LGPD-(Lei-de-Proteção-de-Dados)-na-saúde
|

LGPD (Lei de Proteção de Dados) na saúde

A LGPD (Lei de Proteção de Dados) foi criada como uma forma de garantir a proteção de dados pessoais, e já está em vigor, embora as punições pelo seu descumprimento só passem a valer em agosto de 2021.

É sabido que sem uma legislação eficiente quanto a este problema tão comum, o vazamento de informações acabaria se tornando cada vez mais rotineiro.

A quantidade de pessoas afetadas por estas informações perdidas são catastróficas.

Tivemos recentemente um grande exemplo com o vazamento de dados de um dos hospitais mais importantes da cidade de São Paulo, com dados de pacientes expostos nas redes sociais. Você consegue imaginar a confusão?

Assim, para garantir a segurança de dados, foi aprovada no dia 16 de agosto de 2020 a Lei Geral de Proteção de Dados (LGPD).

Mesmo tendo sido imposta há pouco tempo, diversos setores da saúde como hospitais, clinicas e os serviços de saúde pública já começaram a sentir os seus efeitos e estão se adequando.

E você, já conseguiu se adequar as novas exigências? Você sabe quais são os impactos causados?

É preciso se adequar as regras para que as alterações impostas não afetem de forma negativa a sua empresa.

Neste artigo, entenderemos mais sobre a LGPD na saúde e as novidades trazidas por ela, falaremos sobre ainda sobre a relevância da sua implantação.

O que é LGPD na saúde?

Com o objetivo de determinar tudo o que envolve e acontece com cada um dos dados pessoais colhidos, a forma como podem ser adquiridos e manuseados, foi criada a lei 13.709. Esta legislação visa principalmente os meios digitais de armazenamento e comunicação de dados.

Sancionado no ano de 2018, o projeto denominado anteriormente como PL 53/2018 apenas entrou em vigor no dia 16 de agosto de 2020, agora, denominada como Lei Geral de Proteção de Dados (LGPD).

Com esta nova lei, o Brasil passou a fazer parte da lista de países que contam com regulamentações específicas para o uso adequado e com maior segurança de dados pessoais de seus cidadãos.

Estando relacionada com o marco legal da internet, a LGPD foi baseada nas leis existentes em países europeus, sendo bastante abrangente.

Todas as empresas do setor da saúde deverão se adequar e trabalhar dentro deste novo modelo de segurança imposto. Tudo isso a fim de refletir uma maior segurança a cada um dos pacientes.

O descumprimento da Lei Geral de Proteção de Dados produz punição para a empresa que está responsável por garantir a segurança dos dados. Isso porque as consequências de se deixar vazar dados cadastrais e outras informações de pacientes pode trazer problemas inimagináveis.

A principal mudança com esta lei imposta, é que os pacientes são os únicos e exclusivos proprietários da informação, cabendo somente a eles a autorização para o armazenamento ou não de suas informações no sistema. Ou seja, os pacientes são os titulares dos dados.

Dessa maneira, eles precisam ser notificados sobre qualquer tipo de tratamento que for haver em cima de suas informações.

Da mesma forma, também podem questionar qualquer alteração e se opor a tal ação. Com a nova lei, o paciente pode solicitar as cópias de seus dados e relatórios. Tudo dentro de seus direitos.

Vale ressaltar que a LGPD subdividiu os dados dos pacientes em 3 categorias distintas, em que cada uma delas possuem uma regra diferente por definição, sendo elas:

  • Dados anonimizados;
  • Dados pessoais; e
  • Dados sensíveis.

Entenda:

Dados anonimizados

São informações de casos bem específicos, dessa forma, são dados pouco utilizados.

Geralmente, são informações que após alguns processos acabam sendo desvinculadas e não há como realizar o rastreamento dos dados.

Dados pessoais

É considerado como dado pessoal, toda e qualquer informação que o paciente passa referente a sua vida.

Dentro desta categoria estão as informações como:

  • Nome completo;
  • Endereço residencial e de trabalho;
  • Número de telefones para contato, etc.

Estas informações não podem jamais ser utilizadas de forma indevida.

Dados sensíveis

Estes dados são os mais problemáticos quando há vazamentos de dados. É por isso que contem, através da LGPD, uso restrito.

Essas informações, quando em mãos erradas, podem resultar em violência ou discriminações.

