LGPD na saúde: garanta a segurança de dados para os pacientes
Você é proprietário ou gestor de uma clínica médica? Então, você precisa saber sobre a Lei Geral de Proteção de Dados (LGPD). O setor da saúde é um dos mais afetados pela LGPD, na medida em que trata um grande volume de dados considerados sensíveis por ela.
Esta categoria de dados sensíveis foi criada pelo legislador para classificar aquelas informações que potencialmente possam trazer algum tipo de constrangimento e/ou preconceito ao titular, tutelando com mais rigor esta categoria.
Neste contexto, o art. 5º, II, da Lei 13.709/2018 classifica os seguintes dados como sensíveis:
• origem racial ou étnica;
• convicção religiosa;
• opinião política;
• filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• dado referente à saúde ou à vida sexual; e
• dado genético ou biométrico.
Toda e qualquer organização de saúde, portanto, provavelmente trata ou poderá vir a tratar dados de origem racial ou étnica, convicção religiosa (não esqueçamos da questão da transfusão de sangue em Testemunhas de Jeová), dado referente à saúde ou à vida sexual e dado genético ou biométrico, todos eles de natureza sensível.
Além disso, a Saúde é um setor altamente regulado, de maneira que toda a legislação de proteção de dados deve ser interpretada em conjunto com esta regulamentação.
Não raro, observa-se profissionais desavisados recomendando a coleta de consentimento do paciente para os dados coletados nas instituições de saúde, o que pode ser um equívoco fatal, na medida em que há regulamentação do setor que obriga o registro médico em prontuário e sua guarda por tempo não inferior a 20 (vinte) anos.
Ainda, a internet e as tecnologias emergentes trouxeram novos conceitos na área da saúde. O termo e-Health, ou e-saúde, proposto pela Healthcare Information and Management Systems Society (HIMSS), trata de qualquer aplicação de internet, utilizada em conjunto com outras tecnologias de informação, focada na melhoria do acesso, da eficiência, da efetividade e da qualidade dos processos clínicos e assistenciais necessários a toda a cadeia de atendimento à saúde. Desse modo, o conceito de e-saúde, no contexto da informação em saúde, abarca desde a entrega de informações clínicas aos parceiros da cadeia de atendimento, passando pelas facilidades de interação entre todos os seus membros, até a disponibilização destas mesmas informações nos mais difíceis e remotos lugares.
Por conseguinte, a crescente utilização da tecnologia de informação e comunicação, a adoção de registros eletrônicos em saúde (prontuários digitalizados e eletrônicos), a necessidade de compartilhamento de informações de pacientes usuários de serviços entre profissionais, prestadores de serviços, operadoras e gestores de saúde, apenas ressaltam quão complexa é a gestão da segurança da informação no setor, no sentido de garantir aos titulares de dados, sua privacidade e a confidencialidade de dados pessoais, especialmente aqueles enquadrados como sensíveis.
Por fim, para além da LGPD e do risco concreto de acesso a informações pessoais de saúde por pessoas não autorizadas ou o uso destas mesmas informações para propósitos não autorizados (por pessoas que muitas vezes possuem legítimo acesso), deve-se também observar que a segurança do paciente está primordialmente alicerçada na segurança da informação e na manutenção da integridade das informações pessoais de saúde. Isto porque quaisquer incidentes e/ou falhas na garantia da integridade dos dados são capazes de causar eventos adversos à saúde do paciente, com riscos de piora de doenças preexistentes, novas doenças, lesões ou até morte.
O que é a LGPD?
A Lei Geral de Proteção de Dados (Lei n. 13.709, de 2018) determina o que são dados pessoais e protege os direitos de privacidade e do desenvolvimento da pessoa natural.
A LGPD elencou categorias especiais de dados que carecem de maior proteção, caso dos dados pessoais sensíveis e dados relacionados a crianças e adolescentes. Além disso, dispões que todos os dados, sejam digitais ou no meio físico, estão sujeitos à regulação.
