A LGPD impõe boas práticas de governança e controle na gestão de clínicas e hospitais para a proteção das informações que são coletadas cotidianamente no ambiente de trabalho.
A aplicação da Lei Geral de Proteção de Dados (LGPD) já é uma realidade, e o grande desafio que se apresenta para as clínicas e hospitais é de como se adequar e garantir a segurança de todos os envolvidos no tratamento das informações obtidas.
Na medida em que as atividades humanas passam a ser, cada vez mais, potencializadas pelo uso de tecnologias digitais, há uma exigência natural da sociedade para que levem em consideração a privacidade e a proteção dos dados pessoais em todos os âmbitos. O setor da saúde se sobressai e se destaca mais por ser aquele que mais trata de dados pessoais sensíveis.
Cada vez mais, o fornecimento de dados realizado pelos próprios indivíduos, seja às empresas privadas, seja aos órgãos públicos, abre margem para diversas formas de tratamento, criando um grande mercado de dados pessoais que são vendidos para outras empresas com finalidades diversas, possibilitando a identificação do perfil dessas pessoas sem o seu devido conhecimento.
Cabe lembrar que, mais que adaptação, a LGPD exige uma transformação no ambiente de trabalho em defesa do direito à privacidade, sob pena de pesadas sanções aos hospitais e clínicas que infringirem a segurança das informações coletadas.
Nesta publicação, você encontrará as orientações das boas práticas e a importância das clínicas e hospitais de se adequarem e melhorarem os processos na gestão de dados e segurança do paciente com base na LGPD.
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) Lei Nº 13.709 criada em 2018, mas que entrou em vigor em 2020 estabelece regras a todos aqueles que realizam tratamento de dados pessoais como nome, CPF, endereço, telefone, e-mail e dados sensíveis, como o estado de saúde, sexualidade, religião e entre outros, a fim de que sejam protegidos os direitos fundamentais e essenciais como liberdade, intimidade, vida privada, conforme disposto no artigo 1º da lei.
A LGPD visa proteger o tratamento dos dados pessoais em qualquer tipo de relação e organização. Isto é, no âmbito clínico-hospitalar, tanto os dados de pacientes, quanto de colaboradores, como também de parceiros.
São considerados dados pessoais qualquer informação que diga respeito a uma pessoa natural identificada ou identificável, já citados acima. Existe ainda, o conceito de dados pessoais sensíveis que dizem respeito à origem étnica, questões religiosas, posicionamento político, sindicalização ou ainda, relacionado à saúde ou vida sexual, dados genéticos e biométricos.
A LGPD possui dez princípios, além da boa-fé, que devem ser observados por todos aqueles que tratam dados pessoais. São eles:
– Finalidade;
– Segurança;
– Necessidade;
– Livre acesso;
– Qualidade dos dados pessoais;
– Transparência;
– Prevenção;
– Não discriminação;
– Responsabilização e prestação de contas;
Cabe ressaltar que o objetivo do LGPD não é dificultar o trabalho da clínica ou hospital na aquisição e armazenamento de dados pessoais de um paciente, até porque a coleta de dados é fundamental para um melhor atendimento, mais segurança e na tomada de decisão clínica.
Por que clínicas e hospitais devem se adequar a LGPD?
A LGPD exige que a área da saúde tenha uma política clara e transparente que deve ser amplamente divulgada para seus colaboradores e, também, para os pacientes, visto que além dos dados pessoais, contém dados considerados sensíveis pelo artigo 4º da Lei, pois são aqueles relacionados com a saúde física ou mental de uma pessoa, bem como a prestação de serviços que revelam informações sobre o seu estado de saúde, devendo ser exigido o consentimento explícito dos pacientes, salvo em casos excepcionais.
No segmento da saúde, estima-se que 90% das informações coletadas são dados pessoais sensíveis, que têm determinações específicas na lei.
Dos softwares de agendamento online aos sistemas de liberação de laudos, os dados dos pacientes estão presentes em todos os setores dentro da rotina clínica-hospitalar. Garantir a segurança das informações, portanto, deve ser uma preocupação de todos os profissionais de saúde, quaisquer que sejam.
