja, a adequação deve ser da entidade como um todo e não da gestão atual”, orienta Woisky.

Para o especialista, no entanto, o grande desafio da LGPD é mesmo a mudança de cultura que ela provoca na entidade médica em relação à proteção de dados. “Várias práticas antigas nas sociedades não são mais permitidas. Há casos em que pode haver até impacto financeiro, como a perda de patrocínios, pelo não compartilhamento da lista de associados ou de inscritos, exceto se houver uma autorização de cada um deles”, alerta.

Atenção a esses pontos!

• Cadastro dos associados: por conter muitos dados pessoais, o cadastro de associados é o que corre mais riscos no que se refere à proteção de dados. Todo o processo de cadastramento e alteração de dados precisa ser repensado. É possível fazer o cadastro on-line? Os dados também podem ser alterados on-line? Como garantir que alterações indevidas não ocorram?

• Dados informados a terceiros: a sociedade não pode passar os dados de um associado a terceiros, mesmo que seja outro associado que esteja solicitando as informações. Isso só é permitido se houver uma autorização documentada do associado para que o seu dado pessoal possa ser compartilhado. Algumas sociedades têm a possibilidade de consulta on-line de alguns dados cadastrais, mas isso precisa ficar claro ao associado de que será feito. Pode ser por meio do regulamento interno ou de um documento assinado pelo associado.

• Outros compartilhamentos: a sociedade também não pode compartilhar dados em outras situações. Exemplos: no cadastro em editoras ou livrarias, compartilhando dados para conceder descontos aos associados; ou na realização de eventos, compartilhando dados dos inscritos com patrocinadores.

• Imagens de pacientes: nos eventos científicos e publicações da sociedade, até por exigência também do Código de Ética Médica, imagens que identificam os pacientes não são permitidas, porque são considerados dados pessoais. Nos eventos, inclusive, os associados devem ser informados que não devem fotografar ou gravar cursos e palestras, pois passariam a ter responsabilidade legal pelos dados compartilhados ali.

• Ouvidoria: a sociedade pode receber relatos detalhados de pacientes insatisfeitos com a atuação de profissionais associados. Essas descrições podem ser consideradas dados sensíveis e a entidade não tem base legal para trabalhar com esses dados.