O Senado aprovou a prorrogação do início da vigência da Lei Geral de Proteção de Dados (LGPD) para 1º de janeiro de 2021, na última sexta-feira (03/04). Essa lei 13.709/18, que regula as atividades de tratamento de informações particulares, chega, justamente, em um ano de flexibilização nos sistemas de saúde no Brasil, devido ao cenário ocasionado pelo novo coronavírus (Covid-19). Com isso, players do segmento suspeitam que muitas empresas ligadas à prescrição eletrônica podem estar se aproveitando para lucrar com a venda de dados individuais de seus clientes cadastrados.
O método da prescrição eletrônica, também conhecida como digital, tem sido bastante indicado em meio à pandemia, pois, permite que o paciente não precise ir até o médico, sendo atendido por telemedicina e tendo sua receita emitida por meio de plataformas criadas para esse fim.
Por sua vez, a dispensação eletrônica trabalha no mesmo sentido em tempos de pandemia, ou seja, o paciente não precisa buscar sua receita no médico. Basta ele se dirigir até uma farmácia. Lá, mediante seu CPF, o farmacêutico tem acesso à prescrição médica e pode fazer a dispensação. Esse mecanismo também funciona baseado em uma plataforma especifica.
Para respeitar o isolamento social, a pessoa, por exemplo, nem precisa ir à farmácia. Ela pode ligar para o estabelecimento de sua escolha e fornecer o documento de identificação. Lá, o farmacêutico, que também tem o seu certificado digital, acessa a receita diretamente na plataforma e envia o medicamento para a casa do comprador.
O método tem sido bastante utilizado, inclusive, com novas empresas surgindo e oferecendo praticidade, pois, além de facilitar o trabalho de médicos e farmacêuticos e proporcionar comodidade ao paciente, a ferramenta está alinhada às recomendações da Organização Mundial da Saúde (OMS), no sentido de que as pessoas evitem aglomerações.
No entanto, o que os players desse mercado estão discutindo é que essas plataformas, com essas funções, têm altos custos, operação complexa e necessitam de equipamentos sofisticados e muitos recursos humanos. A dúvida que está sendo levantada é como um negócio dessas proporções pode ser oferecido aos clientes de forma gratuita? De onde vem a receita dessas plataformas para viabilizar a operação?
Empresas HealthTech
O colunista do Diário do Poder, Claudio Humberto, publicou em sua página, em 04 de abril, cuja matéria é intitulada Prescrição eletrônica’ abriu janela para fraudes, o seguinte: “Enquanto a Lei Geral de Proteção de Dados Pessoais (LGPD) não entra em vigor, empresas oportunistas da área de “HealthTech” faturam com a venda de dados dos pacientes, sem os médicos saberem. Outras, como a Memed e a Nexodata, oferecem “gratuitamente” às clínicas e hospitais módulos de prescrição eletrônica, que permitem a emissão de receitas por meio digital. O problema é que esse tipo de produto permite o acesso aos dados dos pacientes quando os módulos se integram à plataforma de prontuário eletrônico usada pelos médicos. Esses dados valem ouro”.
Uma das empresas citadas por Humberto já está com operação em diferentes redes no Brasil. Segundo o Jornal Dia Dia, de 03 de abril, A rede Pague Menos passa a aceitar receitas médicas digitais. “A novidade será possível graças à liberação do acesso à plataforma de prescrição digital da healtech Memed, que possui 100 mil médicos cadastrados em todo país e que usam a plataforma gratuitamente”.
Além disso, as Farmácias São João anunciaram, em 31 de março, a implantação do mesmo sistema de prescrição digital. A plataforma gratuita está disponível pela Memed e já passa a ser utilizada pelas mais de 600 lojas da rede no Paraná, Rio Grande do Sul e Santa Catarina.
Empresas se defendem
O CEO e fundador da Memed, Ricardo Moraes, se defende da acusação feita contra sua empresa, e garante que não comercializa dados.
Ele contou que a Memed já existe no mercado desde 2012 e que recebe investimentos dos maiores fundos do Brasil e alguns até de fora do País. Em janeiro deste ano recebeu um aporte de R$ 20 milhões de um fundo liderado pelo DNA Capital e pela Redpoint Eventures.
“Para poder receber um investimento desses você imagina a quantidade de advogados americanos e brasileiros que reviraram todas as contas da empresa e dos próprios fundadores? Nós somos a única empresa que tem investimento de todos eles”, afirma Moraes.
