LGPD: como evitar multas e penalidades

LGPD: como evitar multas e penalidades

A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor e os profissionais da saúde, consultórios, clínicas, hospitais e demais instituições de saúde devem se adaptar às novas regras para evitar multas e penalidades.

A proteção de dados não é uma exigência nova para os médicos. O próprio Código de Ética Médica (CEM) estabelece a obrigação do sigilo a respeito das informações obtidas durante o desempenho das funções médicas. 

Para iniciar o processo de adequação à normativa de proteção de dados, é imprescindível entender as principais mudanças no tratamento de dados pessoais e buscar o auxílio de especialistas.

Pensando nisso, elaboramos o artigo de hoje para te ensinar como a LGPD alterou os processos de armazenamento de informações de pacientes. Continue acompanhando!

A LGPD (Lei Nº 13.854)

A Lei Geral de Proteção de Dados (LGPD, Lei Nº 13.853) está em vigor desde setembro/20 e  estabelece critérios para a coleta, tratamento, armazenamento e compartilhamento de dados de pessoas físicas. 

Essa Lei prevê parâmetros para a coleta, produção, recepção, classificação, acesso, reprodução, transmissão, arquivamento e controle por quaisquer meios (eletrônicos e físicos) e por qualquer pessoa, sejam físicas ou jurídicas (privadas ou públicas). Ademais, define como dado pessoal qualquer informação de uma pessoa física identificável (CPF, RG, nome, endereço, e-mail, data de nascimento, entre outras). 

Já os dados sensíveis incluem qualquer informação sobre origem étnica, racial, religião, opinião política, DADOS REFERENTES À SAÚDE, dados genéticos e biometrias que sejam vinculados às pessoas físicas. 

Portanto, a LGPD faz parte do cotidiano dos médicos, que lidam de perto com o tratamento de dados pessoais e sensíveis de seus pacientes. 

Como evitar multas e penalidades? 

A Lei Geral de Proteção de Dados estabelece que qualquer um que causar a outrem dano moral ou patrimonial, coletivo ou individual, em razão da quebra das normas de tratamento de dados pessoais e sensíveis, será obrigado a repará-lo. 

O Tribunal de Justiça de São Paulo, define o termo “tratamento de dados” como: “qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

A aplicação das possíveis sanções estabelecidas pela LGPD, podem se estender a todos os envolvidos nos tratamentos de dados, razão pela qual torna-se indispensável o auxílio de uma assessoria especializada para avaliar os processos de informações dos pacientes. 

Além do dever de indenizar os danos causados, a LGPD também estabeleceu multas que podem alcançar 2% do faturamento, limitadas ao valor de R$ 50 milhões de reais por infração. 

Os profissionais da saúde são responsáveis pelo tratamento de dados pessoais e sensíveis de seus pacientes, e por tal razão devem cumprir os termos da lei.

A seguir, detalharemos os principais aspectos para evitar o descumprimento da nova normativa que já está em vigor. 

Cumpra as medidas de segurança e armazenamento 

A nova lei determina como os dados pessoais devem ser armazenados (sempre favorecendo o exercício do direito ao acesso às informações pelos titulares). Além disso, também é necessário enviar a confirmação de existência ou dos acessos aos dados, em formato simplificado. 

Essa confirmação deve ser enviada em até 15 dias após o requerimento do titular das informações, indicando a origem dos dados, os critérios utilizados para segurança e a finalidade do tratamento.

A LGPD também estabelece a obrigatoriedade de medidas de segurança para garantir a proteção dos dados de acessos não autorizados. A previsão legal também abrange a proteção contra situações acidentais (perda, alteração, tratamento inadequado) de todos os dados armazenados. 

Vale ressaltar que as autorizações genéricas para o tratamento de informações pessoais não são mais aceitas. Dessa maneira, é fundamental expressar, em contrato, a necessidade de autorização de tratamento de dados.

O consentimento do titular dos dados pode ser revogado a qualquer momento, cabendo ao tratador dos dados fornecer maneiras gratuitas e facilitadas para isso. 

A nova lei também prevê a obrigatoriedade das empresas em nomear um responsável interno para proteção das informações, sendo também possível terceirizar a gestão de segurança dos dados, de acordo com as normas de contratação de parceiros de negócios (ISO 27.799). 

Caso a empresa contratada para gerir as informações não possua um sistema realmente adequado e seguro, a quebra de qualquer regra pode responsabilizar os contratantes dos serviços. 

Garanta a segurança dos dados dos pacientes

Para se blindar contra multas e penalidades da LGPD, os hospitais e clínicas devem contar com serviços de tecnologia para garantir, de fato, a segurança de todos os dados coletados. 

Para isso, o mais recomendado é que as instituições de saúde elaborem uma auditoria interna com um especialista em segurança da informação e proteção de informações pessoais. 

Além disso, o auxílio de uma consultoria especializada é imprescindível para verificar o que está ou não em conformidade com a nova lei e suas sanções. 

Vale ressaltar que os fornecedores de softwares de gestão, bancos de dados e provedores de hospedagem também devem estar adequados à LGPD. 

Desafio para instituições de saúde 

O maior desafio para as instituições de saúde é a garantia de certificação de segurança para os softwares e aplicativos que utilizem as informações dos pacientes. Sendo assim, todas as transmissões ou transações digitais necessitam de criptografia. 

Para a área da saúde, também é válido destacar a necessidade da assinatura digital (que consta na Lei de Digitalização do Prontuário). Por fim, a dica mais importante: todos os procedimentos que envolvam o tratamento de dados necessitam de um documento de consentimento. 

O termo deve informar aos pacientes o fluxo de coleta e tratamento dos dados, incluindo as informações utilizadas em cadastros. 

Se você atua na área da saúde e ainda não sabe se os processos de tratamento de informações pessoais estão adequados à LGPD, não deixe de entrar em contato conosco