Não é novidade que a LGPD (Lei Geral de Proteção de Dados) foi — e ainda é — um grande desafio para as clínicas, consultórios médicos e operadoras de saúde.
Isso porque as novas exigências legais e as adaptações necessárias exigiram do profissional de saúde mais do que o exercício da profissão. Mesmo hoje, com mais de dois anos de vigência da LGPD, alguns ainda estão tentando se adaptar às normas.
O grande problema é que as empresas podem sofrer multas que vão de 2% do faturamento até R$50 milhões. Para estabelecimentos de saúde penalizados, existe, ainda, o impedimento de coletar dados de qualquer espécie.
Leia também: Guia completo da migração de software para gestão de clínicas: como fazer com segurança e agilidade?
A boa notícia é que, neste artigo, você vai poder conferir um panorama completo da LGPD para profissionais de saúde e, assim, ter certeza de que seu trabalho segue todas as normas. Aproveite a leitura!
O que é a LGPD?
Fundamentos da Lei Geral de Proteção de Dados e Privacidade
Como funciona o tratamento de dados na LGPD?
Como a LGPD funciona na prática?
Como adequar sua clínica à LGPD?
O que faz o Data Protection Officer?
O que você ganha com tudo isso?
Como a Amplimed trata da segurança dos dados?
O que é a LGPD?
Baseada no Regulamento Geral sobre a Proteção de Dados (GRPD) da União Europeia, a LGPD surgiu como proposta da Câmara dos Deputados para elevar o nível da legislação brasileira na regulamentação da gestão de dados no país.
Leia também: Segurança na clínica médica: crescimento constante e protegido!
O grande objetivo da LGPD é proteger os direitos fundamentais de liberdade de privacidade das pessoas. A nova legislação tem feito isso através da regulamentação das práticas de geração, armazenamento, tratamento e transmissão de dados.
Antes de saber como a LGPD funciona na prática, vale destacar os principais motivos para a sanção dela:
- Aumento da coleta de dados;
- Avanço do tratamento de dados;
- Compartilhamento de dados sem controle;
- Vazamento de dados pessoais;
- Vício de consentimento protegendo empresas;
- Impactos em negócios e até em eleições;
- Perda de privacidade;
- Prejuízo para o cidadão no uso dos dados;
- Possibilidade de discriminação automatizada.
Continue a leitura para saber mais:
Fundamentos da Lei Geral de Proteção de Dados e Privacidade
Art. 1º da LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A legislação surge para proteger os titulares do mau uso de seus dados pelas empresas responsáveis. Assim como o Marco Civil da Internet, em 2014, a LGPD busca estabelecer os limites entre o viés público e o viés privado das informações pessoais.
Já o Art. 2º determina as fundamentações da nova legislação. É importante compreendê-las, já que toda a lei segue esses princípios norteadores. Veja:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Com isso, nota-se que a LGPD foi criada com o intuito de dar mais autonomia e controle aos usuários sobre seus próprios dados, o que representa uma tendência mundial na regulamentação do uso da internet.
Qual a abrangência da LGPD?
A lei regulamenta o tratamento de:
Art. 3: Quaisquer dados pessoais obtidos em qualquer tipo de suporte (papel, eletrônico, informativo, som, imagem, etc.).
Além disso, vale destacar que também abrange dados originados em serviços consumidos dentro do país, independentemente do armazenamento.
Portanto, dados que forem gerados em um atendimento médico dentro do Brasil estarão submetidos à LGPD – mesmo que seu armazenamento seja feito por servidor localizado fora do país.
Então, a lei engloba também dados armazenados na nuvem, com múltiplos servidores.
Vale destacar que esses dados são aqueles considerados pessoais. De acordo com o Art. 5, inciso I:
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
São exemplos de dados pessoais de pessoa natural identificada ou identificável:
- Nome e apelido;
- Endereço residencial;
- Endereço eletrônico (e-mail);
- Número de cartão de identificação;
- Dados de localização;
- Endereço IP;
- Testemunhos de conexão (cookies);
- Identificador de publicidade do telefone;
- Dados obtidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.
