LGPD: como evitar multas e penalidades
A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor e os profissionais da saúde, consultórios, clínicas, hospitais e demais instituições de saúde devem se adaptar às novas regras para evitar multas e penalidades.
A proteção de dados não é uma exigência nova para os médicos. O próprio Código de Ética Médica (CEM) estabelece a obrigação do sigilo a respeito das informações obtidas durante o desempenho das funções médicas.
Para iniciar o processo de adequação à normativa de proteção de dados, é imprescindível entender as principais mudanças no tratamento de dados pessoais e buscar o auxílio de especialistas.
Pensando nisso, elaboramos o artigo de hoje para te ensinar como a LGPD alterou os processos de armazenamento de informações de pacientes. Continue acompanhando!
A LGPD (Lei Nº 13.854)
A Lei Geral de Proteção de Dados (LGPD, Lei Nº 13.853) está em vigor desde setembro/20 e estabelece critérios para a coleta, tratamento, armazenamento e compartilhamento de dados de pessoas físicas.
Essa Lei prevê parâmetros para a coleta, produção, recepção, classificação, acesso, reprodução, transmissão, arquivamento e controle por quaisquer meios (eletrônicos e físicos) e por qualquer pessoa, sejam físicas ou jurídicas (privadas ou públicas). Ademais, define como dado pessoal qualquer informação de uma pessoa física identificável (CPF, RG, nome, endereço, e-mail, data de nascimento, entre outras).
Já os dados sensíveis incluem qualquer informação sobre origem étnica, racial, religião, opinião política, DADOS REFERENTES À SAÚDE, dados genéticos e biometrias que sejam vinculados às pessoas físicas.
Portanto, a LGPD faz parte do cotidiano dos médicos, que lidam de perto com o tratamento de dados pessoais e sensíveis de seus pacientes.
Como evitar multas e penalidades?
A Lei Geral de Proteção de Dados estabelece que qualquer um que causar a outrem dano moral ou patrimonial, coletivo ou individual, em razão da quebra das normas de tratamento de dados pessoais e sensíveis, será obrigado a repará-lo.
O Tribunal de Justiça de São Paulo, define o termo “tratamento de dados” como: “qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
A aplicação das possíveis sanções estabelecidas pela LGPD, podem se estender a todos os envolvidos nos tratamentos de dados, razão pela qual torna-se indispensável o auxílio de uma assessoria especializada para avaliar os processos de informações dos pacientes.
Além do dever de indenizar os danos causados, a LGPD também estabeleceu multas que podem alcançar 2% do faturamento, limitadas ao valor de R$ 50 milhões de reais por infração.
Os profissionais da saúde são responsáveis pelo tratamento de dados pessoais e sensíveis de seus pacientes, e por tal razão devem cumprir os termos da lei.
A seguir, detalharemos os principais aspectos para evitar o descumprimento da nova normativa que já está em vigor.
Cumpra as medidas de segurança e armazenamento
A nova lei determina como os dados pessoais devem ser armazenados (sempre favorecendo o exercício do direito ao acesso às informações pelos titulares). Além disso, também é necessário enviar a confirmação de existência ou dos acessos aos dados, em formato simplificado.
Essa confirmação deve ser enviada em até 15 dias após o requerimento do titular das informações, indicando a origem dos dados, os critérios utilizados para segurança e a finalidade do tratamento.
A LGPD também estabelece a obrigatoriedade de medidas de segurança para garantir a proteção dos dados de acessos não autorizados. A previsão legal também abrange a proteção contra situações acidentais (perda, alteração, tratamento inadequado) de todos os dados armazenados.
Vale ressaltar que as autorizações genéricas para o tratamento de informações pessoais não são mais aceitas. Dessa maneira, é fundamental expressar, em contrato, a necessidade de autorização de tratamento de dados.
O consentimento do titular dos dados pode ser revogado a qualquer momento, cabendo ao tratador dos dados fornecer maneiras gratuitas e facilitadas para isso.
A nova lei também prevê a obrigatoriedade das empresas em nomear um responsável interno para proteção das informações, sendo também possível terceirizar a gestão de segurança dos dados, de acordo com as normas de contratação de parceiros de negócios (ISO 27.799).
Caso a empresa contratada para gerir as informações não possua um sistema realmente adequado e seguro, a quebra de qualquer regra pode responsabilizar os contratantes dos serviços.
Garanta a segurança dos dados dos pacientes
Para se blindar contra multas e penalidades da LGPD, os hospitais e clínicas devem contar com serviços de tecnologia para garantir, de fato, a segurança de todos os dados coletados.
Para isso, o mais recomendado é que as instituições de saúde elaborem uma auditoria interna com um especialista em segurança da informação e proteção de informações pessoais.
Além disso, o auxílio de uma consultoria especializada é imprescindível para verificar o que está ou não em conformidade com a nova lei e suas sanções.
Vale ressaltar que os fornecedores de softwares de gestão, bancos de dados e provedores de hospedagem também devem estar adequados à LGPD.
Desafio para instituições de saúde
O maior desafio para as instituições de saúde é a garantia de certificação de segurança para os softwares e aplicativos que utilizem as informações dos pacientes. Sendo assim, todas as transmissões ou transações digitais necessitam de criptografia.
Para a área da saúde, também é válido destacar a necessidade da assinatura digital (que consta na Lei de Digitalização do Prontuário). Por fim, a dica mais importante: todos os procedimentos que envolvam o tratamento de dados necessitam de um documento de consentimento.
O termo deve informar aos pacientes o fluxo de coleta e tratamento dos dados, incluindo as informações utilizadas em cadastros.
Se você atua na área da saúde e ainda não sabe se os processos de tratamento de informações pessoais estão adequados à LGPD, não deixe de entrar em contato conosco!