Ele é incisivo: “O que eu posso te dizer de prático é que a gente não vende dados, a gente nunca vendeu dados e nunca vai vender dados. A Memed não faz isso ...Eu convido que essa pessoa que está dizendo isso mostre uma nota fiscal nossa vendendo dados para alguma empresa ou farmácia. Quem acusa é que tem de provar”.
O CEO revela que a Memed recebe investimentos e, por isso, seu negócio cresce, e ela não precisa cobrar pela plataforma neste momento. A empresa está democratizando o acesso à saúde.
Como a Memed sobrevive? Moraes conta que tem vários produtos que comercializa para outros players da cadeia, como as operadoras de saúde e a indústria farmacêutica. “Nós estamos fazendo todo o processo da LGPD. Já contratamos uma consultoria francesa que está nos ajudando nesse processo e temos um escritório com especialistas em Data Security Private. Estamos com a consciência tranquila e nunca fizemos isso [vender dados] e nunca vamos fazer. Se algum outro player do mercado faz, eu não sei te dizer. A Memed não faz”, dispara Moraes.
Já a empresa Nexodata, citada na denúncia, enviou nota à redação: “A Nexodata refuta veementemente qualquer tipo de acusação nesse sentido e enfatiza que a gestão ética de dados está no DNA dos produtos e serviços oferecidos pela companhia, que atualmente adota os protocolos de proteção aos dados de seus usuários, inclusive, medidas para estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD)”.
Infringindo a lei
Nesse sentido, a advogada especialista em direito digital, Adriana Cansian, ressalta que a chegada da LGPD vai impactar todos os segmentos de negócios de muitas empresas, em seus mais diferentes portes, uma vez que a norma regula a coleta, guarda e tratamento de dados particulares, tanto de pessoas naturais, como de jurídicas de direito público, além de privado.
“Dessa forma, todas as empresas precisarão mapear seus processos internos e verificar quais são os departamentos que envolvem dados pessoais, tanto do ponto de vista da coleta, bem como da guarda e do armazenamento, além de contratos com fornecedores e parceiros de negócios”, explica ela, que também é doutoranda em Direito Comercial pela Universidade de São Paulo (USP).
A especialista destaca que os dados médicos ou relativos à saúde estão especificados na lei, como sensíveis, portanto, para essas informações a legislação prevê um cuidado especial. "Em seus programas de governança de dados [as empresas] devem explicitar todas as medidas, incrementando essas ações com cuidados extras que deixem evidente para o titular dos dados que todas as iniciativas legais foram tomadas para evitar o uso indevido desses dados, bem como o compartilhamento com outras instituições para as quais o titular não autorizou".
Deputado trabalha na garantia da privacidade
Em entrevista exclusiva ao jornalismo o ICTQ, o deputado, Hiran Gonçalves (PP-RR), falou que não há uma regularização pertinente sobre telemedicina no Brasil: “A resolução que nós temos é do Conselho Federal de Medicina (Resolução 2.227/18) que regulamenta a telemedicina no modelo mais moderno, mas que suscitou muitas dúvidas. Além disso, ela não foi muito bem discutida com as entidades médicas. Havia muitos detalhes na resolução que tornavam a relação médico-paciente muito vulnerável”.
Leia também: Como a prescrição eletrônica beneficia as farmácias em tempos de pandemia
Ele ressalta que um dos pontos fundamentais é mesmo a garantia da privacidade e a segurança no tratamento dos dados do paciente, pois esse é o seu maior patrimônio. “O prontuário médico pertence ao paciente, e o médico é apenas o seu fiel depositário. Isso não pode ser revelado por ninguém, apenas pelo próprio paciente ou com sua autorização expressa. Então, tudo isso tem que ser levado em consideração”, afirma.
Segundo o deputado, que é presidente da Frente Parlamentar de Medicina, a classe médica e o Conselho Federal de Medicina estão tendo uma preocupação muito grande com a questão da legalidade do tratamento dos dados.
“Estamos precisamos consolidar todos os sistemas e fazer uma resolução prevendo a segurança do nosso paciente. Essa regulamentação já está sendo discutida e deverá sair até o meio deste ano, dependendo do impacto da crise do novo coronavirus, que poderá gerar atraso em todos os sentidos e em todos os assuntos, no País e no mundo” comenta ele.