São exemplos:

  • A orientação sexual;
  • Filiação;
  • Etnia;
  • Histórico de saúde;
  • Características físicas;
  • Orientação religiosa, etc.

Os impactos que a LGPD causa na área da saúde

Separamos aqui as principais mudanças para as quais todo gestor da área da saúde precisa estar atento.

Conheça a seguir os principais impactos que a LGPD causa na área da saúde.

Sistemas com autorização

É lei e os dados dos pacientes de qualquer unidade de saúde só podem ser coletados e armazenados em plataformas com a autorização do paciente.

Caso ele não autorize, a empresa não pode armazenar nenhuma informação.

Esta autorização também é válida tanto para prontuário de dados que serão criados a partir de agosto quanto para os mais antigos, que de alguma forma, estão armazenados nas plataformas.

Em outras palavras, as empresas da área da saúde deverão entrar em contato com seus pacientes anteriores para solicitar a autorização do armazenamento de dados deles.

Os papeis também precisam de autorização

As medidas preventivas de segurança não se focaram somente em meios tecnológicos, foi estabelecido também que até os dados registrados em papel, mesmo que manuscrito, necessitarão de autorização.

Vários nichos da saúde foram atingidos

Estas novas medidas foram implantadas a vários nichos da saúde, com a LGPD atingindo não somente os consultórios, mas sendo de obrigatoriedade em diversas situações ocorridas:

  • Na cobrança de serviços de saúde via Troca de Informações em Saúde Suplementar (TISS);
  • Na telemedicina;
  • No intercâmbio de informações entre diferentes S-RES (como pedidos de exames de laboratórios); e
  • No Sistema Único de Saúde (SUS).

Criptografia para mensagens trocadas

Até mesmo as mensagens trocadas entre os médicos e os pacientes através do WhatsApp deverão ter medidas de segurança.

Além da criptografia já implantada naturalmente no aplicativo de mensagem instantânea, as caixas postais deverão receber uma atenção maior quanto a sua segurança já que a mesma contem identificações de ambas as partes.

Responsáveis especiais para a proteção de dados

Com esta nova mudança, muitas empresas optaram por terceirizar a gestão de segurança de informação ou nomear alguém de dentro de sua equipe para ser responsável pela proteção de dados.

Esta proteção deve ser de acordo com a ISO especial para a área da saúde, sendo a ISO 27.001 e ISO 27.799.

Após atingir o objetivo, as informações devem ser apagadas

Uma outra alteração, é que as empresas da área da saúde não podem mais manter os dados dos clientes por muito tempo em seu histórico nas plataformas.

Os dados pessoais referentes aos seus pacientes, da mesma forma que cada uma das transmissões de informações que houveram durante o processo dele na empresa em questão, devem ser criptografados.

Além da criptografia, quando finalizado o processo do paciente, ele deve ser obrigatoriamente apagado do sistema.

Direitos dos pacientes

A empresa não pode negar ao paciente a informação sobre quais dados que ele forneceu estão sendo arquivados no sistema da empresa e para qual a finalidade que eles precisam ser armazenadas.

Além disso, estes dados também precisam estar disponibilizados para a Autoridade Nacional de Proteção de Dados (ANPD).

A ANPD é o órgão federal responsável por editar as normas e fiscalizar cada procedimento que é relacionado a segurança de dados pessoais de cada um dos usuários ali cadastrados.

Contratante pode ser responsabilizado por perda de dados

Com a nova Lei de Proteção de Dados na Saúde, se a empresa que é contratada para proteção dos dados de todos os pacientes da empresa em questão não possuir um sistema verdadeiramente seguro, pode ser penalizada.

Se ela passar por qualquer fator de quebra de protocolo, o contratante pelo serviço (no caso a própria empresa) também será responsável pelo ocorrido.

Como garantir a segurança de dados dos pacientes

Com a LGPD, foram estipuladas multas de valores bem elevados para estabelecimentos que infringirem as normas aplicadas. Essas multas podem chegar a até 50 milhões de reais.

Porém, elas giram em torno do valor do faturamento bruto da empresa, chegando a 5% do valor.

O processo de adequação requer sim um investimento, mas todas as empresas precisam estar blindadas a este tipo de situação, contratando serviços especializados e uma mão de obra de qualidade.

Afinal, o crime cibernético é cada vez mais comum, tanto em grandes empresas como nas pequenas também.

Posts recomendados