[__]

LGPD na Saúde: como ela impacta os médicos e gestores?

Por:

Raquel Prazeres

- 07/09/2020

lgpd

O Senado Federal aprovou, recentemente, a vigência da LGPD (Lei Geral de Proteção de Dados), que será responsável pelo tratamento de dados pessoais dos brasileiros, incluindo os acessados e compartilhados na internet. Desse modo, as organizações que não cumprirem as regras previstas no texto da lei podem ser penalizadas com multas severas. Mas, afinal, como a chegada da lei impacta o setor da saúde?

Talvez a maior mudança trazida pela lei diga respeito à relação entre paciente e clínica. Afinal, com ela, organizações de saúde deverão deixar claro para seu público os motivos da coleta de seus dados. Assim, os usuários terão o direito de saber para que finalidade, por meio de quem e quando suas informações serão usadas, além de delimitar a possibilidade de acesso aos dados.

Se na teoria tudo parece claro, é no dia a dia que a modificação será colocada à prova, já que deixar claro para onde fluem os dados significa reforçar uma comunicação institucional transparente. Quando se trata de profissionais hospitalares, é preciso que eles recebam treinamentos sobre o tema, assim como tenham as respostas que os indivíduos esperam, como “Por que você precisa desse meu dado?”, “para onde ele vai?”, entre outros.

Prevenir para não remediar

A fim de cumprir o que dita a lei 13.709/2018, algumas instituições de saúde vêm investindo em melhorias nos processos de coleta, tratamento e armazenamento dos dados de seus pacientes, a fim de preservar a segurança deles. Além de otimizar a segurança da informação, minimizando o risco de vazamentos e de ataques cibernéticos, essas empresas estão restringindo a quantidade de dados solicitada a cada atendimento. Dessa forma, são requeridos somente os dados que são de fato indispensáveis para que o atendimento seja efetuado de maneira completa e eficaz.

Outra medida adotada por muitas instituições está na solicitação de que o paciente preencha e assine um termo de consentimento, mostrando estar ciente de que determinadas informações são coletadas e para quais fins serão utilizadas. Apesar dessa mobilização entre as empresas, ainda há uma resistência entre a classe médica em se adaptar à lei.

Em geral, essa é uma falha por desconhecimento. Todos os profissionais, em um pequeno consultório, clínica ou grande hospital, precisam se adequar à legislação. Como muitos médicos são profissionais liberais, as responsabilidades maiores acabam recaindo nas instituições, mas é importante ter em mente que, quando está a serviço de uma clínica ou de um hospital, ele é um operador dos dados.

Além disso, muitos profissionais não fazem ideia do prejuízo financeiro que a falta da proteção de dados pode causar. No caso de um hospital, ele passará por uma auditoria e talvez tenha que contratar uma empresa para ajudá-lo nesse processo. Também terá uma sanção na forma de multa, deverá informar o vazamento das informações, além de arcar com os custos de ações por danos morais e contratar uma empresa de marketing para restaurar sua imagem perante o mercado. Isso pode custar valores exorbitantes, que devem ser levados em consideração na hora de colocar a LGPD em prática.

LGPD na prática

O advogado Ivan Paiva, especialista em Direito Digital, explica que os cuidados para implementar a LGPD são os mesmos em qualquer instituição – consultório, clínica ou hospital. Ele elaborou um passo a passo para o médico ou gestor da instituição começar a adequação à nova lei:

Passo 1: Reconhecimento

Faça uma planilha listando todos os tipos de dados que a instituição tem e costuma coletar e armazenar, como dados pessoais (RG, CPF, e-mail e endereço dos pacientes), informações para faturamento (número de cartão de crédito e da carteira do plano de saúde) e dados sensíveis (laudos, imagens, vídeos, conversas gravadas, informações de consultas e prescrições). Até mesmo o IP do celular ou do computador do paciente deve ser listado, caso o paciente tenha acesso à internet pelo wi-fi do consultório.

Passo 2: Tratamentos de dados

Identifique, nessa mesma planilha, de que maneira os dados são tratados na instituição. Pergunte-se: os dados são pedidos ao paciente? São coletados na recepção? Há alguma gestão ou controle desses dados? Eles são apagados ou modificados de alguma forma? São enviados, compartilhados ou difundidos para alguém? “Se o médico dá aula em uma universidade e fala sobre o caso de um paciente, ele está difundindo a informação. Se os dados são usados em pesquisas, eles passam por um processamento”, explica o advogado.

Passo 3: Acesso

Na mesma planilha, deixe claro quem tem acesso a qual informação e por qual meio (computador, notebook, tablet, pen drive, HD externo ou nuvem). Por isso, é preciso estar claro, até para identificar de que maneira o dado poderia ser furtado. “O médico deve lembrar que nem toda informação precisa ser compartilhada com todos. A secretária, por exemplo, não precisa ter acesso aos laudos dos pacientes. O médico também precisa pensar nos técnicos que fazem manutenção nas máquinas, dentro ou fora da clínica. Se o notebook trava e o médico deixa com um técnico, os dados dos pacientes estarão protegidos ou poderão ser copiados? Tudo deve ser considerado”, alerta Paiva.

Passo 4: Fundamentação legal

É importante deixar claro qual é o fundamento legal para o médico ter acesso aos dados que ele armazena. A LGPD permite? O Código de Ética autoriza? O dado vem por meio de uma autorização da operadora de saúde? Se o paciente é particular, ele assinou um documento consentindo a coleta dos dados? De acordo com o advogado, essa planilha é o “sistema nervoso central” para implementar a LGPD.

Passo 5: Implementação e conscientização

Depois de averiguar os dados, vem a fase de implementação. Portanto, deve ser adotado um sistema que proteja os dados dos pacientes, deixando claro quem é responsável por cada etapa (coleta, armazenamento, acesso, compartilhamento, processamento e exclusão, se for o caso). Mas essa etapa vai além: é preciso treinar e conscientizar a equipe. “Se o médico tem uma clínica, ele tem que criar uma política de proteção de dados e deixar isso bem claro para toda a equipe”, conclui o especialista.