Outro ponto importante sobre a LGPD é que não importa se uma organização ou seu centro de dados estão localizados no exterior ou no Brasil, se existe o processamento de informações relacionadas a brasileiros ou quaisquer pessoas, sejam elas brasileiras ou estrangeiras, que estejam em nosso país, a LGPD precisa ser considerada.
A LGPD também permite o compartilhamento de dados com organizações internacionais, sendo necessário, todavia, analisar os requisitos determinados por ela.
Resumidamente, a LGPD protege os dados pessoais, definindo quando e como eles podem ser usados, para que os titulares dos dados tenham controle sobre eles.
O que diz o artigo 17 da LGPD?
O Art. 17 determina o seguinte: "Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei."
Quem a LGPD protege?
De modo geral, a LGPD garante a proteção dos dados pessoais de todas as pessoas, independentemente de sua origem, idade, raça, gênero, orientação sexual, religião ou qualquer outra condição.
O que a LGPD não protege?
Em princípio, a LGPD não protege dados de pessoas jurídicas (que não são se enquadram no concento de dados pessoais), dados pessoais anonimizados (dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento) e nem dados para fins jornalísticos e artísticos, ou seja, veículos de comunicação conseguem tratar dados pessoais sem precisar pedir o consentimento do titular dos dados.
Tratamentos de dados realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, investigação e infrações penais, também não estão abarcados pela LGPD.
Além dos casos citados acima, é válido ressaltar que a LGPD também não se aplica a dados pessoais cujo tratamento seja realizado por pessoa natural para fins exclusivamente particulares e não econômicos, por exemplo: dados compartilhados entre amigos.
Quais são os três pilares da LGPD?
A LGPD exige que as organizações protejam os dados pessoais de três maneiras: por meio de pessoas, processos e tecnologia.
Pessoas
As pessoas são responsáveis por proteger os dados pessoais, seja como titulares ou como responsáveis pelo tratamento. É importante conscientizar e treinar funcionários sobre a importância da privacidade, e designar um Encarregado de Proteção de Dados (DPO).
Processos
As organizações devem revisar e ajustar seus processos de gerenciamento de dados pessoais para garantir que estejam alinhados com a LGPD. Isso inclui definir políticas de privacidade, avaliar o impacto à privacidade, gerenciar o consentimento, registrar atividades de tratamento e responder a incidentes.
Tecnologias
A tecnologia é essencial para proteger os dados pessoais, por meio de medidas de segurança como criptografia, autenticação multifator, anonimização e controle de acesso. Ela também pode automatizar processos de consentimento, direitos dos titulares e gestão de incidentes.
Ao fortalecer esses três pilares, as organizações podem garantir a proteção e o uso responsável de dados pessoais.
O que muda na prática com a LGPD na Saúde?
Na prática, a LGPD acaba trazendo novos desafios para a área da saúde, especialmente na troca de informações entre profissionais e instituições.
Além de obter o consentimento do paciente quando necessário, as organizações precisam garantir que as informações sejam criptografadas e protegidas por softwares aprovados.
A troca de mensagens via aplicativos e redes sociais também deve ser feita com cuidado, pois pode gerar incidentes de segurança (como vazamentos) envolvendo dados pessoais dos pacientes, cuja preocupação maior está nos dados pessoais considerados sensíveis.
A LGPD se aplica a todos os estabelecimentos de saúde?
Em geral, a Lei Geral de Proteção de Dados se aplica a qualquer estabelecimento de saúde que trate dados pessoais, incluindo: hospitais, clínicas médicas, consultórios médicos, operadoras de plano de saúde, laboratórios e farmácias.
Quais são as sanções pelo não cumprimento das regras?
De forma geral o não cumprimento às regras da LGPD, podem resultar em:
• advertência;
• multa simples;
• multa diária;
• publicização da infração;
• bloqueio dos dados pessoais;
• eliminação dos dados pessoais
Como deve ser feito o consentimento de dados na área da saúde?
