COMO FUNCIONA A LGPD PARA CLÍNICAS E CONSULTÓRIOS MÉDICOS

9 DICAS DE PRIVACIDADE PARA INSTITUIÇÕES DE SAÚDE

A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor no Brasil nos próximos meses, define que informações pessoais coletadas, tratadas e armazenadas de pacientes por clínicas, consultórios médicos e outras instituições de saúde devem ser protegidas com maior atenção e cuidado, em razão desses dados serem  considerados essencialmente sensíveis, merecendo um tratamento diferenciado e mais rigoroso por parte da lei.

Anteriormente, algumas resoluções já davam um certo amparo às informações de pacientes, mas o novo regulamento veio firmar o compromisso em zelar por dados que têm como titulares os usuários de serviços da saúde, impondo proteção e privacidade a esses dados coletados, armazenados e processados por instituições de saúde.

Os dados dos pacientes em uma instituição de saúde são coletados, processados e tratados desde os sistemas de agendamento online e gestão integrada, que integram médicos, enfermeiros, profissionais de saúde e até mesmo sistemas de farmácia, estando armazenados nos mais diversificados setores dentro da rotina dos estabelecimentos de saúde. Portanto, a segurança das informações coletadas dos pacientes deve ser uma preocupação de todos os profissionais envolvidos no tratamento desses dados, desde a recepcionista que coleta a informação de agendamento e da moléstia informada pelo paciente, o médico em si, o enfermeiro que coleta constantemente informações do paciente, e até mesmo o farmacêutico em seu ponto de venda.

Os dados coletados por clínicas, consultórios e demais setores da saúde são os chamados dados pessoais sensíveis e, de acordo com a Lei 13.709/18, é “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natura”.

Neste setor, os dados sensíveis englobam os resultados de exames, prontuários médicos e eletrônicos, diagnósticos, receitas médicas e demais dados coletados e fornecidos em instituições de saúde.

A LGPD traz em seu texto a questão de tratamento de dados e a forma pelas quais os dados poderão ser utilizados, como nos trechos abaixo:

“… para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;” (LGPD 13709/2018, Art 7º, inciso VIII)

“…É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:” (LGPD 13709/2018, Art. 11, parágrafo 4).

Denota-se que os dados de um paciente somente poderão ser coletados, armazenados e processados em sistemas de informação em saúde com seu expresso consentimento, livre e esclarecido, inclusive de dados retroativos. Ou seja, será necessário revalidar o consentimento de coleta, tratamento e armazenamento de dados pessoais e dados pessoais sensíveis de todos os pacientes que já integram os sistemas, de acordo com as novas diretrizes da LGPD.

No contato com jovens de idade inferior a 12 anos, a LGPD exige ainda um cuidado extra com relação à manipulação dos dados. As informações desses menores só podem ser coletadas mediante a autorização dos respectivos responsáveis legais. É importante lembrar, também, que a forma de comunicação com o titular dos dados deve considerar o perfil do público. Isso quer dizer que, ao falar com uma criança ou jovem, não é permitido usar termos jurídicos ou qualquer outra linguagem de difícil interpretação e compreensão.

Neste contexto, os pacientes terão o direito de saber para que, quando e por quem os seus dados foram utilizados, e poderão restringir o direito de acesso a quem desejarem. Ou seja, terão acesso às trilhas de auditoria e rastreabilidade de todos os dados armazenados podendo, a qualquer momento, suspender seu consentimento, ou pedir que seus dados pessoais sejam total ou parcialmente apagados.

Neste contexto, os pacientes terão o direito de saber para que, quando e por quem os seus dados foram utilizados, e poderão restringir o direito de acesso a quem desejarem. Ou seja, terão acesso às trilhas de auditoria e rastreabilidade de todos os dados armazenados podendo, a qualquer momento, suspender seu consentimento, ou pedir que seus dados pessoais sejam total ou parcialmente apagados.

Um ponto importante da LGPD é que existem situações em que o setor da saúde não está obrigado a colher o consentimento para tratamento de dados. A dispensa ocorre nos casos de proteção à vida ou tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa. 

Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

A gestão dos dados em uma clínica, ou mesmo em um consultório, deverá mapear os processos de armazenamento, processamento e transferência de dados pessoais em todos os meios, incluindo papel e digital. É com base nesse levantamento que serão aplicados os controles de proteção e salvaguarda legal.

Para as clínicas, consultórios e demais instituições de saúde se adequarem a Lei Geral de Proteção de dados, devem efetuar o levantamento das seguintes informações:

  1. Fazer uma identificação de todos os dados coletados e armazenados pelo estabelecimento;
  2. Levantamento de pacientes (novos e antigos), colaboradores, prestadores de serviços, parceiros e sócios. É necessário que essas informações sejam categorizadas, monitoradas e, principalmente, rastreadas;
  3. Verificar com quem compartilha os dados dos pacientes;
  4. Revisar as regras de privacidade para que fique muito bem definido quem poderá acessar, controlar, processar e transferir os dados;
  5. Revisar os termos de consentimento assinados pelo paciente e informá-lo para que, quando e por quem os seus dados foram utilizados, bem como a possibilidade de solicitar a exclusão desses dados;
  6. Investir em proteção física e virtual – as informações necessitam ser armazenadas em ambientes comprovadamente seguros e controlados;
  7. Implantar soluções de proteção e segurança, com redes criptografadas e sistemas de monitoramento;
  8. Controlar as informações transmitidas aos planos de saúde, questionando como estas instituições tratam os dados pessoais de seus pacientes;
  9. Em caso de hospedagem desses dados em servidores estrangeiros (serviços cloud), verificar se esses países têm regulamentação sobre a segurança da informação.

