A Lei Geral de Proteção de Dados (LGPD – Lei 13.709/18) pode impactar clínicas médicas e hospitais por se tratar de um ramo que é inevitável não ter a solicitação sobre dados pessoais. É de costume que a cada consulta médica, seja em clínicas ou hospitais, nos depararmos com as perguntas sobre nossos dados. Claro, é necessário para o cadastro, mas como esses dados tem sido tratados?
A LGPD foi sancionada no Brasil para garantir mais segurança dos dados, pois as ferramentas digitais utilizadas para busca de informações pessoais estão cada vez mais fáceis de serem encontradas. Sem uma Lei que amparasse os dados, o risco para que houvesse alguma interferência indevida sem uma proteção adequada era grande. E para clínicas médicas e hospitais, os cuidados precisam ser constantes.
QUAIS DADOS DE UM PACIENTE PRECISAM SER TRATADOS?
O impacto da LGPD na saúde já tem sido percebido, pois clínicas médicas, consultórios, hospitais, operadoras de saúde e outras instituições começaram a implantar a nova Lei em sua rotina. A importância dessa segurança reflete em maior clareza para os cidadãos quanto ao tratamento de seus dados.
Veja abaixo os dados que precisam ser tratados nas clínicas e hospitais de um paciente:
- Dados pessoais e dados pessoais sensíveis: os da dos pessoais se resumem em informações gerais sobre a vida do paciente que são registrados desde sua entrada, como nome, endereço, número de telefone, CPF, RG, entre outros. Os dados pessoais sensíveis são orientação sexual, filiação, origem étnica, religião, as características físicas, entre outros.
- Dados registrados no prontuário digital: o histórico de saúde de um paciente também faz parte do tratamento de dados, como a personalização de tratamentos e medicamentos, pois as plataformas de tecnologias de apoio ao profissional de saúde, também utilizam dados pessoais dos pacientes.
POR ONDE COMEÇAR COM A ADEQUAÇÃO DA LGPD?
Para começar, uma revisão de políticas de privacidade precisa ser feita desde clínicas médicas, hospitais e demais instituições da área da saúde, com a análise da coleta e tratamento de dados de seus pacientes para que sejam feitas as adaptações das regras da nova Lei.
A equipe médica também entra nessa adequação, sendo necessário um treinamento da equipe clínica ou área da saúde em adaptação, para que saibam como tratar os dados recebidos e quanto a sua extrema importância e responsabilidade com dados pessoais, além da segurança que precisa ser garantida para seus pacientes.
O uso do prontuário impresso, se possível, deve ser evitado. Por outro lado, o prontuário eletrônico, mesmo armazenando diversos dados pessoais, garante maior segurança. Lembrando que essas informações só poderão ser utilizadas com a autorização íntegra do indivíduo.
COMO ADAPTAR SUA INSTITUIÇÃO À LGPD?
Sabemos que são muitas funções a serem exercidas sobre esse cuidado e zelo com os dados e, para isso, a adaptação para a Lei pode ser direcionada através de consultorias com escritórios de advocacia especializados em direito digital ou um Encarregado de Dados, também conhecido Data Protection Officer – DPO.
A função do DPO é garantir que a empresa trate dos dados seguindo as normas da LGPD. Além disso, a cultura interna da clínica ou serviço de saúde precisa entender quanto a importância no tratamento
dos dados e verificar sempre se eles estão anexados corretamente conforme a Lei vigente. A política de segurança para a equipe do local precisa estar alinhada às orientações recebidas pelo responsável que irá orientar a todos, desde diretores à prestadores de serviços que têm acesso a rede de dados.
Quando a atuação prática entra em cena, há a necessidade de aplicar medidas e controles de segurança, bem como de conseguir demonstrar conformidade e cumprir o princípio da responsabilização e prestação de contas (artigo 5º, inciso X, da LGPD). Ainda que o artigo 41 da LGPD, elenque as atividades do DPO, é sabido que suas responsabilidades irão muito além do que ali foi indicado, trabalhando com a minúcia necessária junto com o Controlador a fim de garantir a proteção dos dados pessoais, objeto do tratamento.
