A Lei Geral de Proteção de Dados (LGPD) coloca padrões de segurança para a captação de dados, sobretudo aqueles que são considerados sensíveis – que é o caso das informações médicas. O paciente deve ser inteirado sobre quais circunstâncias seus dados serão utilizados e compartilhados. A atuação médica exige que esse material esteja disponível para que se possa traçar as melhores formas de tratar uma patologia específica dentro do contexto histórico do paciente. Para isso, é importante utilizar um sistema de prontuário eletrônico que proteja de maneira eficiente todos esses dados. Os próprios médicos podem, também, proteger-se de problemas jurídicos com a LGPD por meio da tomada de algumas atitudes simples. O sócio e consultor da Comp9 Consultoria, Sergio Woisky, descreve-se quais são elas:
- Transparência
Os pacientes necessitam ser informados sobre a motivação para a coleta de dados, assim como é preciso que ele esteja ciente sobre o compartilhamento dessas informações com outros médicos. Para isso, Sergio Woisky afirma que é fundamental “preparar e publicar a Política de Privacidade no site da clínica para atender ao princípio da transparência e informar os tipos de dados coletados, como são utilizados, como são protegidos, se há algum compartilhamento, assim como os donos dos dados podem exercer os seus direitos, principalmente caso haja pacientes menores de 18 anos”. Ele também ressalta que fotos tiradas de “antes e depois” também estão incluídas na listagem de dados sensíveis.
Até mesmo a Telemedicina tem de se adequar a essas diretrizes de transparência. Para isso, Woisky alerta: “A política de privacidade do aplicativo de reuniões on-line deve ser verificada para confirmar o atendimento à LGPD, e, principalmente, para certificar-se de que não haverá gravação da consulta sem a autorização do paciente”.
- Atualização de aplicativos
É importante sempre estar com os softwares de uso cotidiano atualizados, visto que os updates visam aprimorar a segurança e a estabilidade desses dispositivos. Woisky reforça: “Usar sempre sistemas operacionais oficiais (como Windows) e aplicativos (como Office) adquiridos nas lojas on-line dos fornecedores ou, então, que já venham com os equipamentos de fábrica”.
- Prefira a comunicação por meios oficiais
“Deve-se evitar o uso de ferramentas de mensagens instantâneas para envio de receitas médicas, encaminhamento médico e resultado de exames. Usar preferencialmente o aplicativo de prontuário eletrônico ou o e-mail da empresa, quando houver”, afirma o consultor. Ele acrescenta que é importante “formalizar, junto aos pacientes, a autorização para acessar pela internet os resultados de exames junto aos laboratórios, quando a função estiver disponível. Desta forma, resultados de exames não têm de ser enviados do paciente ao médico por e-mail ou mensagem instantânea. Quando o médico necessitar, pode acessar o site do laboratório e baixar os exames que queira consultar”.
- Limite o acesso de funcionários
Nem todos os funcionários precisam ter acesso às informações sensíveis dos pacientes. Por isso, é fundamental criar diversos usuários com diferentes níveis de acesso dentro do sistema. Sergio Woisky ressalta que é importante “adotar o princípio da Necessidade de Saber. Ou seja, os dados devem ser acessados por quem realmente precisa deles para o seu trabalho. Se uma pessoa não precisa acessar os dados para trabalhar, então o acesso deve ser bloqueado. Atenção aos casos de consultórios compartilhados, nos quais a infraestrutura pode ser comum, mas os dados são controlados especificamente pelos respectivos profissionais de saúde”.
- Cuidado com guias de papel
Grande parte dos convênios de saúde suplementar utilizam guias impressas que precisam ser assinadas pelos beneficiados. Há, também, iniciativas que incentivam o uso de tokens via aplicativos para celular para que esse processo seja validado on-line. O consultor recomenda “evitar manter cópias das guias em papel. E, nos casos em que o convênio aprova via token, mas exige a guia em papel assinada só para o evento de glosas, manter essas guias apenas durante o prazo de seu uso. Quando não houver mais utilidade, as guias em papel devem ser destruídas”.
- Utilize certificado digital
Atualmente, com o cenário da Covid-19, o encontro do médico com o paciente precisa ser otimizado para reduzir a exposição em ambientes fechados. Por isso, o uso de certificado digital pode facilitar o encaminhamento dos pacientes e a prescrição de medicamentos sem a necessidade de um encontro presencial. “Os documentos assinados dessa forma têm validade legal e dão mais segurança ao processo – além de facilitarem a vida dos pacientes que não precisam se deslocar, por exemplo, na troca de uma receita médica por falta de um determinado medicamento”, destaca.
- Adote um seguro de Cyber Risks
Recomenda-se a realização de um seguro para proteção de dados. “Além das coberturas diversas, como de multas e sanções, custos com investigação, lucros cessantes, entre outras, normalmente as seguradoras contam com técnicos especialistas que podem dar suporte à empresa quando ocorrer algum incidente de segurança de dados”, afirma o consultor.
Se por algum descuido os dados forem vazados, como devemos proceder?
Sergio alerta que, após a sanção da LGPD, foi criada uma autoridade responsável por fiscalizar o cumprimento das diretrizes da lei, a Autoridade Nacional de Proteção de Dados (ANPD). É a ela que deve ser comunicado o vazamento de dados, em um prazo de dois dias úteis após o acontecimento. Por isso, o consultor listou três passos a serem seguidos em ocorrências como essa:
- Verifique a segurança
“Ao tomar ciência do vazamento, [é necessário] verificar se há alguma brecha de segurança nos aplicativos ou nos processos manuais e imediatamente efetuar o bloqueio para impedir o vazamento”.
- Avalie o tipo e a quantidade de informação vazada
É importante fazer um levantamento do que foi vazado, de quem, a quantidade, o conteúdo e as possíveis consequências que isso pode gerar aos envolvidos. Woisky orienta quais casos devem ser direcionados às autoridades: “Somente em caso de risco ou dano relevante aos titulares. Ainda não está totalmente claro o que é risco ou dano relevante; isso ficará definido em regulamentação futura, mas a própria ANPD alerta que a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade. Concluindo: dados de prontuário médico, resultados de exames e prescrições são considerados dados sensíveis e têm potencial de dano relevante”.
- Inicie o processo de comunicação
Caso seja necessário entrar em contato com a ANPD, siga as instruções contidas no site e comunique ao paciente afetado o ocorrido. “Antes de qualquer comunicação à ANPD, recomenda-se contar com a ajuda de um advogado para analisar a situação sob o ponto de vista jurídico”, recomenda Sergio Woisky.