Leia também: Prontuário eletrônico: leis, segurança e melhores práticas médicas
Como funciona o tratamento de dados na LGPD?
Como você viu, a lei tem como objetivo regulamentar o tratamento de dados. Esse conceito é um pouco abrangente e, por isso, a o Art. 5, inciso X, indica que tratamento de dados são operações realizadas como:
- Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Essas operações são autorizadas somente se forem comprovadas as finalidades específicas e mediante consentimento do titular. As hipóteses para tratamento de dados são:
- Para cumprimento de obrigação legal ou regulatória pelo responsável pelo tratamento;
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
- Para a realização de estudos por órgãos de pesquisa, sem a individualização da pessoa;
- Para a proteção da vida ou da integridade física do titular ou terceiro;
- Para a tutela da saúde, com procedimento realizado por profissionais da área ou por entidades sanitárias;
- Para execução de contrato ou procedimentos preliminares relacionados a um contrato;
- Para pleitos em processos judiciais, administrativos ou arbitrais;
- Para a proteção do crédito, nos termos do Código de Defesa do Consumidor.
Como a LGPD funciona na prática?
Como você viu, a LGPD regulamenta o uso, a proteção e a transferência de dados pessoais. Nesse processo, ela dá uma atenção específica aos dados pessoais sensíveis, como:
- Religião;
- Raça;
- Orientação sexual;
- Doenças crônicas;
- Capacidade financeira.
Como efeitos da lei, de maneira bastante simplificada, o tratamento de dados pessoais só será admitido se houver consentimento explícito do titular usuário do serviço que deu origem às informações.
Além disso, a utilização de dados de pessoas menores de 18 anos deve ser autorizada por seus responsáveis legais.
Para as empresas que descumprirem as determinações, fica estabelecida multa diária que pode chegar a R$50 milhões.
Então, se a empresa for da área da saúde, pode sofrer suspensão do direito de coletar qualquer tipo de dado de seus pacientes. Em outras palavras, terá seu funcionamento comprometido.
Direitos do titular
O poder de decisão sobre seus próprios dados é garantido com veemência pela LGPD. Nesse sentido, o Art. 8º descreve como deve ser o consentimento para que tenha validade:
Deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
Assim, cabe à empresa apresentar as cláusulas de seu contrato de utilização de dados de forma clara e objetiva.
O titular, então, poderá consentir o tratamento de suas informações pessoais, mas terá outros direitos garantidos.
Os artigos 9, 18 e 19 da LGPD tratam desses direitos posteriores ao consentimento. São eles:
- Verificar os dados gerados;
- Acessar, a qualquer tempo, os dados armazenados;
- Anonimizar as informações que revelem sua identidade;
- Revogar o consentimento de utilização;
- Livre acesso à identificação e ao contato do controlador.
Direitos e deveres da empresa
A empresa deve possibilitar que os titulares, quando desejarem, façam uso dos direitos que lhe são garantidos pela lei.
Então, além de proteger os dados, as empresas devem ter uma política de tratamento e acessos de dados que garanta que facilite esses procedimentos. Essa política pode integrar os padrões de boas práticas e de governança de dados.
Os artigos 50 e 51 da LGPD tratam dessa padronização. Basicamente, esses programas devem apresentar:
- Relatório de todos os tratamentos com descrição dos possíveis impactos e especificação dos dados utilizados;
- Previsão de reparação ao titular caso o dado seja utilizado de maneira indevida;
- Aplicação de normas e boas práticas para o uso de dados.
Caso cumpra as disposições da lei, há duas hipóteses em que a empresa não será penalizada. Para evitar a multa, a empresa deve comprovar que:
- Não fez tratamento nos dados;
- O tratamento feito não provocou o impacto denunciado.
Destaca-se, aqui, que o ônus da prova é da empresa.