Possíveis sanções
Com base na nova legislação sobre o tema, o Programa de Proteção e Defesa do Consumidor de São Paulo (Procon-SP) lançou a cartilha Oficina de Proteção de Dados Pessoais, em que faz um alerta sobre as novas disposições e normas. Na publicação, o órgão chama a atenção para o artigo 37 da LGPD.
“A autoridade nacional poderá determinar ao controlador [a quem compete as responsabilidades nas decisões] que elabore o relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial”, define a nova legislação.
Em outro tópico, o Procon-SP aborda as regras de responsabilização. Para isso, a entidade lembra o artigo 42 da nova lei, em que fica definido: “O controlador ou o operador [quem trata os dados] que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
Nesse contexto, a advogada Adriana explica que a nova LGPD prevê um endurecimento na fiscalização dos serviços prestados pelas empresas de serviço de prescrição eletrônica/digital. A especialista ressalta que há uma série de sanções dispostas nos termos da nova legislação, que vão desde o pagamento de multa, podendo chegar a R$ 50 milhões, bem como a suspensão do exercício da atividade por até seis meses.
Além disso, Adriana apresenta uma breve ilustração do que é previsto no artigo 37, também lembrado na cartilha do Procon-SP: “A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do poder público, no âmbito de suas competências”.
LGPD e seus impactos nas farmácias
Com a chegada LGPD, as farmácias e drogarias devem se precaver, ainda mais, com a proteção de dados de seus pacientes. Para isso, esses estabelecimentos também devem priorizar o uso de um sistema seguro.
De acordo com o consultor jurídico da Associação Brasileira do Comércio Farmacêutico (ABCFarma), Rafael Espinhel, o serviço utilizado pelos farmacêuticos deve seguir as diretrizes dispostas nos termos da nova legislação, que consideram sensíveis as informações relativas à saúde.
Leia também: Nova lei obriga prescrição médica eletrônica no Brasil
“Na nossa visão, o impacto será proporcional ao tratamento de dados pessoais realizados pela farmácia, independentemente do porte da empresa. Diria que atualizar e otimizar os sistemas de segurança é o ponto de partida para os estabelecimentos farmacêuticos”, disse ele à Revista da Farmácia.
Opinião de entidades
Por meio de nota oficial, a Associação Paulista de Medicina (APM) também reforçou a necessidade da utilização de um serviço confiável, que tenha como prioridade os termos dispostos na LGPD. Em um trecho do comunicado, publicado em seu portal, o órgão ressalta:
“Todos os consultórios, clínicas, hospitais e laboratórios também terão que realizar adaptações tecnológicas, de modo a garantir a segurança das informações. Os agentes de tratamento de dados deverão protegê-los, elaborando uma política de segurança da informação, com gestão de identidade e acessos, uso de criptografia, sistema de backup e outros padrões técnicos".
A associação é enfática ao lembrar da responsabilidade dos atores de saúde no armazenamento dos dados de pacientes. Com isso, o órgão alerta sobre possíveis sanções para locais que estiverem em desacordo com a LGPD. "Estarão sujeitos à aplicação de sanções administrativas como advertências, multas, publicização da infração, bloqueio e eliminação dos dados pessoais aos quais se refere a infração".
Orientação às empresas de prescrições
Por fim, a advogada Adriana orienta a todas as empresas que ainda não possuem um programa de governança de dados, que o providencie: "Inclusive, porque, independentemente da LGPD, o Regulamento Geral Europeu sobre Proteção de Dados orienta que todos os países da União Europeia estabeleçam relações comerciais apenas com outros territórios que já tenham leis protetivas da privacidade e dos dados pessoais dos seus cidadãos", finaliza.
Participe também: Grupo de WhatsApp para receber notícias farmacêuticas diariamente
Obrigado por apoiar o jornalismo profissional
A missão da Agência de notícias do ICTQ é levar informação confiável e relevante para ajudar os leitores a compreender melhor o universo farmacêutico. O leitor tem acesso ilimitado às reportagens, artigos, fotos, vídeos e áudios publicados e produzidos, de forma independente, pela redação da Instituição. Sua reprodução é permitida, desde que citada a fonte. O ICTQ é o principal responsável pela especialização farmacêutica no Brasil. Muito obrigado por escolher a Instituição para se informar.