Entenda como você deve se adequar à LGPD de acordo com o seu ambiente de atuação

O mundo se reinventa todos os dias por conta das tecnologias, e a área da Saúde não poderia ficar de fora disso. Mas, assim como em qualquer outro segmento, é preciso ter um cuidado redobrado com os perigos que a modernidade nos oferece. A chegada da  Lei Geral de Proteção de Dados, por exemplo, criou um cenário importante para rever estratégias e políticas de coleta e armazenamento de dados.

A lei traz consigo a necessidade de uma grande mudança na forma como empresas de todos os segmentos, inclusive na Saúde, tratam os dados que coletam. A LGPD atinge indivíduos, empresas públicas e privadas que tenham qualquer atividade de processamento de dados pessoais (coleta, armazenamento, transferência e descarte) de clientes, colaboradores e potenciais clientes.

Desse modo, as organizações que não cumprirem as regras previstas no texto da lei podem ser penalizadas com multas severas, que dependendo de variáveis podem chegar a até 50 milhões de reais. Mas, afinal, como a chegada da lei impacta os médicos dos mais variados ambientes? Neste texto vamos falar de como os profissionais da Saúde acadêmicos (professores e/ou pesquisadores), os médicos especialistas e os médicos empresários devem se adequar à LGPD nas suas áreas de atuação.

Médico empresário

Quando se fala no médico empresário, pensamos na figura de um gestor; e um gestor, nos dias de hoje, tem a necessidade de pensar na adequação de seu consultório, clínica ou hospital à LGPD. É preciso analisar como as informações dos pacientes são acessadas e, a partir daí, desenvolver uma lista com as etapas para essa adequação.

São ao todo quatro etapas de adequação de um consultório/clínica/hospital à LGPD, a saber: mapeamento, adaptação, garantia e criação.

1. Mapeamento: consiste na identificação e categorização de todos os dados pessoais que podem ser armazenados em mais de um setor, na área administrativa e na área assistencial;
2. Adaptação: é a fase na qual estabelecem-se as novas rotinas a partir dos sistemas e processos já existentes para implementar as melhorias e adequações;
3. Garantia: feita por meio de testes de Segurança da Informação. Nesta etapa, identificam-se os riscos, que poderão então ser mitigados;
4. Criação: exerce a função de elaborar sistemas e documentos necessários à adequação do serviço à LGPD, como a Política de Segurança da Informação; o Termo de Confidencialidade (médicos e colaboradores); Política de Privacidade e Termo de Esclarecimento; e Relatório de Impacto à Proteção de Dados (RIPD).

É importante que o gestor esteja ciente e atualizado do andamento de todas essas etapas. O trabalho de fiscalização é tão importante quanto o de adequação, pois impede que erros cometidos durante o processo acabem passando despercebidos e se transformem em uma dor de cabeça para o consultório, clínica ou hospital.

Outra medida que pode ser adotada pelo gestor de um hospital, clínica ou consultório é solicitar ao paciente que preencha e assine um termo de consentimento, mostrando estar ciente de que determinadas informações são coletadas e para quais fins serão utilizadas. Apesar dessa medida já ser empregada entre empresas no geral, ainda há uma resistência entre a classe médica em se adaptar à lei – e essa pequena medida já pode ajudar a evitar muitos transtornos.

Médico especialista

Já se tratando do médico especialista, a atenção deve se direcionar para outros setores, principalmente na hora do atendimento no consultório. De acordo com Sergio Woisky,  engenheiro de produção com mais de 18 anos de experiência em projetos de risco e compliance e assessor de empresas e entidades para a adequação à LGPD, a transparência é imprescindível. O paciente deve sempre ser informado sobre a finalidade do tratamento de seus dados pessoais.

Outro cuidado que deve ser tomado é no atendimento de menores de idade. De acordo com a LGPD, os dados desses pacientes só podem ser coletados e armazenados com a autorização de um responsável legal. Quando um dos responsáveis acompanha o paciente na consulta não há problemas, pois o contato é fácil e direto. Porém, caso o paciente vá sozinho, mesmo que esteja prestes a completar a maioridade, é necessária autorização para a captura dos dados.

Os prontuários também necessitam de atenção. Eles devem ser bem protegidos e terem acesso restrito às pessoas da área médica, mesmo os de ficha manuscritas.

Médico acadêmico (pesquisador/professor)

A primeira coisa que o médico acadêmico deve prestar atenção é se, de alguma forma, trabalha com os dados pessoais, como nome, endereço de e-mail, telefone, endereço e outros, ou seja: dados que conseguem identificar uma pessoa. Isso vale também para imagens, como fotos que possam identificar o indivíduo. Em uma pesquisa ou trabalho acadêmico, se os dados utilizados não possuem a capacidade de identificar uma pessoa, automaticamente eles podem ser considerados como protegidos. Assim, informações como idade, gênero, origem étnica, peso, altura, profissão, raça etc. que não tenham nenhum indicador de quem efetivamente é aquela pessoa são considerados dados anonimizados.

Entretanto, se no trabalho a pessoa puder ser identificada, alguns cuidados deverão ser tomados. Para esses casos, logo no início do processo o paciente deverá ser avisado da finalidade da coleta de dados, como eles serão arquivados, por quem, por quanto tempo e se haverá compartilhamento com outras pessoas ou entidades. Por isso, deve ser obtida uma autorização por escrito para o tratamento de dados, a ser mantida em arquivo. É importante ressaltar que, eventualmente, o paciente poderá revogar essa autorização. Caso haja o compartilhamento dos dados pessoais com outros médicos ou instituições, o paciente deverá aprovar previamente. Além disso, também deve haver contratos ou termos de colaboração entre as várias entidades envolvidas nos trabalhos para justificar a transferência de dados entre elas e a clara definição de responsabilidades.