Abaixo, vamos listar as principais práticas para adequação de clínicas e hospitais a LGPD e a sua importância:
1. INFORMAÇÕES SOBRE A LGPD:
Instruir e capacitar a equipe quanto às regras da Lei Geral de Proteção de Dados por meio de treinamentos de pessoas capacitadas de modo a entender como é feito a classificação de dados pessoais e de dados sensíveis. Definir um membro da equipe para exercer a função de Encarregado de Proteção de Dados (DPO) que deve estabelecer processos e políticas para que as regras sejam executadas em todos os departamentos, juntamente com a equipe de Compliance.
2. TRANSPARÊNCIA COM O PACIENTE:
A legislação exige que haja mais transparência nos processos de coleta e tratamento de dados, uma vez que o principal objetivo da LGPD é o maior controle sobre os dados do paciente. O paciente deverá fornecer de forma consciente e esclarecida as informações e o estabelecimento de saúde deverá explicitar o motivo de tais informações:
– Quais dados serão coletados e qual o propósito disso;
– Se as informações serão compartilhadas com terceiros e motivos do compartilhamento;
– Esclarecer fatores sobre a segurança dos dados;
3. ESCOLHA DAS FERRAMENTAS:
É importante conhecer todas as ferramentas e softwares usados no ambiente clínico e hospitalar e se a fornecedora das ferramentas possui políticas que se enquadram na LGPD. No caso da telerradiologia, a empresa prestadora do serviço remoto também tem responsabilidades sobre os dados fornecidos e coletados.
4. LOGIN E SENHA INDIVIDUAIS PARA A EQUIPE TÉCNICA E MÉDICA:
Ter controle de acesso às informações pessoais é fundamental na rotina de clínicas, hospitais e telediagnósticos.
É muito comum o Centro de Diagnóstico por Imagem ter uma rotatividade maior de técnicos no dia a dia que terão acesso ao sistema para encaminhamento de exames para a Telerradiologia inúmeras vezes.
Implantar LOGIN e SENHA INDIVIDUAIS para cada colaborador que tem acesso ao prontuário do paciente permite o rastreio e maior controle de quem está acessando as informações e para qual finalidade. Também essa ferramenta se torna útil caso haja vazamento de dados, com ou sem intenção, a fim de identificar o usuário e tomar as medidas cabíveis de acordo com a Lei.
5. ADEQUAÇÃO DO TERMO DE CONSENTIMENTO LIVRE E ESCLARECIDO:
É importante que o modelo de TCLE usado seja atualizado com as informações sobre a proteção de dados do paciente, assegurando quais dados serão coletados, para qual finalidade, entre outras informações.
A telerradiologia, desde sua regulamentação pelo Conselho Federal de Medicina (CFM), já determina que haja a autorização do paciente para compartilhamento das informações.
A VX Telerradiologia assegura a proteção de dados do paciente quando recebe o exame do CDI para ser laudado.
Ter um sistema de prontuário eletrônico é o suficiente para cumprimento da LGPD?
O prontuário do paciente é um documento essencial e necessário na assistência à saúde, para o registro e guarda de dados pessoais e informações sobre a história de saúde e de informações adicionais de pacientes. Os dados e informações registrados têm natureza individual e, grande parte deles, é de dados sensíveis, pois estão relacionados diretamente à saúde e à intimidade do paciente e por isso é necessário ter cuidado redobrado.
Dentro do prontuário eletrônico, observando o cumprimento da LGPD, os titulares dos dados têm alguns direitos. São eles:
- Verificar os dados gerados;
- Acessar em qualquer momento os dados armazenados;
- Tornar anônima qualquer informação que revele a própria identidade;
- Revogar o consentimento de utilização;
- Acesso livre à identificação e ao contato do controlador;
As empresas de saúde precisam respeitar esses direitos e fornecer as informações sempre que necessário.
Portanto, ter um sistema de prontuário eletrônico não é o suficiente para o cumprimento da LGPD. É preciso observar e cumprir o sigilo dos dados, armazenamento e tratamento adequado das informações obtidas.
Quais as penalidades?
Aqui está o grande motivo, além de proteger a integridade do indivíduo, pelo qual as clínicas e hospitais devem se preocupar em adequar os centros de saúde conforme a lei: quem não estiver em seus conformes será devidamente penalizado.
