Quais as precauções que se deve adotar para tratar dados de saúde em decorrência da pandemia?

Não é novidade que as empresas precisaram adequar suas rotinas e estabelecer novos procedimentos em decorrência da pandemia COVID-19.


Em razão das novas práticas adotadas e da necessidade de mitigar o risco de contágio, muitas empresas passaram a coletar dados de saúde, os quais eram pouco – ou nada – necessários para o desempenho de suas atividades antes da pandemia.


Assim, tais empresas, especialmente aquelas impossibilitadas de adotar o home office, se viram na necessidade de: (i) identificar funcionários integrantes do grupo de risco, incluindo aqueles que possuem doenças pré-existentes, para fins de afastamento e/ou adoção de medidas excepcionais; (ii) medir temperaturas e/ou realizar testes em funcionários a fim de detectar – ou não - a doença, para que estes possam trabalhar, e; (iii) de realizar questionários sobre o estado de saúde de funcionários, clientes, visitantes e/ou terceiros para, por exemplo, ingressar nas dependências da empresa, fábrica etc.


Nesse sentido, é válido esclarecer que dados de saúde são considerados “Dados Pessoais Sensíveis”, nos termos do artigo 5º, inciso II, da Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD). O tratamento de Dados Pessoais Sensíveis dispõe de um rol mais restritivo de bases legais, bem como enseja responsabilidades e cuidados adicionais para o responsável pelo seu tratamento.


Apesar da LGPD e suas respectivas penalidades ainda não estarem em vigor[1], o tratamento adequado dos dados de saúde é indispensável e de extrema necessidade. Isso porque, o tratamento indevido de tais dados pode ocasionar incidentes de vazamento e/ou a exposição indevida do indivíduo, o que, por consequência, pode gerar responsabilidades e prejuízos para as empresas, tais como: aplicação de multa pelo Ministério Público do Trabalho e/ou outros órgãos regulatórios, ações indenizatórias movidas pelos titulares dos dados (e.g. indenização por danos morais e materiais) etc.


Diante do cenário acima, neste artigo, listamos, de forma objetiva, as precauções que devem ser observadas, cumulativamente, quando do tratamento de dados de saúde.


1) Restrição de Acesso: Recomenda-se que estes dados de saúde sejam acessados de forma restrita, devendo ser disponibilizados e consultados apenas pela área responsável a fim de evitar incidentes de vazamento e/ou uma exposição desnecessária do indivíduo. Para tanto, tais dados devem ser armazenados em pastas com senha e/ou em local seguro. Além disso, recomenda-se que aqueles que tiverem acesso aos dados assinem um Termo de Confidencialidade;

2) Contratos com Terceiros: Caso haja a contratação de algum terceiro para a realização de exames para detectar o COVID 19, esta empresa terceira deverá assinar um contrato ou termo de responsabilização no tocante ao acesso, preservação e proteção dos dados de saúde tratados, bem como à eliminação obrigatória de tais dados quando encerrada a relação contratual entre a empresa e o terceiro;

3) Compartilhamento com Terceiros: A empresa não deverá compartilhar os dados de saúde com terceiros (e.g. seguradoras, empresas de estatística, planos de saúde etc.), salvo quando o tratamento por tais terceiros for estritamente necessário e compatível com a base legal adotada pela empresa para o referido tratamento.

4) Dados Necessários: Apenas coletar os dados de saúde que forem estritamente necessários para as finalidades pretendidas e relacionadas à mitigação dos riscos de contágio no tocante ao COVID-19;

5) Não Discriminação: Não utilizar as informações obtidas no tocante a doenças pré-existentes para motivar demissões, rebaixamentos ou indeferimento de promoções de funcionários, bem como para negar a admissão de novos funcionários que sejam acometidos por tais doenças.

6) Exclusão dos Dados: Tão logo a pandemia seja cessada ou ocorra o desligamento do colaborador, a empresa deverá excluir e/ou anonimizar os dados de saúde coletados. Recomenda-se, inclusive, a elaboração de uma Política de Descarte específica para a exclusão dos referidos dados com a maior segurança possível.

7) Consentimento: Apesar do tratamento de dados de saúde, no caso específico, estar fundamentado na necessidade de proteção da vida ou da incolumidade física do titular ou de terceiros, é aconselhável, para maior proteção da empresa e para fins de transparência com o titular, obter um Termo de Consentimento, assinado pelo referido titular, para o tratamento de seus dados de saúde.

8) Relatório de Impacto: O Relatório de Impacto à Proteção de Dados Pessoais é um documento, previsto na LGPD, que deverá conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e garantias fundamentais dos indivíduos, bem como deverá descrever medidas e mecanismos de mitigação de tais riscos. Assim, como o tratamento de dados de saúde e eventuais incidentes relacionados podem resultar prejuízos morais e materiais aos titulares, recomendamos a elaboração de um Relatório de Impacto.

Caso você tenha dúvidas sobre a aplicação das medidas acima ao seu negócio ou queira simplesmente conversar sobre o tema, fique à vontade para nos contatar!


Referências:


Lei Geral de Proteção de Dados Pessoais – LGPD

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm


Notas:

[1] Sobre a vigência da LGPD, recomenda-se a leitura do seguinte artigo: https://www.diasteixeira.com.br/post/comunicado-a-medida-provis%C3%B3ria-no-959-2020-e-a-prorroga%C3%A7%C3%A3o-da-lgpd

  • Branca Ícone LinkedIn
  • Branco Facebook Ícone
  • Branco Twitter Ícone

LEGAL INFO

CONTATO | CONTACT

 
Rua Bandeira Paulista 726, conjs. 172-176
 
04532-002, São Paulo - SP, Brasil
PABX: +55 (11) 3056-2111
 

Social

  • LinkedIn Social Icon
  • Facebook Social Icon
  • Twitter Social Icon