LGPD:
Escopo
Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), instituída pela Lei nº 13.709/2018, o Brasil deu um passo importante para a regulamentação do uso e proteção de dados pessoais, aplicando-se a todos os setores que tratam informações que identifiquem ou possibilitem a identificação de indivíduos. No âmbito da saúde pública, a conformidade com a LGPD se torna especialmente relevante, uma vez que os dados tratados são frequentemente sensíveis e requerem proteção reforçada.
O Cadastro Nacional de Estabelecimentos de Saúde (CNES) é uma ferramenta essencial do sistema de saúde brasileiro, destinada a registrar informações sobre a rede de serviços de saúde em nível nacional. O CNES fornece dados fundamentais para a gestão, o planejamento e a regulação dos serviços de saúde, possibilitando o monitoramento de estruturas, profissionais e atendimentos em estabelecimentos públicos e privados. Dada a natureza e a finalidade do CNES, é imprescindível que a gestão de dados neste contexto esteja em plena conformidade com os princípios e exigências da LGPD.
Este documento visa estabelecer diretrizes e práticas para a segurança da informação no CNES, assegurando a proteção dos dados pessoais e sensíveis ali contidos. A conformidade com a LGPD não só cumpre a legislação brasileira, como fortalece a confiança no sistema de saúde, garantindo que o tratamento dos dados dos profissionais, estabelecimentos e gestores ocorra de forma ética, transparente e segura. Dessa forma, o CNES não apenas contribui para a eficiência do sistema de saúde, mas também protege os direitos dos titulares de dados, em consonância com os princípios de proteção e segurança preconizados pela LGPD.
1. Proteção de Dados
O Cadastro Nacional de Estabelecimentos de Saúde é o sistema de informação oficial de cadastramento de informações de todos os estabelecimentos de saúde no país, no tocante à realidade da capacidade instalada e mão-de-obra assistencial, independentemente de sua natureza jurídica (públicos ou privados) ou de integrarem o SUS.
Como base cadastral, o CNES constitui-se na base para operacionalização de mais de 90 (noventa) sistemas de base nacional, tais como: Sistema de Informação Ambulatorial (SIA), Sistema de Informação Hospitalar (SIH), e-SUS Atenção Primária (e-SUS APS), entre outros. É uma ferramenta auxiliadora, que proporciona o conhecimento da realidade da rede assistencial existente e suas potencialidades, de forma a auxiliar no planejamento em saúde das três esferas de Governo, para uma gestão eficaz e eficiente.
Dentre as suas finalidades, compete destacar:
- Cadastrar e atualizar as informações sobre estabelecimentos de saúde e suas dimensões, como recursos físicos, trabalhadores e serviços;
- Disponibilizar informações dos estabelecimentos de saúde para outros sistemas de informação;
- Ofertar para a sociedade informações sobre a disponibilidade de serviços nos territórios, formas de acesso e funcionamento;
- Fornecer informações que apoiem a tomada de decisão, o planejamento, a programação e o conhecimento pelos gestores, pesquisadores, trabalhadores e sociedade em geral acerca da organização, existência e disponibilidade de serviços, força de trabalho e capacidade instalada dos estabelecimentos de saúde e territórios.
Como fonte unívoca dos dados, cumpre destacar que a coleta e utilização de informações exige conformidade com o sistema de proteção de dados norteado pela Constituição Federal e balizado pela Lei Geral de Proteção de Dados (LGPD). O que significa, por sua vez, desde a observância aos princípios dispostos no art. 6º da LGPD, como o da finalidade, adequação e necessidade, até a implementação de medidas técnicas e administrativas aptas a garantir a segurança e o sigilo dos dados, conforme preconiza o art. 46 do mesmo diploma.
1.1. Gestão do Tratamento de Dados
A gestão do tratamento de dados pessoais em conformidade com a LGPD exige uma visão abrangente sobre o ciclo de vida dos dados, ou seja, exige que os dados sejam considerados desde o momento de sua coleta até a sua possível exclusão. Além disso, um diagnóstico apurado quanto às hipóteses legais de tratamento, a natureza, escopo, contexto e finalidade dos dados e ainda uma compreensão dos riscos e medidas necessárias à sua mitigação são primordiais para um tratamento de dados em conformidade com a LGPD.
Por isso, destaca-se que estados e municípios devem atentar-se para a questão da gestão dos dados, os quais são tratados pelos profissionais de saúde, no âmbito dos sistemas de informação que compõem o arcabouço técnico do Cadastro Nacional dos Estabelecimentos de Saúde. Existem diversos Guias Orientativos publicados pela Autoridade Nacional de Proteção de Dados (ANPD) e pela Secretaria de Governo Digital que, identificando as particularidades que decorrem do tratamento de dados pessoais pelo Poder Público, compilaram instruções acerca da forma mais adequada de tratamento.
