Caro colega Psicólogo, é cada vez mais presente o formato de atendimento online de pacientes, seja via Skype ou outras plataformas digitais. Mas você sabia que, independentemente das regras estabelecidas pelo CRP, há uma lei específica que regulamenta a proteção dos dados dos pacientes/clientes que vocês atendem, seja no mundo online ou off-line?

Sim, existe uma lei, recém sancionada, a Lei nº 13.709 de 14 de agosto de 2018, conhecida por Lei Geral de Proteção de Dados – LGPD.

Seu projeto teve início na Câmara dos Deputados em 13/06/2012, porém ganhou atenção somente em 2018, com a publicação da versão europeia, conhecida como GDPR, que entrou em vigor em 25 de maio de 2018.

A lei brasileira possui o objetivo de regrar a coleta, o uso e o armazenamento de dados pessoais pelas empresas, online ou off-line, com o fim de proteger direitos fundamentais como liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Mas se a lei é para empresas, por que isso teria impacto na atividade dos psicólogos?

Antes de responder isso objetivamente, precisamos entender melhor a LGPD, que traz definições de quem é o titular dos dados, quem é o controlador, o operador, o que são dados pessoais, dados pessoais sensíveis, o que pode ser o “tratamento de dados”, dentre outras definições, conforme abaixo:

- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, ou seja, o responsável pela coleta e pela forma de tratamento dos dados;

- Dado pessoal: qualquer informação relativa à pessoa natural, o titular;

- Dado pessoal sensível: são os dados pessoais sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

De acordo com a definição da lei todo aquele dado que individualiza uma pessoa natural de forma extremamente específica, que possa lhe causar qualquer tipo de abuso em decorrência de tais informações é considerado um dado pessoal sensível;

- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Com base nesses esclarecimentos fica mais fácil identificar que você, psicólogo e profissional liberal (empresário ou não), deve se adequar à nova lei, que entrará em vigor em cerca de um ano e meio.

Para exemplificar: para os psicólogos não é novidade que os dados coletados desde o início da contratação, com o cadastro do paciente na clínica, até a realização das sessões propriamente ditas, são totalmente sigilosos.

De acordo com a Dra. Cristina Pellini, membro da Comissão de Ética do Conselho Regional de Psicologia de São Paulo (CRP SP), o sigilo tem por finalidade tutelar a intimidade das pessoas, protegendo-as contra violações e indiscrições de outrem. "O sigilo profissional é marcado por um elemento subjetivo, a pessoa do profissional a quem o indivíduo é obrigado a recorrer para obter assistência” (Fonte).

Portanto, de acordo com a definição da própria Comissão de Ética do Conselho Regional de Psicologia de São Paulo os dados fornecidos pelo paciente durante a sessão, assim como o prontuário deste, podem ser classificados como dados pessoais sensíveis, merecendo, desta forma especial atenção dos profissionais.

Isso porque, não bastassem as questões éticas profissionais, o vazamento deste tipo de dado pode acarretar sérios prejuízos ao paciente e, consequentemente, ao psicólogo que não os protegeu adequadamente, estando sujeito tanto às penalidades da LGPD como à reparação pelos danos que causou àquele.

Mas quem está sujeito à nova lei?

Ora, toda empresa e/ou profissional liberal que coleta dados de seus clientes com finalidade econômica estará sujeita à LGPD, seja esta uma empresa de e-commerce, uma corretora de seguros, ou um profissional de Psicologia.

Desta forma, tanto o psicólogo como uma multinacional devem se adequar às previsões da LGPD até fevereiro de 2020, quando entra em vigor.

Como se adequar à nova lei?

Bem, você, psicólogo ou psicóloga, deverá obter a concordância expressa e inequívoca do paciente para a coleta e tratamento dos dados.

Para aqueles que possuem atendimento presencial o ideal é que se colha a assinatura do paciente em um termo específico, enquanto aqueles que prestam atendimento por intermédio de plataformas da internet ou aplicativos de conversa online será necessário o auxílio da tecnologia, obtendo-se o consentimento de alguma forma que torne inequívoca tal concordância (como os termos de uso e política de privacidade que sempre vemos nos sites de e-commerce).

Esse termo de concordância deve ser guardado pelo psicólogo, no mínimo, durante todo o período em que durar o tratamento e até três anos após seu encerramento.

Outra inovação trazida pela lei é a necessidade de anuência específica do titular do dado para toda e qualquer alteração no tratamento dispensado a seus dados. Significa dizer que, se o profissional informa que armazenará os dados do paciente em determinado banco de dados e posteriormente alterar este banco de dados, deverá colher nova autorização pelo paciente.

Se o profissional desejar dividir o caso com um colega, especialista em determinado assunto, deverá igualmente colher a anuência do paciente, caso não tenha colhido inicialmente (por isso a importância da assistência de advogados na criação do documento).

Há hipóteses em que será permitido o tratamento de dados sem a anuência do paciente? A resposta é positiva, mas as hipóteses são muito limitadas.

De acordo com a LGPD é possível o manuseio de dados pessoais sensíveis sem a anuência do titular nos casos de:

(i) cumprimento de obrigação legal ou regulatória pelo controlador;

(ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

(iii) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

(iv) proteção da vida ou da incolumidade física do titular ou de terceiro; dentre outros.

Outro ponto relevante trazido pela LGPD é a necessidade de elaboração de Relatório de Impacto à proteção de dados pessoais.

Tal Relatório consiste na documentação que poderá ser exigida do controlador pelas autoridades competentes, tais como os profissionais da área da psicologia, contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação ao risco.

Em outras palavras, este Relatório deve conter todo o tratamento dispensado aos dados, desde a sua coleta, por exemplo na sessão de atendimento, o manuseio dele após a sessão, onde o mesmo ficará armazenado, quais os meios para proteção aplicados pelo profissional, etc.

Quais as consequências se o profissional não se adequar à nova LGPD?

A violação de dados pessoais (vazamento ou uso para fins diversos do que os permitidos pelo titular, por exemplo) pode acarretar multa de até R$ 50.000.000,00 (cinquenta milhões de Reais!), além de outras penalidades cíveis que poderão ser requeridas pela vítima que teve os dados violados, vazados, alterados, etc., como indenização por danos morais e materiais.

E o mais importante: a lei entrará em vigor em fevereiro de 2020, o que deixa pouco mais de um ano para que todos criem mecanismos e procedimentos internos para não correr o risco de sofrer sanções pecuniárias importantes.

Para saber em detalhes a que tipo de risco ou implicação legal você está exposto, busque um advogado especializado nessa área (Direito Digital) para ter o devido auxílio legal.