Como a Lei de Proteção de Dados afeta a área médica?
A LGPD na saúde foi um verdadeiro marco legislativo para a segurança da informação, uma vez que define a maneira como as informações são recolhidas e armazenadas pelas empresas dentro do ambiente online.
Conhecida como Lei Geral de Proteção dos Dados, a Lei nº 13.709/18 veio para regulamentar as relações que são estabelecidas no mundo virtual e para abordar as consequências jurídicas dessa prática tão comum.
Diante de tanta inovação, se torna necessário que as empresas comecem a entender melhor o conceito e as determinações dos dispositivos dessa lei, a fim de adaptarem as suas atividades de acordo com a nova realidade jurídica que vem se desenhando nos últimos anos, incluindo a implementação da tecnologia na saúde.
É importante destacar que a LGPD na saúde foi publicada em agosto de 2018 e prevê um período de vacatio legis de 24 meses, no máximo.
Nesse sentido, ela teve a sua vigência integral a partir de 2020.
Enquanto isso, o legislador preferiu conceder um tempo de adaptação para que as empresas e demais corporações consigam entender a lei e adequar as suas atividades conforme aquilo que preveem os dispositivos legais.
Diante de toda essa transformação, surge a necessidade de conhecer melhor o que diz a lei.
Afinal, o conhecimento vai servir para que as empresas estejam preparadas para obedecer às suas determinações, especialmente as clínicas de saúde e demais estabelecimentos médicos.
Que tal entender melhor sobre o tema?
Pensando nisso, o artigo vai abordar as principais questões envolvendo a LGPD na saúde, ou seja, aplicada especificamente à realidade das clínicas médicas. Acompanhe a leitura e saiba todos os detalhes!
A Lei Geral de Proteção de Dados Pessoais
A LGPD, representada pela Lei nº 13.709/18, determina as principais condições sobre a maneira como os dados pertencentes a cidadãos devem ser recolhidos e tratados. Além disso, estabelece penalidades para as empresas que descumprirem as determinações contidas na lei.
A LGPD foi inspirada nos princípios e nas condições estabelecidas pelo GDPR (Regulamento Geral sobre a Proteção de Dados), conjunto normativo que determina regras sobre a privacidade das informações dos cidadãos da União Europeia e que entrou em vigor em 25 de maio de 2018.
O intuito da LGPD é proteger o cidadão contra a coleta e a utilização abusiva de seus dados pessoais.
A maneira como os dados pessoais deverão ser coletados e tratados
Em geral, as empresas somente poderão recolher e manter os dados pessoais dos usuários caso houver autorização do titular.
A solicitação para esse consentimento deve ser feita pela empresa de forma explícita, clara e transparente, de modo que o usuário entenda perfeitamente do que se trata.
Porém, na área da saúde, existe a obrigatoriedade de registrar e armazenar as informações dos pacientes em prontuário, como seus dados de identificação, anamnese, resultados de exames, diagnósticos, tratamentos, evolução diária, etc.
Sendo assim, a clínica precisa definir a finalidade dos dados, suas aplicações e registros, além da eventual possibilidade de compartilhamento com outras instituições.
Caso venha a haver alguma alteração na motivação do uso dos dados ou na finalidade do repasse para outras organizações, deverá ser realizado um pedido de autorização para o usuário.
A lei também prevê, com mais rigor, a proteção dos chamados “dados sensíveis”.
Trata-se de informações que apresentam um caráter mais pessoal e privado sobre a vida íntima do usuário, como condições de saúde física e mental, eventuais problemas de cunho psicológico, crenças religiosas, posicionamento político, orientação sexual e assim por diante.
Nesse sentido, as clínicas somente poderão pedir os dados que realmente terão importância para a finalidade da instituição.
Isso significa que deve ser demonstrada a necessidade de coleta e uso dos dados.
Do mesmo modo, o usuário/paciente tem o direito de saber a finalidade do recolhimento dos dados, bem como questionar a utilidade de fornecer determinada informação pessoal.
A importância da LGPD
A Lei Geral de Proteção de Dados foi editada com o principal objetivo de regulamentar o uso, a retenção, a administração, a movimentação, o armazenamento e demais procedimentos que envolvem o manuseio de dados de clientes, consumidores e demais usuários.
