LGPD na saúde: o que é e quais os seus principais impactos
Você provavelmente já ouviu falar sobre a Lei Geral de Proteção de Dados (LGPD) e seus impactos na saúde. Em vigência desde 2020 no país, a lei vem gerando uma série de mudanças na rotina de instituições médicas. Logo, se a sua clínica ainda não se adequou às exigências do documento, é hora de mudar isso.
No texto abaixo vamos esclarecer dúvidas como:
- O que trata a Lei Geral de Proteção de Dados?
- Quais são os principais impactos percebidos na área da saúde?
- Como se adequar a eles?
Continue a leitura e confira!
O que é a Lei Geral de Proteção de Dados?
A LGPD (Lei 13.709/18), sancionada em agosto de 2018, com vigência integral em 2020, objetiva a proteção do uso dos dados pessoais dos cidadãos, impondo regras sobre o tratamento desses dados pelas empresas.
Ou seja, o principal objetivo da Lei Geral de Proteção de Dados é garantir aos indivíduos a proteção de suas informações pessoais que são compartilhadas nos meios digitais. Assim como promover o livre acesso dos proprietários aos seus dados pessoais.
Como a Lei Geral de Proteção de Dados impacta a área da saúde?
Como dissemos acima, a nova lei traz regras mais firmes em relação ao uso e tratamento dos dados pessoais dos cidadãos brasileiros. Isso claro, afeta diretamente em diversos procedimentos internos em instituições médicas.
Afinal, no dia a dia na área da saúde são coletados inúmeros dados para o atendimento dos pacientes. A maioria deles, com informações sensíveis e extremamente importantes para sequência do tratamento.
Logo, com a Lei Geral de Proteção de Dados, deve-se reavaliar a forma como esses dados são documentados. Portanto, isso afeta tanto a forma de coleta dessas informações sensíveis, quanto a gestão de armazenamento interno das clínicas.
A não conformidade com as exigências da LGPD impõe sanções severas às instituições que não se adequarem.
Principais informação da Lei Geral de Proteção de Dados
Listamos algumas das principais informações da Lei Geral de Proteção de Dados que são importantes para instituições de saúde tomarem conhecimento. Confira:
A disciplina da proteção de dados pessoais tem como fundamentos:
- o respeito à privacidade;
- a autodeterminação informativa;
- a liberdade de expressão, de informação, de comunicação e de opinião;
- a inviolabilidade da intimidade, da honra e da imagem;
- o desenvolvimento econômico e tecnológico e a inovação;
- a livre iniciativa, a livre concorrência e a defesa do consumidor; e
- os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
- para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
- quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
- a) cláusulas contratuais específicas para determinada transferência;
- b) cláusulas-padrão contratuais;
- c) normas corporativas globais;
- d) selos, certificados e códigos de conduta regularmente emitidos;
- quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Sanções pelo não cumprimento das regras
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o ponto citado anteriormente;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
Leia também: Sigilo médico na telemedicina: como lidar com as informações do paciente?
LGPD e Saúde: Como deve ser feito o consentimento de dados?
De acordo com a LGPD na área da saúde, o consentimento deve ser feito através de “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
O consentimento pode ser obtido de várias formas distintas, por escrito, por meio de sistemas eletrônicos etc. É preciso apenas que fique claro para o usuário o tipo de uso que será feito de seus dados. Contudo, o paciente ainda tem a liberdade para revogar a autorização deste uso a qualquer momento.
Mudanças na rotina médica
A Nova Lei Geral de Proteção de Dados traz, portanto, mudanças significativas para a gestão de instituições médicas. Fizemos uma lista com os principais impactos que já estão sendo percebidos. Confira:
Prontuários eletrônicos
Os prontuários eletrônicos foram um grande avanço para a rotina em instituições de saúde. Entretanto, com a Nova Lei Geral de Proteção de Dados deve-se estabelecer regras mais claras quanto ao seu uso.
Por exemplo, os dados armazenados no prontuário eletrônico devem passar pela autorização expressa dos pacientes. Assim como devem ser criadas políticas registradas e um sistema de gestão de segurança de informação.
Em suma, nesse caso, deve-se seguir os seguintes protocolos:
- Requerimento de autorização dos usuários para uso de seus dados;
- Proteção dos dados por meio de criptografia;
- Permissão para que os pacientes possam acessar os dados.
Essas medidas devem ser solicitados a todos os pacientes que fizeram uso de um prontuário eletrônico, assim como para os procedimentos de cadastro em papel.
Direito à informação
Quando solicitado dados pessoais dos pacientes, a instituição médica deverá deixar claro para o mesmo para que, quando e por quem serão utilizados esses dados. Os proprietários podem, inclusive restringir o direito de acesso a eles.
Hospedagem de dados
Muitas clínicas médicas utilizam determinados dados de pacientes em servidores estrangeiros, para inúmeros objetivos. Entretanto, com as novas regras LGPD só poderão ser armazenadas informações em bancos de países nos quais a segurança da informação for semelhante à brasileira.
Uso de dados sensíveis
Entende-se por dados sensíveis todas as informações de caráter pessoal e privado a respeito da vida íntima do paciente. São exemplos: sua condição mental e psicológica, orientação sexual, crença religiosa, entre outras.
A lei traz maior rigidez quanto ao recolhimento dessas informações, ressaltando que eles só podem ser requeridas sob comprovada importância para o tratamento médico. Portanto, o paciente tem o direito de saber qual é a finalidade da coleta de seus dados, podendo ainda negá-los.
Softwares
Todos os sistemas utilizados na rotina médica, como softwares de emissão de laudos à distância, por exemplo, devem implementar formas de proteção de dados rígidas.
Por isso, quando for contratar um novo sistema, fique de olho nos critérios de segurança da empresa, de forma a garantir a adequação às regras na nova lei.
O que fazer para adequar sua clínica médica à LGPD?
Como a lei já está em vigor, as instituições que não se adequaram já estão com risco de sofrer sanções pela desconformidade com as medidas impostas. Portanto, a hora de realizar as mudanças é agora.
Para garantir maior segurança nesse processo, indicamos que a sua instituições procure a ajuda de um(a) advogado(a) especializado em uso de dados. Dessa forma, o profissional poderá direcionar de forma mais assertiva as ações necessárias para regulamentação da clínica.
Contudo, fizemos um breve levantamento de algumas medidas mais importantes durante o período de adequação. Veja:
- Investir em recursos tecnológicos que garantam a segurança dos dados;
- Realização de auditorias internas em todos os processos que fazem uso de dados;
- Verificação da adequação à LGPD de todos os softwares e aplicativos digitais utilizados pela instituição na rotina médica.
Segurança de Informação na Mais Laudo
A Mais Laudo oferece o serviço de laudos à distância de uma grande variedade de exames. Todos eles já adequados às regras de segurança impostas pela LGPD.
Nossos laudos contam com assinatura digital e chave de segurança única, tornando-o inviolável. Clique na imagem abaixo e garanta um teste gratuito para avaliar as funcionalidades da plataforma.
Leia mais:
Power BI para gestão hospitalar: descubra como ser mais estratégico
Telemedicina no Brasil: saiba mais sobre a nova resolução do CFM
Novo Código de Ética Médica: conheça as principais mudanças