Clínicas médicas, hospitais, consultórios e demais estabelecimentos na área da saúde tiveram até agosto de 2020 para adequar seus sistemas às novas sanções da Lei Geral de Proteção de Dados (LGPD).
A Lei Geral de Proteção de Dados, ou simplesmente LGDP como conhecemos hoje, pode ser considerada como uma lei que protege os dados pessoais dos usuários.
A LGPD na Saúde ainda deverá ter mudanças, mas profissionais da saúde e diretores dessas instituições devem estar atentos para adequar seus processos e culturas internas de forma a garantir a segurança de dados de seus pacientes.
É importante o conhecimento das alterações e interagir desde já especialistas da área de TI e serviços que atendam essas exigências. Isso porque as novas regras para segurança de informações de pacientes preveem penalidades severas para instituições que não cumprirem as normas, com multas que podem chegar a R$ 50 milhões.
Publicada no Diário Oficial da União em agosto de 2018, a lei número 13.709 fecha o cerco contra o compartilhamento de informações de clientes/pacientes sem consentimento.
A lei pretende acabar com o mercado de dados pessoais para fins comerciais sem a autorização do usuário, como por exemplo, a venda de informações pessoais inicialmente coletadas para outro fim a outras empresas.
A lei também tem por objetivo aumentar a segurança de informações confidenciais. Por isso, tratará com mais rigor os dados passados entre os sistemas das próprias instituições da área da saúde, entre clínicas e hospitais, laboratórios ou operadoras de saúde. Além de precisar ser autorizado pelos pacientes, o compartilhamento destas informações só poderá ser feito se as mensagens forem criptografadas, ou seja, codificadas.
Confira a seguir por que o governo federal acelerou a aprovação desta lei, o que muda com a LGPD na saúde, como estar preparado para as mudanças e quem fiscalizará as empresas.
Seguem as mudanças:
- Dados de pacientes só poderão ser coletados e armazenados em sistemas com a autorização dos mesmos. Isso vale tanto para prontuários que serão criados daqui para frente quanto para dados que já estão no sistema. Isso quer dizer que as clínicas médicas terão de ir atrás dos pacientes já cadastrados no sistema para buscar esta autorização;
- A medida anterior vale para toda transação de informação, não necessariamente só para a parte eletrônica, ou seja, dados registrados em papel, por exemplo, também precisarão da autorização;
- Mensagens trocadas entre médicos e pacientes via Whatsapp ainda poderão ser feitas, mas além da necessidade de serem criptografadas (o que esta rede social já faz), as caixas postais com mensagens persistentes também terão de ser protegidas, já que contêm identificação da pessoa;
- Empresas terão de nomear um responsável interno para proteção dos dados ou terceirizar a gestão de segurança de informação, conforme as normas de contratação de parceiros de negócios, como a norma ISO 27.001 e ISO 27.799 (esta é especial para a área da saúde);
- Se a empresa contratada para proteção dos dados dos pacientes não tiver um sistema realmente seguro e houver qualquer fator que mostre quebra deste protocolo, o contratante do serviço também é responsabilizado pelo ato;
- Os pacientes terão o direito de saber quais dados deles constam no sistema e para que finalidade essas informações serão utilizadas. Estes dados também deverão estar disponíveis para a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que editará normas e fiscalizará procedimentos relacionados à segurança dos dados pessoais dos usuários;
- Os dados pessoais dos pacientes, assim como todas as transmissões de informações no sistema, deverão ser criptografados e, depois de cumprirem o objetivo; devem ser apagados;
- O presidente da Sociedade Brasileira de Informática em Saúde (SBIS), Luis Gustavo Kiatake, esclarece que em princípio o envio de informações para as operadoras referente ao faturamento não precisará de consentimento, mas se houver dados clínicos mais detalhados, como um relatório médico, já não há clareza absoluta sobre a necessidade do documento.
A LGPD prevê multas elevadíssimas a estabelecimentos que descumprirem as normas. O valor pode chegar a 5% do faturamento bruto da empresa responsável ou a um teto de R$ 50 milhões.
Para se blindar para este tipo de situação, as clínicas e hospitais devem, desde já, contratar serviços com tecnologia de ponta, que garantam de fato a segurança dos dados dos pacientes.
Para o setor da saúde o assunto é uma via de mão dupla e que precisa de atenção redobrada em ambos sentidos.
Afinal, os hospitais lidam diariamente com diversos dados. Além disso, esses grupos precisam mantê-los seguros por um longo período.
Precisamos saber quais informações merecem atenção, antes de pensar em como protegê-las.
Toda informação gerada no ambiente da saúde sobre um paciente é relevante, até mesmo a senha da recepção pode constatar o horário de chegada do paciente na unidade de saúde.
As unidades de saúde geram informações sobre os pacientes e sobre si, por isso a importância de resguardá-las.
Informações patrimoniais
Financeiras;
Dados de pesquisas;
Contratos;
Aquisições;
Entre outras.
Essas instituições devem ter algumas precauções na hora do manuseio e armazenamento desses dados, pois lidam com esses dados e diversas outras informações importantes sobres seus pacientes.
Compreender os processos internos de sua instituição fará com que você entenda quais dados são passíveis de atenção.
Os artigos da LGPD sobre sanções administrativas para quem desrespeitar as regras de tratamento de dados pessoais ainda não estão valendo. Por força da Lei 14.010/20, as sanções entram em vigor a partir de 1º de agosto de 2021
Referências bibliográficas:
Commentaires