O consentimento de dados na área da saúde, quando necessário, como em qualquer outro setor, deve ser feito de forma clara, específica e inequívoca, por escrito ou por meio de sistemas eletrônicos, especificando-se todos os tratamentos que serão realizados com os dados pessoais, o tempo de armazenamento, seu compartilhamento com terceiros e a finalidade de cada tratamento.
Por escrito
Por escrito, o consentimento deve ser feito em papel ou em formato digital, desde que seja assinado pelo titular dos dados ou por seu representante legal. O documento precisa conter as seguintes informações:
• identificação do titular dos dados e do responsável pelo tratamento dos dados;
• a finalidade do tratamento dos dados;
• os direitos do titular dos dados;
• a forma e o prazo de revogação do consentimento.
Sistemas eletrônicos
Por meio de sistemas eletrônicos, o consentimento pode ser feito por meio de um formulário online ou de um aplicativo. O sistema deve garantir que o consentimento seja dado de forma livre e informada, e que o titular dos dados possa revogar seu consentimento a qualquer momento.
.
Quais as mudanças a LGPD traz na rotina médica?
A LGPD trouxe mudanças significativas na rotina médica, principalmente no que diz respeito à coleta, armazenamento, tratamento e uso de dados pessoais de pacientes.
• Prontuários eletrônicos: devem ser criptografados e protegidos por senhas ou outros mecanismos de segurança. Os pacientes têm direito de acesso, correção e exclusão de informações;
• Direito à informação: os pacientes devem ser informados sobre o tratamento de seus dados, incluindo a finalidade, a base legal e os procedimentos de armazenamento e segurança;
• Hospedagem de dados: os dados pessoais de pacientes devem ser armazenados no Brasil ou em países com nível de proteção de dados equivalente;
• Uso de dados sensíveis: o tratamento de dados sensíveis é permitido apenas em casos específicos ou com a autorização expressa do titular dos dados;
• Softwares: os softwares utilizados na área da saúde devem ser compatíveis com as normas da LGPD.
O que fazer para que sua clínica médica esteja adequada à LGPD?
Para que sua clínica médica esteja adequada à LGPD, é importante investir em tecnologia, observar a regulamentação específica do setor, realizar auditorias internas e analisar todos os sistemas e aplicativos utilizados.
A tecnologia pode ajudar a garantir a segurança dos dados pessoais dos pacientes, por meio de mecanismos de criptografia, autenticação e autorização.
A regulamentação específica do setor, por outro lado, é extremamente relevante para que não se cometam equívocos ao aplicar-se disposições genéricas da LGPD que muitas vezes não se aplicam à saúde e aos estabelecimentos de saúde.
Já as auditorias internas são essenciais para identificar e corrigir possíveis falhas na segurança da informação.
Por fim, a análise de todos os sistemas e aplicativos utilizados é importante para garantir que possuem a segurança necessária e aplicam todas as normas internas da empresa para o sigilo e proteção dos dados pessoais dos pacientes.
Conclusão
Em suma, a LGPD exige que as empresas protejam os dados pessoais de forma adequada, utilizando as melhores técnicas como medidas de segurança. O mesmo se aplica à área da saúde.
Os estabelecimentos relacionados à saúde, sejam eles clínicas médicas, hospitais, consultórios, laboratórios ou operadoras de planos de saúde, precisam, portanto, investir em tecnologia, auditorias internas, correção de falhas de segurança e devem analisar todos os aplicativos e sistemas utilizados, tomando por base a regulamentação do setor em conjunto com a LGPD.
Se você quer proteger a sua empresa, conheça a octo LEGAL, somos especializados em consultoria LGPD e oferecemos uma solução completa. Agende uma demonstração!
Relatório de Impacto à Proteção de Dados: como elaborar
Descubra como elaborar um sólido Relatório de Impacto à Proteção de Dados (RIPD) com dicas práticas para garantir conformidade e segurança.