A LGPD na saúde é um assunto que vem levantando dúvidas em clínicas médicas, hospitais, consultórios e demais instituições da área da saúde. Há pouco tempo, entidades como o Conselho Nacional da Justiça e Netshoes tiveram seus sistemas invadidos, o que levou a dados particulares vazados.
Em 2018, uma falha de segurança no aplicativo E-Health, desenvolvido pelo Ministério da Saúde, expôs os dados pessoais de milhares de usuários brasileiros do SUS. Por conta de uma brecha no sistema, foram acessados nome do titular, número do cartão, agendamentos, histórico de consultas e outros dados sensíveis dos pacientes. Por conta desses vazamentos, se fez cada vez mais necessário aprovar uma legislação que dê esse suporte e fiscalize a segurança da informação.
O setor de saúde, por sua própria natureza, coleta uma grande quantidade de dados pessoais para prestar serviços aos pacientes. O modo como esses dados dos pacientes são gerenciados está prestes a ser radicalmente alterado, quando a Lei Geral de Proteção de Dados entrar em vigor no Brasil em agosto de 2020.
Segundo uma pesquisa realizada pelo Serada Experian, 85% das empresas ainda não se sentem preparadas para a LGPD. O setor da saúde ocupa a última posição das empresas em conformidade com a lei, ou seja, apenas 8,7% das instituições de saúde estão adaptadas à nova regulação.
Penalidades e multas altíssimas de até R$ 50 milhões ou 2% do faturamento da instituição serão aplicadas às empresas que não estiverem em conformidade com as novas regras.
Qual o objetivo da LGPD na saúde?
A nova lei LGPD afetará todas as empresas, mas na área da saúde, os novos regulamentos darão a cada paciente mais controle sobre os dados pessoais que são coletados, além de informações sobre como essas informações serão usadas e onde serão mantidas.
A lei número 13.709 aprovada irá restringir e assegurar o compartilhamento de informações de pacientes (e clientes no geral) sem consentimento.
A proposta tem como objetivo acabar com a utilização discriminada de informações pessoais para fins comerciais sem autorização do usuário. A lei irá trazer mais segurança para essas informações e tratará com rigor os dados coletados dos clientes seja em clínicas, hospitais, laboratórios ou operadoras de saúde.
Todas as informações coletadas devem ser criptografadas ou codificadas para que não sejam vazadas.
Proteção contra o crime organizado digital
Devemos lembrar que no meio digital existe um conglomerado de informações que são trocadas entre empresas que podem cair nas mãos de pessoas maliciosas. Principalmente no setor da saúde, faz parte da rotina médica repassar informações de pacientes para laboratórios, farmácias, agentes de saúde e outros órgãos.
Devido a esse grande volume de informações pessoais trocadas que esse setor atrai os olhos de quadrilhas do crime organizado digital, que se utilizam das brechas no sistema para realizar sequestro de dados e cometer crimes de extorsão.
Os impactos da LGPD na saúde
Os gestores da saúde precisam ficar atentos às mudanças que a lei trará para a realidade das empresas. As principais estão listadas abaixo!
Exigência de autorização
Os dados de pacientes só poderão ser coletados e armazenados após autorização prévia deles. Isso é válido tanto para fichas e prontuários novos e também os já existentes. Ou seja, isso significa que as empresas deverão ir atrás dos pacientes já cadastrados para obter essa autorização.
Documentos digitais e físicos
A lei vale tanto para documentos, fichas e prontuários eletrônicos quanto os armazenados em papel. A LGPD na saúde se aplica a troca de dados entre diferentes áreas como telemedicina, cobrança de serviços de saúde, SUS, intercâmbio de informações com laboratórios e outros.
Mensagens entre médicos e pacientes
A troca de informações via Whatapp entre médicos e pacientes ou laboratórios e pacientes ainda pode ser mantida normalmente, mas todas as conversas devem ser criptografadas.
Contratação de profissional
Essa lei exige que seja feita a contratação de um funcionário especificamente para controlar essa parte. Um responsável interno ou terceirizado deverá realizar a gestão da segurança da informação dos dados dos clientes, seguindo as normas da ISO 27.001 e ISO 27.799. Em caso de comprovação da insegurança do sistema, tanto a empresa quanto o profissional serão responsabilizados.
Transparência com pacientes
Os pacientes terão direito de ter conhecimento sobre quais dados seus constam no sistema e para que finalidade são mantidos. Poderá revogar esse direito, exigindo a exclusão dessas informações no momento que julgar pertinente.
Controle da ANPD
A Autoridade Nacional de Proteção de Dados (ANPD) será o órgão federal responsável por realizar a fiscalização das empresas com relação à segurança dos dados pessoais dos usuários.
O que fazer para garantir a segurança de dados dos pacientes?
Como já mencionado, o principal objetivo da LGPD na saúde é garantir a segurança dos dados dos pacientes. Para que as empresas do setor se blindem, evitem as multas e ofereçam proteção de dados dos pacientes, o mais indicado é a contratação de serviços tecnológicos de ponta. Saiba mais aqui.
Sistemas e profissionais qualificados
Ter profissionais qualificados da Tecnologia da Informação, bem como sistemas robustos e eficientes pode ser a solução. O primeiro passo é realizar uma auditoria interna com um especialista em segurança da informação para que faça um diagnóstico dos pontos fracos dentro da organização.
O que for identificado como em não conformidade deve ser ajustado e aquilo que estiver em conformidade, mas puder ser melhorado, deve ser otimizado. Os fornecedores de software, banco de dados e provedor de hospedagem devem ser adequados às novas regras.
Certificação de softwares e aplicativos
O segundo passo é obter a certificação de softwares e aplicativos que contém informações confidenciais e pessoais dos pacientes. Os softwares utilizados deverão ser aprovados por instituições como a Sociedade Brasileira de Informática em Saúde (SBIS).
Deve-se providenciar a criptografia de todos os bancos de dados e transações digitais. Obter a assinatura digital também será requisitada, conforme a Lei de Digitalização do Prontuário. Um sistema de gestão hospitalar eficiente e seguro também pode ajudar na preservação das informações médicas.
Criar novas políticas internas
Será preciso rever os processos, criar novas políticas internas, de modo que todos os funcionários estejam conscientes sobre a LGPD na saúde e se adaptem às novas exigências, incorporando as normas nas suas atividades diárias de trabalho, de modo a não comprometer a segurança de informações. Se for necessário deverá ser introduzido isso na cultura da empresa através de treinamentos.
É indicado também criar documentos informativos a serem repassados aos pacientes informando sobre o fluxo de coleta de informações, como é feito, como é armazenado, para passar mais confiança aos usuários.
Custos de investimento
Todas essas mudanças terão altos custos de investimento e envolvem a cultura organizacional da empresa, treinamento e capacitação dos funcionários, além de aquisição de softwares e profissionais específicos de TI, por isso que haverá um certo período de adaptação antes da lei entrar em vigor efetivamente.
Evite deixar para última hora, uma vez que o prazo é apertado. Ignorar essa nova lei não é uma boa ideia, uma vez que arcar com uma multa terá um custo muito mais elevado para a sua empresa, além de prejudicar a reputação da sua instituição.
[avs_toc]