A prática se baseia principalmente na gestão de dados que ocorrem no ambiente on-line. No entanto, ela também prevê medidas de gerenciamento de dados off-line.
Além disso, a lei estipula punições para as empresas que desobedecem às normas legais.
Nesse sentido, a LGPD foi editada e publicada com o objetivo de proteger a privacidade e os dados pessoais de clientes, consumidores, pacientes e todo tipo de usuário que tem suas informações pessoais em poder de empresas.
Nesse sentido, o intuito é trazer mais segurança na coleta, no manuseio, na gestão e no armazenamento de informações confidenciais de pessoas.
Além disso, a proposta da lei é justamente, ao garantir a segurança das informações dos indivíduos, combater o mercado de comercialização de dados pessoais para fins comerciais sem que o usuário tenha expressado o livre consentimento para tanto.
Desse modo, antes de qualquer coisa, os usuários devem expressamente autorizar a utilização de seus dados – sabendo exatamente para quais fins.
Não são raros os casos de vazamento de dados de empresas ocasionados por terceiros mal-intencionados.
Quando se trata de clínicas de saúde, esse fato se torna ainda mais preocupante, uma vez que o paciente goza de privacidade e inviolabilidade de suas informações pessoais, histórico clínico, quadro de saúde, prontuário, tratamentos realizados, medicação manipulada, entre outros elementos.
Nesse sentido, a segurança da informação ganha importância.
A incidência da LGPD
As disposições previstas na LGPD incidem sobre as atividades que envolvem o tratamento de dados que são efetuadas não apenas no Brasil, mas em qualquer outro país, desde que a coleta seja de dados pertencentes a cidadãos brasileiros ou que seja efetuada em território brasileiro.
Assim, se, por exemplo, uma clínica realizar o recolhimento de dados de um brasileiro, mas processar tais informações em Portugal, a instituição de saúde deverá obedecer ao disposto na LGPD.
A LGPD na saúde
Após idas e vindas no senado, a LGPD passou a ser obrigatória a partir de agosto de 2020, estando presente em diversas instituições. Porém, as sanções estipuladas por ela passam a vigorar apenas em agosto de 2021.
A LGPD deverá ser aplicada em clínicas, consultórios, hospitais e todo tipo de estabelecimento voltado para a área da saúde.,
Isso significa que gestores, empresários e funcionários das empresas têm esse prazo para adequarem operações, processos e sistemas de acordo com as novas regras estabelecidas pela LGPD.
Antes de tudo, é necessário conhecer com clareza e detalhes o que a lei determina.
Para isso, é importante contar com o apoio de profissionais que sejam especialistas nesse ramo, como as áreas de TI, jurídica e RH.
Ninguém melhor do que um profissional que domina conhecimentos sobre o tema para adequar as operações da empresa de acordo com o que determina a lei.
Além disso, o descumprimento das determinações previstas na LGPD pode trazer consequências negativas para as clínicas, como a imposição de sanções, multas e outras penalidades.
Inclusive, a multa pode facilmente chegar à cifra de milhões de reais!
Os impactos da LGPD na área da saúde
A LGPD causa impactos diretos na área da saúde.
Confira, a seguir, as alterações mais significativas que foram efetuadas nesse sentido.
Autorização dos usuários
Para as organizações em geral, os dados pessoais dos clientes somente poderão ser coletados, exibidos, utilizados e armazenados em sistemas da empresa mediante prévia autorização.
Nos casos em que os dados já estejam constando no sistema, será necessário obter o consentimento destes para que essas informações continuem sendo mantidas no registro.
Porém, no contexto da LGPD na saúde, a questão é mais completa e exige atenção especial!
No atendimento aos pacientes, os médicos têm base legal para quase todos os dados coletados.
Por exemplo, no cadastro dos indivíduos, a lei obriga que constem nome, CPF, entre outros dados semelhantes.
As exceções da LGPD na saúde ainda se estendem a casos de proteção à vida, tutela da saúde, estudos feitos por órgãos de pesquisas, processos judiciais, obrigações legais ou regulatórias do controlador e processos judiciais.
Isso significa que, durante a adequação, a manipulação das informações será complexa, uma vez que a legislação não é muito clara para a saúde.
Nesse sentido, também não há clareza a respeito de quais momentos o consentimento será necessário.