Sem juridiquês:
A empresa deve ter um controle detalhado, capaz de comprovar que não foi a culpada por algum prejuízo decorrente do uso dos dados de seu cliente.
Como adequar sua clínica à LGPD?
Alguns sistemas de gestão para clínicas já estão adequados à LGPD, mas os profissionais de saúde precisam implementar algumas estratégias:
- Nomear um Data Protection Officer (DPO);
- Estabelecer rotinas de documentos e procedimentos;
- Executar treinamento da equipe;
- Inserir recursos audiovisuais para registrar os procedimentos.
Para padronizar o cuidado com os dados e as rotinas dessa gestão, a empresa pode implementar a governança de dados e políticas de boas práticas.
Então, em caso de auditoria, você precisará apresentar um documento de governança de dados.
As principais informações apresentadas são:
- Condições de organização;
- Regime de funcionamento;
- Procedimentos, incluindo reclamações e petições de titulares;
- Normas de segurança;
- Padrões técnicos;
- Obrigações específicas para os diversos envolvidos no tratamento;
- Ações educativas;
- Mecanismos internos de supervisão e de mitigação de riscos.
Esses programas devem considerar a estrutura, a escala, o volume de suas operações e, também, a sensibilidade dos dados tratados. Além disso, a governança de privacidade deve, no mínimo:
- Demonstrar o comprometimento do controlador em adotar políticas internas de cumprimento da LGPD;
- Ser aplicável ao conjunto de dados pessoais de responsabilidade da empresa;
- Estabelecer políticas de segurança com avaliação sistemática dos impactos e riscos à privacidade;
- Estabelecer relação de confiança com o titular;
- Aplicar mecanismos de supervisão internos e externos;
- Planejar respostas a incidentes, no sentido de remediá-los;
- Estabelecer atualização periódica dos procedimentos de segurança.
Além desses procedimentos gerais, há boas práticas específicas para os profissionais de saúde.
Nesse caso, é aconselhável estabelecer uma política de coleta de dados para descrever e justificar as informações que serão armazenadas. Então, essa política deve conter:
- Motivos para coleta de dados;
- Descrição dos dados coletados;
- Informação das condições de armazenamento;
- Definição do tempo de armazenamento.
É nesta etapa que entra o Data Protection Officer (DPO). Entenda mais:
O que faz o Data Protection Officer?
Data Protection Officer, em tradução livre, significa Diretor de Proteção de Dados. Ou seja, o encarregado pelos processos, políticas e protocolos internos para que a organização tenha uma infraestrutura de TI protegida.
As atividades desse profissional passam pela formulação de boas práticas de segurança digital. Então, ele também fica responsável pelo acompanhamento, aprimoramento e avaliação da governança de dados.
Na LGPD, o DPO é referido como o controlador de dados, um dos agentes de tratamento (Art. 5º, IX). É definido da seguinte forma:
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
As principais responsabilidades do controlador são:
- Elaborar o relatório de impacto à proteção de dados pessoais quando solicitado;
- Comprovar obtenção do consentimento do titular;
- Fornecer informações sobre critérios e procedimentos utilizados para decisões automatizadas;
- Manter registro das operações de tratamento de dados pessoais;
- Indicar encarregado pelo tratamento de dados pessoais;
- Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança.
O principal documento emitido pelo controlador é o relatório de impacto à proteção de dados. Esse relatório serve para demonstrar as boas práticas, para justificar e para traçar caminhos de correção dos prejuízos causados.
Veja como é definido pela LGPD:
Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Além do controlador DPO, há dois outros cargos estabelecidos juntamente à LGPD: operador e encarregado.
O operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
As funções do operador são semelhantes às do controlador, mas há responsabilidades complementares. Assim, o operador deve:
- Manter registro das operações de tratamento de dados pessoais;
- Realizar o tratamento segundo as instruções fornecidas pelo controlador;
- Responder solidariamente pelos danos causados pelo tratamento quando descumprir a LGPD ou quando descumprir instruções lícitas do controlador.
