A lei geral de proteção de dados na área da saúde
A Lei Geral de Proteção de Dados (LGPD), foi sancionada em 2018, mas entrou em vigor em 2020, trouxe consigo uma série de regulamentações para preservar informações dos cidadãos brasileiros, e o setor da Saúde não está isento dela.
E é sobre isso que vamos falar aqui; a LGPD na saúde.
Desde a implementação da Lei nº 13.709/18, as instituições de saúde precisam redobrar a responsabilidade sobre a coleta, o armazenamento e a utilização dos dados dos pacientes que, por sua vez, precisam conceder autorização para isso.
As empresas que digitalizaram seus processos de atendimento e cuidado ao paciente podem ter certa vantagem na hora de armazenar os dados dos usuários.
No entanto, as instituições que ainda utilizam de processos manuais e, por vezes, feitos em papel, podem ter um pouco mais de dificuldade na hora de conduzir esses dados com mais responsabilidade.
Mas, afinal, você conhece os impactos da LGPD na Saúde?
Termos que você verá nesta página
LGPD
A Lei Geral de Proteção de Dados (L. 13.709/18), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de assegurar direitos fundamentais do individuo, como o livre desenvolvimento da personalidade natural e a privacidade.
Dado Pessoal
Qualquer informação relacionada a um indivíduo identificado ou identificável, sejam objetivas ou subjetivas.
Titular
É a pessoa natural à quem aquele dado pessoal pertence. Todos nós somos também titulares de dados pessoais, e portanto, protegidos pela LGPD.
Tratamento de dados
Inclui toda operação realizada com dados pessoais, como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, eliminação, entre outros.
Autodeterminação informativa
É o direito que todos os titulares possuem de exercer, de algum modo, controle sobre seus dados pessoais, garantindo, em determinadas circunstâncias, decidir se a informação pode ser objeto de tratamento por terceiros, bem como acesso direto para exigir correção ou cancelamento de informações. É o principio que regula a Lei Geral de Proteção de Dados.
Controladores e operadores de tratamento no setor de saúde pública
Controlador é o responsável de fato e de direito pelo tratamento dos dados pessoais do titular, vez que a ele compete o poder de decisão quanto ao tratamento.
Esse agente pode ser tanto Pessoa Física, por exemplo na figura de médicos ou dentistas Odontologia, respectivamente, quanto Pessoa Jurídica, na forma de Unidades de saúde pública, hospitais, laboratórios, operadores de saúde, clínicas médicas, entre outros.
Operador é qualquer agente que realize o tratamento de dados pessoais em nome do Controlador, e também pode ser tanto Pessoa Física quanto Pessoa Jurídica.
O Operador, portanto, não detém o poder de decisão sobre os dados, apenas realiza o tratamento destes.
Podemos associar esse agente, desde o recepcionista, passando pela equipe de enfermagem e toda equipe muldisciplinar até o especialista de TI ou à equipe de segurança, seja terceirizada ou não.
Atendendo às exigências legais
A Lei Geral de Proteção de Dados n.º 13.709/2018, a LGPD, está vigente no Brasil desde 18.09.2020 e estabelece regramento específico para o tratamento de dados pessoais, prevendo direitos, deveres e obrigações relacionadas às diversas operações do setor público e privado.
Para cumprirem com o tratamento de dados pessoais nos termos estabelecidos legalmente, os controladores e operadores precisam seguir as determinações da LGPD, que estipula uma série de medidas; desde a conscientização e aculturamento interno até a alteração de procedimentos e documentos jurídicos.
A fim de tornar o processo de adequação eficaz, a Lei estabelece a necessidade de adoção de boas práticas, através de análise de consultoria especializada (jurídica e técnica), utilização de ferramentas de segurança da informação, qualificação profissional, dentre outros métodos que devem ser avaliados conforme a realidade de cada empresa.
Os processos de adequação são possibilitados através da criação e manutenção de programa de governança de dados pessoais, que assegure de forma efetiva a proteção
e legitimidade dos dados pessoais.
Para o setor da saúde a exigência é ainda maior, pois o cerne deste setor trata dados sensíveis, dados especialmente protegidos pela LGPD.
Natureza das informações pessoais
O que é “Dado Sensível”?
São os dados que possuem maior potencial lesivo, cujo tratamento pode ensejar a discriminação do seu titular.
DADOS DE SAÚDE SÃO
SEMPRE DADOS SENSÍVEIS!
O artigo 5º, II da LGPD estabelece taxativamente os dados sensíveis: dados referente à origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; saúde ou à vida sexual; dado genético ou biométrico.
O tratamento de dados pessoais sensíveis deve ser realizado com cautelas, ainda maiores, principalmente no que se refere a legitimidade de uso e segurança da informação.
O foco deve ser sempre no atendimento aos princípios e direitos dos titulares.
Àrea da saúde pública e a LGPD
Entre todos os setores que utilizam informações pessoais para diferentes finalidades, a área da saúde pública é uma das mais impactadas pela LGPD.
O tratamento de dados sensíveis ocupa papel essencial no desempenho das atividades do setor, desde o momento inicial de atendimento até os processos mais complexos como para a personalização de tratamentos e medicamentos.
Acrescente-se o fato de que a utilização de ferramentas tecnológicas e a necessidade de compartilhamento de informações, impele alto risco as operações que tratem dados pessoais.