Por exemplo, nos hospitais, é comum que os dados circulem tanto internamente quanto externamente, já que existem muitos agentes envolvidos. Assim, é importante ponderar quando é necessário abrir as informações para garantir uma melhor assistência e quando elas deverão ser preservadas.
Essas ponderações vão desde casos em que familiares consultam se alguém deu entrada no hospital, até a troca de informações entre outros especialistas para aprimorar o tratamento, e assim por diante. É preciso saber o que pode ou não ser compartilhado.
Assim, é fundamental conhecer todo o trânsito das informações, dentro e fora do posto de atendimento, e orientar todo o corpo clínico, administrativo e de colaboradores a lidar com os dados sem que a lei seja descumprida, assim como as obrigações médicas.
Ampliação do conceito de dados
Os dados mencionados pela lei e que se sujeitam às suas disposições se referem a informações constantes no meio digital, mas não é apenas isso.
O conceito de dados vai além e também serve para se referir aos elementos registrados em papel.
Situações que se encaixam no conceito
As alterações no trato dos dados que constam na LGPD são aplicáveis a diversas situações, como no acesso a exames em sistemas e plataformas digitais, no preenchimento de informações pessoais, na telemedicina, na cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar) etc.
Além disso, as mensagens que são enviadas entre pacientes e médicos também gozam de privacidade.
Proteção dos dados por terceiros
A LGPD determina que as clínicas e as empresas deverão indicar uma pessoa que terá o dever de efetuar a proteção dos dados no sistema.
Também é possível terceirizar a função de gestão de segurança da informação para outras empresas, de acordo com as regras de contratação de parceiros de negócios.
O sistema deve ser seguro e precisa conter um protocolo de segurança eficiente.
Possibilidade de os usuários acessarem os dados
Os pacientes da clínica têm a garantia de tomar conhecimento sobre quais tipos de dados constam no sistema e os fins a que essas informações são destinadas.
Trata-se de um direito que não pode ser negado aos usuários.
Além disso, é importante mencionar que esse dados também são disponibilizados no sistema da ANPD (Autoridade Nacional de Proteção de Dados).
Trata-se de um órgão federal cuja função é editar e elaborar normas e fiscalizar procedimentos relacionados à gestão e à proteção dos dados de usuários.
Prerrogativa de corrigir, atualizar ou modificar os dados
Os usuários, ao tomarem conhecimento do teor dos dados que estão armazenados no sistema, têm a liberdade de editar, corrigir ou ratificar as informações sobre si mesmos, que constam no registro das clínicas, desde que isso não interfira nas obrigações inerentes aos registros médicos.
Nesse sentido, como mencionei anteriormente, existem outras leis ligadas à área da saúde que podem ser conflitantes em relação à LGPD.
O caso de maior destaque é a possibilidade que a nova legislação oferece de os usuários solicitarem a exclusão dos usuários.
De acordo com a legislação médica, as informações de prontuário precisam ser armazenadas por até 20 anos.
Isso significa que a LGPD na saúde acaba se sobrepondo a essa obrigação, exigindo cautela entre os médicos e até a busca de assistência legal em casos de conflito.
Principais desafios para implantação da LGPD na saúde?
Para o setor da saúde, a implementação da LGPD vai ser ainda mais desafiadora, uma vez que os dados coletados, armazenados e processados nesse segmento são considerados pessoais e sensíveis, requerendo um tratamento ainda mais rigoroso.
Esses desafios, porém, não irão se restringir aos esforços técnicos e investimentos que precisam ser realizados para a implementação da lei dentro do prazo.
Será preciso disseminar a cultura de tratamentos dos dados em todos os níveis, do gestor de uma clínica ao recepcionista.
Não estou dizendo que os softwares de gestão não são importantes, pois são a peça-chave para a proteção de informações.
Entretanto, não podemos esquecer da capacitação de pessoal, pois sem isso, os riscos de vazamento e uso indevido irá permanecer.
Logo, a LGPD na saúde irá mudar conceitos, aprimorando boas práticas que, no fim das contas, são benéficas para ambas as partes – instituição e pacientes.
Afinal, no momento em que é garantida a confidencialidade, o nível de confiança das pessoas aumenta – o que pode ser uma vantagem competitiva importante no mercado.
Além do mais, preciso reforçar que a regulamentação para a saúde não é clara, ou seja, não há especificação em relação a quais dados poderão ser trocados ou não.
