Em agosto de 2020, entrou em vigar a lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD). A lei traz consigo a necessidade de uma grande mudança na forma como empresas de todos os segmentos, inclusive na saúde, tratam os dados que coletam. A LGPD atinge indivíduos, empresas públicas e privadas que tenham qualquer atividade de processamento de dados pessoais (coleta, armazenamento, transferência e descarte) de clientes, colaboradores e potenciais clientes.
Desse modo, as organizações que não cumprirem as regras previstas no texto da lei podem ser penalizadas com multas severas. Mas, afinal, como a chegada da lei impacta o setor da saúde? Listamos a seguir dez pontos, entre dicas e dúvidas, para ajudar os médicos a compreenderem um pouco mais sobre a LGPD:
1- Como é dimensionada a multa em caso de vazamento de dados?
Em caso de uma ação indenizatória por vazamento de dados, o julgador analisará vários aspectos, como a extensão do dano, o tipo de dano e o tamanho da clínica, para quantificar a indenização.
Se a clínica tiver implantado um programa preventivo, se ela tomou ações nesse sentido, tudo isso é levado em consideração na aplicação da penalidade.
É importante fazer um dossiê após a implementação para que, diante de uma demanda jurídica, seja possível comprovar todo o processo que foi efetuado (treinamentos, processos internos, controles…).
2- Como são as penalidades?
Existe uma multa (a empresa pode ser multada pelo descumprimento da lei) e a possibilidade de uma ação indenizatória pela pessoa que foi afetada pelo vazamento de dados. A documentação (dossiê) poderá ser usada nos dois casos: tanto para recorrer da multa quanto na defesa em uma demanda judicial.
3- Como fica a questão do nome social diante da LGPD?
A legislação brasileira assegura que todas as pessoas têm o direito ao uso do nome pelo qual deseja ser identificado (nome social). Caberá à clínica entender a relevância de registrar e manter esse dado.
4- Como deve ser feita a eliminação de dados?
Não há uma regra estabelecida, mas existem várias dicas no mercado sobre como fazer essa eliminação, sejam dados no papel, sejam dados eletrônicos.
5- Envio de e-mail marketing:
Fundamental ter o consentimento da pessoa quanto ao envio, além da opção de descadastramento.
6- Assinatura digital na interface com operadoras de planos de saúde:
Não é necessário, para o cumprimento da LGPD, ter a assinatura digital do funcionário, embora haja discussões sobre a implementação integral da TISS digitalmente – espera-se que seja feito no âmbito de pessoas jurídicas.
7- Uso do WhatsApp para agendamento de consultas:
A princípio, nele não são colocadas informações sensíveis, então é possível utilizá-lo desde que a equipe seja efetivamente treinada. Pensemos na seguinte situação: o paciente envia uma mensagem na qual se identifica e fala sobre um problema de saúde que está apresentando e solicita agendamento de consulta. Embora não seja a clínica que esteja expondo os dados sensíveis do paciente, e sim ele mesmo, esses dados devem ser deletados assim que o agendamento for concluído – no final do dia, por exemplo. Isso é um processo, um procedimento que precisa ser estabelecido e requer treinamento da equipe.
8- Solicitações de suporte para resolver problemas em sistema de agendamento ou de suporte:
Tome cuidado para que dados de pacientes não sejam expostos, seja ao suporte da própria equipe da clínica, seja a um terceiro contratado (mesmo existindo contrato de confidencialidade). Telas com esses dados devem ser fechadas ou anonimizadas. um terceiro contratado (mesmo existindo contrato de confidencialidade).
9- Existem softwares para adequação à LGPD?
Não existe um sistema para a LGPD, mas há programas que ajudam a fazer a adequação e a aderência à norma.
10- Quais custos terei em meu consultório para me adequar à LGPD?
Há custos relativos à segurança e outros relacionados ao cumprimento de exigências quanto à divulgação, como é o caso da montagem e/ou atualização do site do serviço, onde deverão figurar a Política de Segurança de Dados e o nome do Encarregado da Proteção de Dados (DPO).
Sobre os custos com sistemas, temos licenças, por usuário, para:
- Criptografia de dados do notebook e/ou desktop;
- Antivírus / anti-spam / cofre de senhas;
- ERP administrativo / prontuário eletrônico;
- Endpoint Security Hardware / SO / Backup;
- Filtro de conteúdo internet / sites / produtividade.
Além de treinamentos, informativos, cursos e tutoriais.