A seguir, destacamos seis itens que devem ser observados pelo Poder Público ao realizar o tratamento de dados:
1.2. Acesso e Qualidade dos Dados
A Lei Geral de Proteção de Dados estabelece uma estrutura legal que atribui aos titulares de dados pessoais direitos a serem exercidos perante o controlador de dados.
Em um contexto de grande volume de dados pessoais sensíveis como é o dos estabelecimentos de saúde que utilizam sistemas de informação públicos ou privados, nos mais diversificados contextos e níveis de especialidade, destacamos os direitos elencados no art. 18, II e III, ou seja, o direito de obter do controlador, a qualquer momento mediante requisição:
II - acesso aos dados; e
III - correção de dados incompletos, inexatos ou desatualizados.
O direito ao acesso aos dados relaciona-se com o princípio do livre acesso, art. 6.º, IV, que estabelece a facilidade e gratuidade na consulta sobre a forma e duração do tratamento, bem como sobre a integralidade dos dados pessoais.
A correção dos dados, por sua vez, está diretamente relacionada com o princípio da qualidade dos dados, conforme o art. 6.º, V, e significa a garantia de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade para o cumprimento da finalidade de seu tratamento.
No contexto da saúde pública, a questão da qualidade dos dados é de suma importância, tendo em vista que é a partir deles - e da análise clínica - que será feito o tratamento do paciente.
1.3. Compartilhamento de Dados Pessoais
Os gestores de saúde devem estar cientes das responsabilidades envolvendo o compartilhamento dos dados. Há dois casos que devem ser levados em consideração:
- Compartilhamento de dados dentro da Esfera Pública: nesse caso, o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitando sempre os princípios da LGPD;
- Compartilhamento de dados com entidades privadas: nesse caso, apenas é permitido quando se tratar de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, nos casos em que os dados forem acessíveis publicamente, quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Além disso, há um processo a ser observado quando houver o compartilhamento de dados, conforme a ANPD:
1.3.1. Formalização e Registro
O uso compartilhado de dados pessoais pelo Poder Público deve ser formalizado. Para tanto, recomenda-se a instauração de processo administrativo, do qual constem os documentos e as informações pertinentes, incluindo análise técnica e jurídica, conforme o caso, que exponham a motivação para a realização do compartilhamento e a sua aderência à legislação em vigor.
Além disso, recomenda-se que o compartilhamento seja estabelecido em ato formal, a exemplo de contratos, convênios ou instrumentos congêneres firmados entre as partes.
1.3.2. Objeto e Finalidade
Os dados pessoais, objeto de compartilhamento, devem ser indicados de forma objetiva e detalhada, limitando-se ao que for estritamente necessário para as finalidades do tratamento, em conformidade com o princípio da necessidade.
A finalidade, por sua vez, deve ser específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais.
Deve ficar claro, em suma, quais dados pessoais serão compartilhados, bem como por que e para que serão compartilhados.
Ademais, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.
1.3.3. Base Legal
É indispensável que haja definição da base legal, conforme art. 7º ou, no caso de dados sensíveis, art. 11 da LGPD, nos termos das orientações apresentadas pela ANPD. Recomenda-se, nesse sentido, que o ato que autoriza ou formaliza o compartilhamento contenha expressa indicação da base legal utilizada. Por exemplo: execução de políticas públicas em saúde (citando leis, atos normativos, etc. que especificam quais políticas são essas).
1.3.4. Duração do Tratamento
O instrumento que autoriza ou formaliza o compartilhamento deve estabelecer, de forma expressa, o período de duração do uso compartilhado dos dados, que deve ser o menor possível, de acordo com a finalidade do tratamento.
2. Conclusão
A conformidade com a Lei Geral de Proteção de Dados (LGPD) no contexto do Cadastro Nacional de Estabelecimentos de Saúde (CNES) é fundamental para garantir que o tratamento de dados pessoais e sensíveis esteja alinhado aos princípios da privacidade e da proteção dos direitos dos cidadãos. A aplicação adequada da LGPD nos processos de coleta, uso, armazenamento e compartilhamento de dados contribui não apenas para a proteção das informações, mas também para a construção de um sistema de saúde mais eficiente e transparente. Dessa forma, a segurança da informação deve ser um pilar central nas práticas de gestão e no funcionamento do CNES, assegurando a conformidade com a legislação e promovendo a confiança de toda a sociedade no sistema de saúde.