Isso é principalmente dúbio pensando que é preciso realizar troca de dados entre hospitais e operadoras de saúde, por exemplo.
Há, ainda, a confusão gerada pelo fato de haver outras leis incidindo sobre o setor, como a que determina que o prontuário deve ser armazenado por até 20 anos – se sobrepondo à LGPD na saúde, que dá o direito ao titular de solicitar a exclusão de seus dados.
Tudo isso ainda precisará ser melhor esclarecido e, quem sabe, obrigando a criação de regras mais específicas para o segmento.
Como funciona o consentimento de dados dos pacientes?
De acordo com a lei, o consentimento deve ser uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Isso significa que eles apenas podem ser coletados e armazenados em um sistema com a sua autorização prévia.
Isso vale tanto para os prontuários, que serão criados a partir de agora, quanto os dados que já estão cadastrados no sistema ou em papel – o que irá requerer que as clínicas procurem os pacientes para buscar essa autorização.
Esse consentimento deve ser obtido por escrito ou através de outro meio que manifeste sua vontade, lembrando que ele pode ser revogado a qualquer momento, mediante manifestação expressa do titular.
Porém, destaco novamente que a coleta de determinadas informações é inerente e obrigatória na assistência médica.
Portanto, enquanto a LGPD na saúde não traz pontos mais específicos sobre os registros já obrigatórios de dados nos atendimentos, é importante esclarecer aos pacientes que certas informações são necessárias e que elas serão devidamente protegidas nos termos da lei.
Como garantir a segurança de dados com a LGPD na saúde?
Grande parte dessa proteção é garantida através de processos claros de trabalho.
As tecnologias e ferramentas auxiliam nesse ponto, mas é a mudança na cultura que irá garantir a segurança de dados com a LGPD na saúde.
É preciso entender como os dados transitam dentro e fora da instituição. E, a partir disso, orientar o quadro de colaboradores, corpo clínico e quadro administrativo, para que a manipulação das informações ocorra sem ferir a lei.
Para exemplificar, caso um parente chegue a um hospital requerendo informações de um paciente, é o recepcionista que irá avaliar como deve ser o procedimento e que dados podem ser repassados.
Ou seja, a ferramenta é o facilitador, uma vez que permite que a consulta seja realizada. Mas cabe ao fator humano saber como proceder – o que exige treinamento e orientação.
As penalidades para o descumprimento da LGPD
As clínicas que não sabem o que é LGPD ou que não obedecem aos dispositivos da lei estão passíveis de sofrerem punições, de modo que a atuação de compliance na LGPD ganha destaque nesse meio.
Em princípio, a sanção dependerá da gravidade do fato.
De qualquer forma, caso a infração seja devidamente comprovada, a clínica poderá levar advertências ou até mesmo ser compelida a pagar uma multa equivalente a 2% sobre o seu faturamento bruto total, desde que respeitado o limite, cujo valor máximo é de R$ 50 milhões.
Além disso, é possível a determinação judicial da suspensão, total ou parcial, das operações que envolvem o tratamento de dados.
A clínica também pode responder em âmbito judicial por outros tipos de violações à lei.
É importante lembrar que as penalidades começarão a ser efetuadas a partir de agosto de 2021, visando dar um tempo a mais para as empresas se adequarem às novas regras.
A atuação das clínicas para não serem vítimas de sanções da lei
Clínicas, hospitais e consultórios médicos precisam estabelecer medidas a fim de combater práticas proibidas e evitar sofrer sanções em decorrência da atuação em desconformidade com a lei.
Para isso, o recomendado é investir em ferramentas tecnológicas de alta qualidade com a finalidade de garantir o máximo possível de segurança da informação.
De qualquer forma, o advogado especializado em compliance na LGPD pode direcionar melhor quais medidas são mais necessárias.
Além disso, outra ação importante é a realização de auditorias internas com o suporte de profissionais capacitados da área de segurança da informação e de proteção de dados.
O intuito é analisar as operações e verificar aquilo que não está em conformidade com o que dispõe a lei.
Também é importante manter a segurança em softwares e aplicativos digitais. Isso porque o sistema vai guardar informações valiosas sobre os pacientes, e efetuar até mesmo transações bancárias.
