Provavelmente em algum momento você já deve ter ouvido falar na Lei Geral de Proteção de Dados, ou LGPD. Entenda tudo sobre a nova lei e como ela deve impactar no setor da saúde.
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em agosto de 2020 para regulamentar o uso, a proteção e a transferência de dados pessoais no Brasil.
Ela regulamentará qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no território nacional ou em países onde estejam localizados os dados.
Sancionada em agosto de 2018, ela foi baseada na GDPR (General Data Protection Regulation), que trata sobre segurança de dados, e vale para muitos países da União Europeia.
A LGPD foi editada e publicada com o objetivo de proteger a privacidade e os dados pessoais de clientes, consumidores, pacientes e todo tipo de usuário que tem suas informações pessoais em poder de empresas.
O intuito é trazer mais segurança na coleta, no manuseio, na gestão e no armazenamento de informações confidenciais de pessoas.
Entre outras regulamentações, a nova lei exigirá uma série de mudanças na política de segurança de dados das operadoras de saúde suplementar.
Impacto na área da saúde
Quando um paciente vai até uma instituição de saúde, seja ela uma clínica, laboratório, consultório ou hospital, ele precisa fornecer muitas informações pessoais como nome, CPF, endereço e dados do seu plano de saúde e até mesmo histórico médico.
E esses dados de saúde de um paciente chegam a ser, muitas vezes, mais valiosos do que informações bancárias para os hackers. Pensando na privacidade e segurança no armazenamento e tratamento desses dados, foi criada a LGPD.
A nova lei exige uma série de mudanças na política de segurança de dados das operadoras de saúde. A principal é que os beneficiários (ou pacientes) tornam-se titulares dos seus dados e passam a ter pleno direito sobre todas as informações de saúde coletadas a seu respeito.
Isso inclui o direito de saber como a operadora trata essas informações, consultar e retificá-las quando quiser e, inclusive, se opor ao seu uso pela operadora.
Além disso, dados pessoais sensíveis (aquelas que identificam o usuário) a partir da LGPD, podem ser coletados apenas com a autorização do usuário.
É considerado sensível todo o conteúdo de prontuários, prescrições, receituários e resultados de exame, além de dados relativos a consultas, procedimentos, cirurgias e internações.
Uma vez que o tratamento de dados sensíveis será mais rigidamente controlado pela nova lei, os gestores da área de saúde devem estar atentos para adaptar suas operações às novas regras.
Tratamento de dados e consentimento
De acordo com o texto da Lei Geral de Proteção de Dados, por tratamento de dados entende-se toda e qualquer operação efetuada sobre dados pessoais, seja por meios manuais ou automatizados.
O que envolve a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão e extração de dados.
Já os dados pessoais sensíveis só poderão ser tratados mediante o consentimento do titular. O tratamento de dados sem a autorização expressa do paciente é permitido apenas em alguns casos específicos:
cumprimento de obrigação legal ou regulatória pelo controlador;
realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
proteção da vida ou da incolumidade física do titular ou de terceiro;
tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
Um exemplo de uso de dados sem consentimento é no caso de urgências, onde a pessoa chega inconsciente na unidade de saúde. Na necessidade de realizar um exame de sangue nesse paciente, os profissionais podem fazê-lo sem seu consentimento, pois trata-se de um caso de proteção à vida.
No âmbito da LGPD, o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Lembrando que o consentimento das autorizações já concedidas pode ser retirado a qualquer momento pelo beneficiário.
Para quê servem os dados?
Essas informações servem para, entre os coisas, viabilizar a personalização de tratamentos, embasar programas de medicina preventiva e alimentar sistemas de monitoramento e demais tecnologias pensadas para os profissionais de saúde.
Por conta disso, muitos especialistas afirmam que nova regulamentação poderá tornar esses ativos ainda mais valiosos. O que, potencialmente, aumentaria o risco das instituições se tornarem alvo de ciberataques e sequestro de dados.
Dessa forma, a entrada em vigor da LGPD exigirá das instituições de saúde suplementar um gerenciamento ainda mais cuidadoso das informações dos pacientes.
Por isso é importante contratar sistemas e ferramentas que estejam de acordo com a nova lei e ofereça toda a segurança necessário para os dados de seus pacientes.
A Medcloud opera com rígidos protocolos de segurança e tratamento de dados desde o início das operações, com registro na Anvisa e o compliance norte-americano HIPAA.
Em conformidade com a LGPD, a Medcloud ainda adota rígidos protocolos de criptografía para armazenamento dos dados de paciente, não compartilha ou usa as informações pessoais de pacientes com outro propósito, além do uso para benefício próprio do mesmo.
Além disso, ainda conta com profissional interno responsável apenas por coordenar ações relacionadas à nova lei, para garantir que todas as medidas de proteção e segurança necessária sejam tomadas.
Descumprimento da lei
A LGPD impõe sanções variadas a quem infringir as regras que estão especificadas na lei.
Inicialmente será dada uma advertência simples, que determina uma data para a correção da irregularidade.
Posteriormente, multas aplicadas podem chegar até a 2% do faturamento líquido da empresa em questão, tendo um limite de R$ 50 milhões de reais.
É importante lembrar que dependendo da gravidade da infração, ainda há a possibilidade também de aplicação de multas diárias.
Orientações de especialista
Convidamos Arthur Braga Nascimento, advogado, CEO da B.ONUZ, empresa jurídica especializada na LGPD para falar sobre a nova lei, seus impactos e transformações na área da saúde, principalmente na Radiologia.
Nascimento fala tudo sobre a Lei Geral de Proteção de Dados, suas implicações e boas práticas a serem adotadas por clínicas e hospitais no Momento Saúde Digital, podcast da Medcloud.
Nele você fica sabendo a importância da nuvem para armazenamento seguro de dados e para a adequação de empresas, o que exigir de seus fornecedores de sistemas para estarem em conformidade com a LGPD, os principais desafios de empresas brasileiras de saúde para implantação da nova lei, como as clínicas podem e devem garantir a segurança de dados dos pacientes e muito mais!