Ter um DPO impacta não somente na nova forma de tratar fluxos e processos internos da área de saúde, mas na continuidade de negócios das instituições. Ter um DPO traz um senso maior de responsabilidade com relação aos dados pessoais e dados pessoais sensíveis dos titulares, organiza melhor a estrutura de gestão interna, com classificação de informações com base em sua sensibilidade, possibilita a escolha de fornecedores preparados para lidar com as questões que envolvam privacidade e proteção de dados pessoais, avalia a melhor forma de fechar contratos, dentre outras ações.
A LGPD não obriga que o DPO seja certificado ou tenha exercido de terminada função, apenas, em seu artigo 41, no § 1º, dispõe que as informações do DPO deverão ser divulgadas publicamente. Logo, fica clara a importância desse profissional dentro da instituição, o qual pode ser terceirizado para se obter esta especialização e in dependência.
Mapear processos e analisar ris cos de uma instituição de saúde é uma das tarefas mais complexas para os profissionais de privacidade. O data mapping de um hospital, a título de exemplo, é um dos mais difíceis de ser elabora do. E como definir uma base legal (artigo 7º da LGPD)? Ainda que o consentimento não seja a resposta para tudo (como muitos pensam, erroneamente), quando se fala em dados sensíveis, sua força é notória. É salutar a compreensão de que aqui serão tratados, documentos como prontuários médicos, exames e receitas. Haverá a necessidade de criar fluxos e processos para atendimentos de pacientes e seus acompanhantes, agendamento de consultas, elaboração e entrega de exames, acompanhamento de cirurgias, armazenamento e administração de medicações, atendimento aos planos de saúde, revisão de contratos com terceiros e etc.
O artigo 46 da LGPD estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Reflitamos: Como controlar acessos aos prontuários dentro de um hospital. sejam eles físicos ou eletrônicos, por exemplo? Como supervisionar a utilização de crachás, para que somente pessoas autorizadas tenham acesso à determinados setores? Como organizar um cronograma de treina mentos, considerando as extensas horas de trabalho?
Além das situações mencionadas anteriormente, salienta-se, ainda, que além da LGPD, outras Leis e regulamentos deverão ser considerados, tais como o Código de Ética de Medicina, as Resoluções da ANVI5A. Resoluções do Ministério da Saúde, normas da Agência Nacional de Saúde Suplementar (AN5), dentre outros, aumentando a essencialidade de análises e estruturas organizadas com prudência e atenção.
E as referências não são apenas dados de saúde, dados genéticos e dados biométricos (artigo 11 da LGPD), mas também, dados pessoais de crianças e adolescentes (artigo 14 da LGPD). Como coletar e fazer a gestão dos consentimentos dos pais e/ou responsáveis legais? Como serão os fluxos de dados com as assistências sociais e os planos de saúde?
Elaborar um RIPD (Relatório de Impacto à Proteção de Dados) e criar um plano de ações e de governança, por exemplo, são responsabilidades primordiais, no entanto, deve-se pensar nas seguintes etapas: revisar fluxos, processos, políticas e demais documentos de privacidade, estabelecer um canal de comunicação com o DPO, criar comitês de priva cidade e/ou riscos, criar workflow para atendimento aos titulares de dados pessoais, elaborar um plano de resposta a incidentes, dentre outros, sempre levando em consideração a sensibilidade das situações e dos dados pessoais que serão tratados.
Diante do exposto, no que tange às instituições de saúde, fica clara a necessidade de que o DPO conheça não somente a matéria de proteção de dados pessoais, gestão de pessoas, processos e de segurança da informação, e também, domine o segmento da área em que vai atuar.
A área de saúde é intensa e peculiar, primando por profissionais não somente experientes e conhecedores dos processos internos, além de apresentarem capacitação e atuarem com sua complexidade e sensibilidade.
Texto por Jonas Moreira – Especialista Lifelong Learning Gestão em Oftalmologia
