A Lei Geral de Proteção de Dados e suas implicações na saúde: as Avaliações de Impacto no tratamento de dados no âmbito clínico-hospitalar Translated title: The General Data Protection Law and its implications on Health: Impact Assessments on Data processing in the clinical-hospital scope Translated title: La Ley General de Protección de Datos y sus implicaciones para la salud: Evaluaciones de Impacto sobre el tratamiento de datos en el contexto clínico y hospitalario Translated title: La Llei General de Protecció de Dades i les seves implicacions per a la salut: Avaluacions d'Impacte sobre el tractament de dades en el context clínic i hospitalari

Resumo A Lei Geral de Proteção de Dados dispõe sobre a proteção de dados pessoais e tem implicações significativas em inúmeras áreas, dentre as quais a saúde. Em âmbito sanitário, em virtude da quantidade relevante de dados sensíveis contendo informações sobre saúde, exige-se cautela dos agentes de tratamento, uma vez que seu processamento é mais suscetível de ocasionar alto risco para os direitos dos titulares. Nessa hipótese, o Regulamento Geral sobre a Proteção de Dados, a legislação europeia sobre proteção de dados pessoais, em seu art. 35, determina como obrigatória a realização das Avaliações de Impacto, o que não se demonstra evidente na legislação brasileira. Por meio de pesquisa exploratória, com base em levantamento bibliográfico e documental, investiga-se a importância dessas avaliações pelas instituições de saúde no tratamento de dados sensíveis, a fim de atestar não apenas o cumprimento com a legislação, mas igualmente com as estipulações presentes em códigos deontológicos que valorizam o sigilo, a privacidade e a confidencialidade na relação médico-paciente. Para tanto, são abordados, em um primeiro momento, os aspectos gerais da LGPD e uma perspectiva comparada em relação à GDPR. Em seguida, é exposta a associação entre o tratamento de dados sensíveis e a confidencialidade na assistência em saúde. Por fim, o trabalho conclui acerca da importância da realização da Avaliação de Impacto em dados sensíveis, ocasião em que se considera a experiência europeia de metodologia baseada nos riscos.

Abstract The General Data Protection Law provides for the protection of personal data and has significant implications in numerous areas, including in healthcare. In the health field, due to the relevant amount of sensitive data containing information on health, it is required caution from the treatment agents, since its processing is more likely to cause a high risk to the rights of the data subjects. In this regard, the art. 35 of the General Data Protection Regulation, the European legislation on the protection of personal data, determines that the carrying out of Impact Assessments is mandatory, which is not evident in the Brazilian legislation. Through exploratory research, based on a bibliographic and documentary survey, the importance of these assessments by health institutions in the treatment of sensitive data is investigated, so as to attest not only compliance with legislation, but also with stipulations present in deontological codes that value secrecy, privacy and confidentiality in doctor-patient relationship. At first, general aspects of the Brazilian law and a comparative perspective regarding the European one are discussed. Secondly, it exposes the association between treatment of sensitive data and confidentiality in healthcare. It concludes that it is important to carry out the Impact Assessment on sensitive data, an occasion in which the European experience of risk-based methodology is considered.

Resumen La Ley General de Protección de Datos prevé la protección de los datos personales y tiene implicaciones significativas en numerosos ámbitos, incluido el sanitario. En éste, debido a la cantidad relevante de datos sensibles que contienen información sobre salud, se requiere precaución por parte de los agentes de tratamiento, ya que es más probable que su procesamiento cause un alto riesgo para los derechos de los titulares. En este sentido, el art. 35 del Reglamento General de Protección de Datos, la legislación europea en materia de protección de datos personales, determina que la realización de Evaluaciones de Impacto es obligatoria, lo que no es evidente en la legislación brasileña. A través de un estudio exploratorio, basado en una encuesta bibliográfica y documental, se investiga la importancia de estas Evaluaciones por parte de las instituciones de salud en el tratamiento de datos sensibles, a fin de certificar no sólo el cumplimiento de la legislación, sino también de las estipulaciones presentes en los códigos deontológicos que valoran el secreto, la privacidad y la confidencialidad en la relación médico-paciente. Al principio, se discuten aspectos generales de la ley brasileña y una perspectiva comparada con respecto a la europea. En segundo lugar, expone la asociación entre el tratamiento de datos sensibles y la confidencialidad en la asistencia sanitaria. Concluye que es importante realizar la Evaluación de Impacto sobre datos sensibles, ocasión en la que se considera la experiencia europea de una metodología basada en riesgos.

Resum La Llei General de Protecció de Dades preveu la protecció de les dades personals i té implicacions significatives en nombrosos àmbits, inclòs el sanitari. En aquest, a causa de la quantitat rellevant de dades sensibles que contenen informació sobre salut, es requereix precaució per part dels agents de tractament, ja que és més probable que el seu processament causi un alt risc per als drets dels titulars. En aquest sentit, l'art. 35 del Reglament General de Protecció de Dades, la legislació europea en matèria de protecció de dades personals, determina que la realització d'Avaluacions d'Impacte és obligatòria, la qual cosa no és evident en la legislació brasilera. A través d'un estudi exploratori, basat en una enquesta bibliogràfica i documental, s'investiga la importància d'aquestes Avaluacions per part de les institucions de salut en el tractament de dades sensibles, a fi de certificar no només el compliment de la legislació, sinó també de les estipulacions presents en els codis deontològics que valoren el secret, la privacitat i la confidencialitat en la relació metge-pacient. Al principi, es discuteixen aspectes generals de la llei brasilera i una perspectiva comparada respecte a l'europea. En segon lloc, exposa l'associació entre el tractament de dades sensibles i la confidencialitat en l'assistència sanitària. Conclou que és important realitzar l'Avaluació d'Impacte sobre dades sensibles, ocasió en la qual es considera l'experiència europea d'una metodologia basada en riscos.