A Lei Geral de Proteção de Dados foi criada para auxiliar na segurança dos dados, mas as empresas de saúde – dos pequenos consultórios aos grandes hospitais – ainda têm dúvidas sobre como estar de acordo com a regulamentação
A tecnologia tem se reinventado dia após dia e sendo implementada em diferentes áreas, entre elas a Saúde. Considerando o seu crescimento sem a regulamentação necessária, em 2018 foi criada a Lei Geral de Proteção de Dados (LGPD), visando a promover a segurança de dados no país. A lei só entrou em vigor em agosto de 2020, após um período de dois anos para que as instituições se adequassem. Mas afinal, essa adequação realmente ocorreu na prática?
Sergio Woisky, consultor há 22 anos em Gestão de Projetos, Compliance e Adequação à LGPD, com trabalhos no Brasil e no exterior, afirma que muitos ambientes da Saúde ainda não se adaptaram às mudanças impostas pela lei.
“O maior fator é o desconhecimento da LGPD e das consequências que podem vir em caso de não adequação, mau uso ou vazamento de dados. Em muitos casos, as pessoas nunca ouviram falar da lei e assumem que isso somente se aplica a grandes empresas”, analisa.
O advogado Ivan Paiva, gerente de Governança de Segurança, Riscos e Privacidade no Grupo MV Sistemas, defende que é preciso mais conscientização para implantar e operacionalizar a conformidade de segurança e privacidade de dados:
“Os dirigentes das empresas devem evitar postergar ações para adequação à LGPD. Há muitas atividades que não dependem de alto investimento, como definir um grupo de trabalho, ações de comunicação sobre proteção de dados, treinamento das equipes, entre outros”.
Para entender a dimensão da proteção das informações, é necessário examinar quais são os tipos de dados que devem ser protegidos, estimulando essa mudança na cultura organizacional da instituição.
| Tipos de dados Dados comuns: informações básicas sobre o paciente, como nome, idade, endereço, telefone e CPF. Dados sensíveis: informações mais específicas que, de acordo com a lei, só podem ser utilizadas e armazenadas com consentimento do paciente. |
| Quem é quem na área da Saúde? Titular: pessoa que é proprietária dos dados requisitados, ou seja, o paciente. Controlador: pessoa (física ou jurídica) que faz o tratamento dos dados pessoais. Na Saúde, quem fica com essa responsabilidade são as instituições e os médicos. Operador: quem trabalha os dados do paciente em nome do controlador. A recepção ou a linha de frente costumam ser responsáveis por essa função. Encarregado pela proteção de dados: um colaborador, que deve ser indicado pelo controlador, responsável por deixar a instituição na conformidade da lei. |
Apesar de haver certa dificuldade em transmitir a importância da LGPD para todos os setores da Saúde, Woisky vê mudanças positivas ao longo desses anos, como as adaptações que laboratórios e hospitais têm feito em seus processos para cumprir com a norma do compartilhamento de dados sensíveis.
“Além disso, as organizações têm investido em novos processos e aplicativos para automatizar o contato com o paciente e ao mesmo tempo aumentar o nível de proteção dos dados”, avalia o consultor.
Paiva também enxerga que houve um crescimento da maturidade das instituições em relação à privacidade de dados:
“Os profissionais de Saúde passaram a questionar antigas práticas de compartilhamento de dados de saúde, fotos de ambientes de trabalho e terminais de computador”.
Porém, o ex-presidente da Sociedade Brasileira de Informática em Saúde (Sbis), Luis Gustavo Kiatake, argumenta que ainda existe confusão em relação à necessidade de coleta de termo de consentimento dos pacientes para registro em prontuário eletrônico, compartilhamento de dados com laboratório ou hospitais e para realização de uma teleassistência:
“Houve, e há ainda, profissionais pedindo consentimento de forma desnecessária e deixando de registrar em casos necessários”.
Em caso de vazamento de dados em uma instituição de saúde, além da possibilidade de multa, a clínica ou consultório pode enfrentar a responsabilidade de pagar indenizações aos pacientes afetados, como explica Kiatake:
“O setor fica à espera de uma posição mais clara da Autoridade Nacional de Proteção de Dados (ANPD) sobre procedimentos, fiscalização e penalidades e esquece que o comprometimento de uma informação de saúde pode trazer inúmeros prejuízos, desde ressarcimentos financeiros por demandas judiciais dos pacientes prejudicados até a degradação da imagem profissional”.
A determinação da reparação considera a extensão e o tipo de dano causado aos dados pessoais dos pacientes, bem como o porte da instituição de saúde. A seguir, separamos algumas dicas para assegurar se sua empresa está de acordo com a LGPD:
Conscientização e treinamento
É fundamental instruir a equipe sobre a LGPD e a relevância de proteger dados. Todos devem compreender suas responsabilidades em relação às informações pessoais de clientes, colaboradores e fornecedores.
Avaliação de dados
Outro aspecto crucial é conduzir uma avaliação abrangente dos dados pessoais armazenados pela sua empresa. Isso envolve identificar a natureza dos dados, sua finalidade e a base legal para o processamento.
Política de privacidade transparente
É essencial ter uma política de privacidade transparente que detalhe claramente aos usuários como os dados são coletados, processados, utilizados e protegidos. É fundamental garantir que as diretrizes sejam claras e compreensíveis para todos.
Consentimento informado
Antes de coletar ou processar informações pessoais, é crucial obter o consentimento adequado dos titulares dos dados. Esse consentimento deve ser específico, voluntário e baseado em informações claras.
Segurança de dados
Implemente medidas de segurança de dados que incluam tanto aspectos técnicos quanto organizacionais, visando a proteger de acessos não autorizados, vazamentos e potenciais violações de segurança.
Registro de atividades de tratamento
Parte superior do formulário
Parte inferior do formulário
Registre de forma detalhada todas as atividades de tratamento de dados, incluindo a finalidade, a base legal, as medidas de segurança adotadas e os prazos de retenção.
Avaliação de impacto sobre a proteção de dados (AIPD)
Realize avaliações de impacto sobre a proteção de dados (AIPD) sempre que o processamento de dados apresentar potenciais riscos à privacidade dos usuários.
Notificação de violações de dados
Em caso de qualquer violação, é fundamental seguir procedimentos para notificar a Autoridade Nacional de Proteção de Dados e os titulares dos dados afetados.
Portal de conteúdo de gestão na área da Saúde e de referência nacional quando o assunto é Carreira Médica.