Adequação à LGPD em laboratórios clínicos: por que o termo de consentimento por si só não basta?

Por Izabela Rücker Curi, advogada e sócia-fundadora do escritório Rücker Curi 

Sempre que visito à trabalho um laboratório de análises clínicas, invariavelmente, me fazem a mesma pergunta: “por que preciso investir na adequação à LGPD se, com a assinatura dos meus pacientes nos termos de consentimento, já fico resguardado?”. A resposta é simples: esses termos não são suficientes para proteger legalmente o seu negócio. 

O consentimento, segundo a nova Lei Geral de Proteção de Dados (LGPD), é definido como manifestação livre, “informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Mas não se trata de uma obrigação legal e nem é conveniente que o laboratório exija termos de consentimento de todos os pacientes em todas as situações. 

O termo de consentimento é uma das bases legais previstas na LGPD que permitem o tratamento de dados pelo laboratório, mas existem muitas outras. E aqui é importante lembrar que, por base legal, entende-se cada norma ou lei prevista pela Agência Nacional de Vigilância Sanitária (Anvisa) ou pela Agência Nacional de Saúde Suplementar (ANS) que possa amparar legalmente a coleta e o armazenamento de dados pelos laboratórios. 

São exemplos de bases legais para tratamentos de dados: Cumprimento de obrigação Legal ou regulatória; Cumprimento de procedimentos preliminares relacionados a Contrato de que o titular seja parte; Proteção da Vida ou da incolumidade física do titular ou terceiro; Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais da saúde, serviços de saúde ou autoridade sanitária; entre outras. O termo de consentimento se faz necessário apenas se não houver outra base legal que permita a coleta ou tratamento do dado. 

O que acontece na prática

A fim de evitar mudar seus procedimentos internos para entrar em conformidade com a LGPD, alguns laboratórios passaram a obter termos de consentimento extensos, com uma longa lista de itens que o paciente precisa “aceitar”. Neste caso, os inconvenientes são vários. Desde dificuldades de entendimento do paciente sobre o que autorizou – e aí, a interpretação do judiciário e da Autoridade Nacional de Proteção de Dados (ANPD) será sempre mais favorável ao paciente -, até a generalidade do termo.

Explico: o termo de consentimento deve ser expresso e inequívoco, não pode ser genérico. Ou seja, o laboratório não poderá usar o dado coletado para uma finalidade que acredite fazer parte do consentimento, mas que o paciente, em sua leitura, não autorizou. Essas autorizações genéricas são ditas pela lei como nulas. É como se nunca tivessem sido autorizadas.

Caso o laboratório tenha obtido um consentimento e, posteriormente, queira alterar determinado dado ou forma de tratamento, vai precisar obter autorização prévia do titular. Mas a maior dificuldade mesmo está na complexidade da gestão do consentimento: o laboratório deve controlar de forma precisa e sem falhas o recebimento de revogações sobre os dados de seus pacientes. 

Essas revogações podem ser enviadas por qualquer canal, seja a caixinha de sugestões, o SAC, ou até pessoalmente à(ao) recepcionista. A partir daí, o laboratório deve ser rígido no controle sobre a data de cada revogação, deixar de tratar os dados imediatamente e comprovar essa desassociação, mantendo isso arquivado.

Falhas na identificação de um pedido de revogação podem ocorrer, afinal, esse é um processo realizado por seres humanos, falíveis, ainda que muito bem treinados. Felizmente, já existem no mercado programas específicos para a gestão da proteção de dados. Mas para que sejam eficientes, os laboratórios precisam estar com seus procedimentos internos revisados, alinhados, assim como suas equipes muito bem treinadas.


Assista o webinar LGPD – Aspectos jurídicos para laboratórios