Portanto, é necessário obter uma certificação de segurança.
De qualquer forma, é importante que a clínica não se esqueça de elaborar um documento informando a determinação da lei e solicitando o consentimento expresso dos pacientes com relação à coleta e ao tratamento das informações que serão utilizadas pelo estabelecimento de saúde.
A aplicação da LGPD na saúde
A LGPD vem sendo aplicada na área médica de diversas maneiras.
Confira alguns exemplos:
- Previsão de autorização expressa para a coleta de dados dos pacientes, mesmo que ela seja inerente aos atendimentos. Nesse caso, é preciso esclarecer sobre a necessidade das informações, que apenas elas viabilizam a assistência médica e que elas serão devidamente armazenadas dentro de todos os protocolos de segurança previstos;
- Possibilidade de o paciente alterar, corrigir ou excluir seus dados pessoais, desde que isso não interfira nos registros obrigatórios de prontuário;
- Necessidade de criptografia para proteger as mensagens trocadas entre médicos e pacientes;
- Definição de um responsável local para realizar o suporte do sistema.
O que muda com a LGPD na saúde, na prática?
A principal mudança da LGPD é que ela deixa claro que os pacientes são os proprietários exclusivos dos seus dados pessoais.
Os titulares têm direito a serem notificados sobre o tratamento, assim como o de se opor ao seu uso, consultá-los ou fazer retificações.
Outro ponto importante é que a lei separa os dados em 2 categorias, que possuem regras específicas:
- Dados pessoais, que são as informações gerais sobre a sua vida, como nome completo, endereço e número de telefone. Eles não devem ser usados de forma indevida, mas geralmente não incidem em grandes problemas pessoais;
- Dados sensíveis, que são mais problemáticos por envolverem aspectos muito pessoais, como orientação sexual e convicção religiosa. Eles têm seu uso muito mais restringido na lei e, por mais que devam ser armazenados segundo as obrigações médicas, precisam ser devidamente protegidos e compartilhados apenas quando estritamente necessário para a assistência em saúde.
A questão do acesso às informações por parte do titular também é outra mudança significativa. A lei garante a ele a consulta facilitada e gratuita sobre a forma e duração do tratamento dos dados, bem como sobre a sua integralidade.
Além disso, cada clínica e hospital terá que nomear um encarregado de proteção de dados pessoais, que terão como funções:
- Aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e, quando necessário, adotando providências;
- Orientar os colaboradores e os contratados da entidade sobre as melhores práticas em relação à proteção de dados pessoais;
- Executar as demais atribuições estabelecidas em normas complementares, tomando as melhores decisões com base nas regras vigentes.
Como as tecnologias estão se adequando à LGPD na saúde?
Para garantir a segurança dos dados, as tecnologias estão precisando inserir funcionalidades específicas e modificar algumas questões técnicas, incluindo:
- Criptografia de ponta a ponta, que significa codificar os dados para que ela fique inelegível na origem e decodificá-lo no destino, onde estará apenas as pessoas autorizadas ao acesso;
- Sistema de validação de transferência dos arquivos, para garantir a integridade dos dados ao médico, ou seja, que o arquivo não foi corrompido ao longo do processo;
- Acesso individualizado, garantindo que apenas usuários cadastrados tenham acesso ao prontuário do paciente;
- Assinatura digital, que garante a autenticidade das informações registradas pelo médico;
- Sistema de armazenamento seguro, para que os dados estejam de fato disponíveis quando houver necessidade.
A plataforma da Telemedicina Morsch oferece segurança e confidencialidade antes mesmo da entrada em vigor da LGPD na saúde.
Isso significa que pacientes e médicos podem utilizar o sistema tranquilamente, com a garantia de que os dados estarão resguardados e que o acesso é limitado a pessoas autorizadas.
Conclusão
A LGPD surgiu com o intuito de proteger os dados pessoais dos cidadãos e manter a privacidade desses usuários.
Além disso, a lei é útil ao aliar a tecnologia com os avanços na área da saúde.
Nesse sentido, entender o que é LGPD é muito importante.
Afinal, as clínicas precisam se adaptar a essa nova realidade, a fim de se manterem dentro da legalidade, melhorarem a situação financeira e não sofrerem punições previstas pela própria lei.
Entendeu a importância de se manter atualizado diante do surgimento de novas tecnologias?