As penalizações variam conforme o caso. Segundo o artigo 52º da LGPD, em razão das infrações cometidas às normas previstas, ficam sujeitos às sanções administrativas como multas que podem equivaler a 2% do faturamento institucional, limitadas ao valor máximo de R$50 milhões de reais, além de correr o risco de ter o acesso aos dados bloqueado temporariamente ou totalmente, assim como responder judicialmente, a depender da violação.
No entanto, é importante frisar que as empresas e profissionais da saúde poderão, desde já, sofrer sanções por outros órgãos administrativos, como o PROCON, além de uma condenação indenizatória concedida em favor do paciente ou da vítima que tiver seus dados indevidamente tratados, a exemplo de uma perda de prontuário, rasura e ilegibilidade de documentos, vazamentos e compartilhamento de dados, fotos, laudos com terceiros não autorizados.
A importância de não compartilhar dados pessoais dos clientes
As informações mais comprometidas em uma violação de dados dos pacientes são, de fato, os dados pessoais e sensíveis.
Na rotina de telerradiologia pode acontecer o compartilhamento indevido de fotos, imagens do exame, laudo médico, históricos de assistência médica e até mesmo prontuários clínicos em meios de comunicação que não fazem parte da organização, colocando em risco a privacidade do paciente.
O acesso e o compartilhamento de dados não autorizados caracterizam uma clara violação de dados que infringem a LGPD.
Por isso, é importante que os gestores do CDI juntamente com o Encarregado de Proteção de Dados (DPO) reforcem a importância da proteção dos dados com a equipe, informar o impacto que o vazamento de dados causa e que busquem implementar ferramentas e softwares organizacionais como:
· Login e Senha pessoal e intransferível para cada colaborador;
· Bloqueio ao acesso de sites e hospedagem que não sejam da clínica/hospital;
· Criptografar todos os dados dos pacientes;
O que fazer em caso de incidentes de segurança envolvendo dados pessoais?
Um incidente de segurança com dados pessoais é qualquer evento confirmado ou sob suspeita relacionada à violação na segurança de dados pessoais, tais como: acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, alteração ou vazamento e qualquer forma de tratamento de dados, inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Caso ocorra um incidente de segurança, devem ser adotadas as seguintes medidas:
1. Avaliar internamente o incidente, conforme formulário de avaliação constante no site da Autoridade Nacional de Proteção de Dados (ANPD);
2. Comunicar o Encarregado pelo Tratamento de Dados Pessoais (DPO);
3. Comunicar a empresa;
4. Comunicar a ANPD e ao titular dos dados;
5. Elaborar documentação com a avaliação interna do incidente;
O colaborador deve seguir as orientações dos responsáveis, pois a adoção de medidas por conta própria pode agravar o problema ou danificar evidências do incidente com dados pessoais. Ainda, é importante manter sigilo sobre a comunicação recebida, pois tornar a informação pública pode prejudicar a investigação do suposto incidente com dados pessoais e a identificação do autor da comunicação.
CONCLUSÃO
Antigamente, a questão da privacidade associava-se à busca por alguma forma de isolamento, refúgio ou segredo, o chamado “direito de estar só”. A partir da revolução tecnológica, porém, tal conceito tornou-se mais abrangente.
Então, podemos afirmar que a proteção à privacidade é essencial para o ser humano: todos nós temos direito a não sermos incomodados, a termos nossas comunicações livres de interferência e ao sigilo das informações que foram fornecidas.
A implementação e adequação da LGPD na rotina clínica e hospitalar não pode ser vista como um empecilho ou apenas como uma forma de evitar sanções, pelo contrário, deve ser trabalhada na perspectiva da transparência, ética, boas práticas e do compromisso fundamental com a privacidade e a segurança das informações.
Entretanto, o Compliance de dados e a adequação de acordo com a LGPD resulta à empresa ganhos de credibilidade perante clientes, parceiros e investidores e de vantagem competitiva, além, é claro, de prevenir ou minimizar a extensão das sanções.
Não deixe de se inscrever em nossa newsletter e manter-se atualizado e informado a respeito dos assuntos mais relevantes que envolvem a área da saúde.