A Lei Geral de Proteção de Dados (LGPD) foi criada em 2018 com o objetivo de promover a segurança de dados no país. Em vigor desde 2020, ainda assim é possível observar que muitos profissionais e empresas de Saúde não conseguiram se adequar de forma assertiva às normas.

Por isso, o Universo DOC traz uma entrevista com o advogado Ivan Paiva, que é gerente de Governança de Segurança, Riscos e Privacidade no Grupo MV Sistemas. Paiva apresenta os principais erros cometidos no dia a dia que devem ser evitados para uma melhor adaptação do seu atendimento à LGPD, gerando mais segurança aos dados de seu serviço e de seus pacientes.

Universo DOC – Nesses quatro anos desde a implementação da LGPD, que mudanças você enxergou dentro das organizações da área da Saúde? Ivan Paiva – Houve um crescimento da maturidade das instituições em relação à privacidade de dados. Os profissionais de Saúde passaram a questionar antigas práticas de compartilhamento de dados, fotos de ambientes de trabalho e terminais de computador. Com isso, veio à tona o desconhecimento quanto às diretrizes, às políticas e às instruções de comunicação sobre o uso e o compartilhamento de dados pessoais.

Quais tipos de dados são considerados sensíveis na área médica segundo a LGPD?   Dados de identificação do paciente: nome completo, data de nascimento, sexo, nome da mãe, naturalidade, endereço completo etc. Dados de saúde: anamnese, exames (físico, laboratorial e radiológico) e outros resultados, hipóteses diagnósticas, diagnóstico definitivo e tratamento realizado. O prontuário, por exemplo, é dividido em categorias: anamnese, histórico familiar, descrição e evolução de sintomas, exames, indicações de tratamentos e prescrições de medicamentos.

Universo DOC – Qual é o impacto da LGPD no compartilhamento de dados médicos entre profissionais e organizações de saúde?

IP – O setor de Saúde tem como força a interoperabilidade dos dados de saúde que apoiam o tratamento do paciente, sua segurança, mobilidade geográfica e acesso a recursos e tecnologias multidisciplinares que nem sempre estão disponíveis ou ao alcance da instituição onde é realizado o tratamento. Assim, existe a necessidade de base legal para o compartilhamento dos dados médicos e para o uso dos dados dentro da finalidade, além da segurança e privacidade dos dados.

Universo DOC – Quais fatores você enxerga como predominantes para muitas empresas, consultórios e sociedades ainda não se adaptarem por completo à LGPD?

IP – O fator principal não é o financeiro, mas o ânimo dos executivos, sócios e conselhos das instituições de saúde. Muitos não acreditam que possa haver um incidente grave de segurança da informação e privacidade de dados pessoais. A maior consequência de um incidente é a penalização da instituição por parte da Autoridade Nacional de Proteção de Dados (ANPD), da Agência Nacional de Saúde Suplementar (ANS) e do Ministério Público (MP).

Em caso do não cumprimento da LGPD no setor da Saúde, as penalidades que trazem mais impacto para as organizações, classificadas na sequência do maior para menor impacto, são:   • Abalo na reputação da instituição; • Perda de valor do mercado; • Perda de marketshare; • Perda irrecuperável de dados pessoais; • Multas contratuais de controladores de dados; • Reparação de danos de marca e jurídicos de controladores de dados envolvidos; • Penalidades por cometer “fraude contratual’, na qual se assina um contrato afirmando que são aplicadas as práticas de segurança e privacidade, quando não se faz; • Sanções de compliance de integridade; • Custo para obter a conformidade de segurança e privacidade para manter clientes e mercado.

Universo DOC – Em sua opinião, ainda é necessária uma conscientização maior da implementação da LGPD na área da Saúde? Se sim, como realizar isso de maneira eficaz?

IP – Sim, conscientização para implantar, operacionalizar e gerir a conformidade de segurança e privacidade de dados. Recomenda-se a implantação de governança de segurança da informação, riscos, privacidade e proteção de dados, com os quais os gestores executivos da empresa entenderão a dimensão da proteção das informações e da continuidade do negócio, além de participar ativamente das decisões e acompanhar o andamento do Programa de Segurança e Privacidade Corporativa.

Universo DOC – Desde que a LGPD entrou em vigor, quais foram os grandes erros cometidos? Houve problemas legais ou jurídicos que poderiam ter sido evitados se as instituições ou profissionais de Saúde tivessem agido de outra forma?

IP – Houve diversos problemas, tais como: a exposição indevida de dados de prontuário por falta de gerenciamento das permissões de acesso; exposição de credenciais de acesso por práticas indevidas de compartilhar e armazenar as senhas sem segurança; sequestro de dados e interrupção de toda a operação de tecnologia por usuários que clicaram em links maliciosos; perda irrecuperável de dados por falhas na gestão da operação de recursos de TI; e perda de prontuários físicos, por não se manter adequadamente o armazenamento dos documentos.

Quais são os maiores desafios que as instituições de saúde enfrentam na segurança da informação e na privacidade de dados pessoais?   • Mapear todas as operações de tratamento de dados pessoais; • O volume de titulares e dados on-line e off-line; • Os tipos de dados tratados e o seu tempo de retenção; • Os cenários de exposição; • A gestão dos consentimentos e compartilhamentos; • A cadeia de fornecedores; • Operacionalização da LGPD; • A gestão da conformidade.

Para saber mais sobre a LGPD, as mudanças desde a sua implementação e possíveis dúvidas que podem surgir, confira o livro LGPD e o impacto nas clínicas e consultórios: como se preparar.