Cumpre ressalta que, para o uso de inteligência artificial, as instituições de saúde terão de explicar ao paciente o que exatamente será feito com seus dados e como será o auxílio desta tecnologia no tratamento.

Com tudo isso, vemos que é uma legislação que exige evidência, justificativas e muita documentação e, como parte das boas práticas de governança à gestão de saúde, deverá ser implementado processos e controles com o objetivo de reduzir riscos de vazamentos ou perda de informações dos pacientes.

Convém afirmar que a adaptação das clínicas de saúde e consultórios à nova lei é imprescindível, pois caso não estejam em conformidade com a LGPD e ocorra o descumprimento de regras mínimas, poderá pagar uma multa correspondente a 2% do faturamento do estabelecimento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais, além de punições relativas a resoluções previstas pelo Conselho Federal de Medicina (CFM).

É preciso ter ciência que, além das multas, permitir problemas como vazamentos ou acesso e uso indevido de dados de pacientes pode trazer prejuízos irreparáveis às clínicas, consultórios e estabelecimentos de saúde pois, além dos danos à sua imagem e reputação, há o pagamento de indenizações às vítimas, além das penalidades previstas na LGPD. Por isso, mais do que apenas mudar suas práticas, essas instituições têm de rever suas políticas de privacidade e tratamento de dados, e inovar sua cultura.

Ademais, apenas para ilustrar os cuidados que devem ser adotados e a repercussão do que pode ocorrer, uma falha de segurança do aplicativo E-Saúde do Ministério da Saúde, que reúne informações pessoais e dados sensíveis sobre a saúde dos cidadãos brasileiros (histórico de medicamentos, consultas agendadas) resultou no vazamento destes dados de milhões de usuários do SUS.

Em tempos de desejo de retomada da economia, não é inteligente colocar em risco os dados dos clientes ou a credibilidade. Sairão na frente as organizações que aproveitarem os próximos meses para se adequarem, seja buscando o apoio de especialistas, treinamento ou aderindo a ferramentas que facilitem o processo de adequação à LGPD.

Autores:

Paulo Salvador Ribeiro Perrotti

Advogado, Consultor LGPDSolution e Professor da Pós Graduação de Cyber Security da Faculdade de Engenharia de Sorocaba (FACENS)

Aline Figueiredo

Advogada e Consultora LGPDSolution

Sobre o Autor Paulo Perrotti

Sócio de Perrotti e Barrueco Advogados Associados, formado pela Pontifícia Universidade Católica de São Paulo – PUC/SP, Presidente estatutário da Câmara de Comércio Brasil-Canadá, com especialização em Direito Canadense e de Québec pela Université de Québec à Montreal – UQÀM, possuindo Pós Graduação em Administração de Empresas pela Fundação Getúlio Vargas de São Paulo – FGV/SP, especialização em Direito de Informática (LLM) pelo IBMEC/SP, Mercado Financeiro pelo Instituto Finance e Responsabilidade Social pela ESPM/SP. Professor de Cyber Security na Pós Graduação da Faculdade de Engenharia de Sorocaba (FACENS). Inscrito na OAB seção São Paulo, atuou no escritório Pinheiro Neto Advogados, foi consultor jurídico de empresa pertencente ao ramo da Tecnologia da Informação sob controle do Bank Of America e atuou na área de Fusões e Aquisições em empresa própria e de terceiros. Atuou ainda como diretor executivo do Instituto de Desenvolvimento de Marketing – IDM. Premiado com a Comenda de Valores Jurídicos pela Academia Brasileira de Arte, Cultura e História, bem como Nobre Cavaleiro de São Paulo concedido pela Defesa Civil da Cidade de São Paulo. Possui título de especialização em Business Intelligence pela Dominican College of San Raphael e em Técnicas de Negociação pela Berkley University. É consultor de diversas entidades do Terceiro Setor. Autor do Livro “Empresas Familiares – Aspectos Jurídicos e Estratégias Para Uma Boa Gestão” – Editora Thomson-IOB, 2007. Autor da Obra “Manual de Direito Imobiliário – Como Evitar Riscos na Aquisição de Imóveis no Brasil”, bi-língue – Inglês/Português, em conjunto com o Dr. Nivio Terra. Autor das Obras “Forms of Association and Tax System in Brazil”, em Inglês, tiragem própria e “Manual de Fusões e Aquisições”, tiragem própria.

Redes Sociais:

Deixe um Comentário:

Top