Por essa razão, é preciso ter muita cautela no tratamento de dados pessoais obtidos no campo da saúde seja pública ou privada, visto que estes não podem ser mantidos sem a devida proteção.
No tocante aos pacientes, um dos maiores impactos que a LGPD na Saúde traz é que, a partir de agora, todos os usuários devem consentir com a utilização de seus dados.
Para isso, a instituição deve fazer esta solicitação de forma clara, explícita e transparente. Para que dessa forma o usuário não tenha dúvidas em relação à utilização de seus dados.
Além disso, o paciente tem o direito de restringir seus dados, saber o destino de cada informação coletada pelas instituições e, também, pode solicitar a exclusão das informações armazenadas..
O consentimento deve ser uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Ou seja, deve ser sempre por escrito e com finalidade precisa, instrumentos genéricos não são válidos nos termos da lei.
Nesse contexto, o paciente deve sempre estar totalmente informado dos procedimentos, dos riscos e o tempo do tratamento médico e que cuidados serão tomados para a proteção de seus dados pessoais.
O compartilhamento permitido por lei
É importante ressaltar que a LGPD não se aplica a todos os dados existentes, havendo poucas exceções quanto à não aplicação da Lei no trânsito de dados.
Em tais ressalvas, dentre as que podem ser aplicadas na área da saúde podemos destacar dados que dizem respeito à Segurança Nacional e dados para fins jornalísticos
e acadêmicos.
Um exemplo recente sobre tais exceções, é o ocasionado pela pandemia da Covid-19, onde os dados sobre a doença devem obrigatoriamente ser compartilhados
com o Ministério da Saúde para o devido mapeamento da situação pandêmica.
E o que devemos fazer?
A mudança no tratamento de dados dos pacientes não se resume apenas às informações coletadas nos prontuários preenchidos a partir de agora. Muito pelo contrário!
Os dados já armazenados pelas empresas, sejam por meios digitais ou em papel, também precisarão de autorização explícita do paciente.
E mais: desde a coleta até o armazenamento das informações do usuário, todo o processo deverá ser criptografado e armazenado com assinaturas digitais em bancos de dados seguros.
É preciso, também, estruturar boas práticas relacionadas à LGPD. Inclusive em relação a atendimentos telefônicos e teleatendimentos.
Para isso, um ponto a ser trabalhado dentro das instituições da área da Saúde é o treinamento e capacitação contínua dos profissionais, da recepção à gestão.
O artigo 46, §2º, menciona que as medidas de segurança, técnicas e administrativas para proteção de dados pessoais devem ser observadas desde a fase de concepção do serviço até a sua execução.
Isso apresenta um conceito fundamental para a proteção da privacidade dos dados pessoais denominado Privacidade desde a Concepção (Privacy by Design).
A abordagem de Privacidade desde a Concepção é caracterizada por medidas proativas, e não reativas. Ou seja, essa abordagem antecipa e evita eventos invasivos de
privacidade antes que eles aconteçam. Desse modo, não espera que riscos de privacidade se materializem nem ofereçam soluções para as infrações de privacidade
após a ocorrência, mas visa impedir que eles ocorram.
Em resumo, a Privacidade desde a Concepção vem antes do fato, não depois.
O setor da saúde deve aplicar este conceito desde o momento inicial de atendimento e anamnese dos pacientes até a finalização do tratamento, incluindo a escolha de ferramentas adequadas de comunicação, tanto nas relações titular-controladores e controladores-operadores.
Exemplos de boas práticas em LGPD
Trazendo isso pra área da saúde, os hospitais, as operadoras e demais unidades de saúde pública e privadas, devem, portanto, adequar o estabelecimento às normas vigentes e criar Programas de Governança e Privacidade para realização de análises e mapeamento dos dados pessoais coletados, e a forma como são tratados.
Além disso, é válido que haja treinamentos entre todos os profissionais, desde auxiliares até gerentes, para que as medidas adotadas de proteção de privacidade sejam passadas aos funcionários diretos, contratados e terceirizados.
Atendimentos telefônicos
É importante que quaisquer atendimentos telefônicos que envolvam troca de dados de usuários (agendamentos, datas de consultas, exames…) sejam iniciados sempre com confirmação de, no mínimo, 3 informações de segurança. Por exemplo: Nome, Hygia e CPF. Ou nome, Hygia e RG.
Nenhuma informação acerca de qualquer usuário, até mesmo uma confirmação de data de agendamento, deve ser fornecida sem confirmação prévia desses dados.
Tratamento de prontuários
Os prontuários devem ser manuseados, transportados e acondicionados de modo que os dados dos usuários não fiquem expostos ou visíveis a quem circule no ambiente.
Esta preocupação estende-se também aos carrinhos de transporte dos mesmos.
Uma excelente estratégia é mantê-los sempre com a capa virada para baixo ou coberta por uma folha em branco.
Referências e mais informações
Prefeitura Municipal de Ribeirão Preto
https://www.ribeiraopreto.sp.gov.br/portal/coderp/lgpd-lei-geral-de-protecao-de-dados
Escola Politécnica da USP – Cursos
https://www.poli.usp.br/comunicados-internos/43395-cursos-sobre-lei-geral-de-protecao-de-dados-pessoais-lgpd.html
CIP – FMRP – USP
https://cip.fmrp.usp.br/perguntas-frequentes/lgpd/
GOV.BR – Guias e Modelos Operacionais
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd
SERPRO
https://www.serpro.gov.br/lgpd
LGPD na Íntegra
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
[last_modified_date]