Quanto ao encarregado, o art. 5º, inciso VIII, define-o como:
Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
A LGPD determina, ainda, que as informações de contato do encarregado sejam divulgadas publicamente, preferencialmente, no site do controlador. O encarregado possui as seguintes funções:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O que você ganha com tudo isso?
Credibilidade e respeito por parte dos pacientes. Além, é claro, de maior tranquilidade no andamento da sua clínica ou operadora de saúde.
Os dados dos seus pacientes ficarão protegidos. Então, sua empresa terá como marca o respeito pela confidencialidade da relação médico-paciente.
Vale destacar que a lei tem como base não a segurança de dados, mas o uso que se faz das informações.
A diferença é tênue, mas veja um exemplo:
Procedimentos laboratoriais, como coleta de sangue, podem ser utilizados com diversas finalidades: de um simples hemograma até o mapeamento de DNA.
Então, imagine se informações estatísticas sobre o desenvolvimento de doenças hereditárias chegam aos sistemas errados, por má-fé ou erro.
Esses dados poderiam, por exemplo, servir como base para aceite ou negação de perfis para planos de saúde.
Por outro lado, se chegarem aos sistemas corretos, podem servir para estudo e criação de tratamentos. Afinal, tudo depende do uso que se dá para os dados.
A regulamentação é detalhada, mas pode ser simplificada em duas condições básicas para o compartilhamento de dados pessoais:
- Obter o consentimento do titular ou de seu responsável legal;
- Proteger os dados para evitar que seu paciente seja prejudicado.
Se você leu o texto até aqui, já tem um panorama bastante completo sobre a LGPD que preocupa tantos profissionais de saúde que lidam com dados.
Agora, pense como será seu cotidiano com todas essas obrigações se desejar implantá-las sozinho.
Concordamos que você precisará contar com parceiros confiáveis para a aplicação da LGPD. Veja, então, como trabalham os especialistas:
Como a Amplimed trata da segurança dos dados?
A Amplimed é reconhecida por trazer ao Brasil as novidades em tecnologia para negócios na área da saúde.
Por isso, desde a GDPR europeia, nosso sistema de gestão já está preparado para garantir a segurança dos dados pessoais de seus pacientes e da sua clínica ou operadora de saúde. Veja:
- Suporte de certificado digital do CRM para assinatura de prontuário eletrônico;
- Certificado digital HTTPS para criptografar a comunicação dos dados entre o computador do usuário e a nuvem;
- Criptografia de banco de dados, com manutenção de políticas de segurança rígidas conforme padrões internacionais.
Além disso, vale lembrar que todos os dados são armazenados em data centers com certificação TIERIII, HIPAA, PCI.
Data centers com certificação Tier III garantem a gestão dos períodos de manutenção sem causar impacto no serviço dos sistemas.
Isso reduz a preocupação dos clientes, já que não ocorrem manutenções em horários impróprios.
O HIPAA é um conjunto de diretrizes de proteção de informações digitais internas para organizações da área da saúde. Essas diretrizes surgiram como lei nos Estados Unidos para fornecer privacidade de dados e exigir medidas de segurança na proteção das informações médicas.
Além de representarem o primeiro conjunto de normas de proteção à privacidade das informações dos pacientes, as especificações da HIPAA apresentam alto grau de sofisticação, como o tratamento diferenciado para dados pessoais sensíveis.
Criada especialmente para as empresas de cartões de crédito, a certificação PCI representa um padrão especial de segurança para a movimentação de dados.
É uma garantia contra fraudes, violações e manipulações de informação durante o tráfego em rede.
Nível bancário de segurança de dados
Não é novidade que as instituições bancárias possuem um alto nível de segurança em suas transações e sempre estão se aprimorando.
Você já deve ter ouvido falar nas fintechs, empresas especializadas em tecnologia financeira.
As novidades do mercado de tecnologia para bancos e financeiras demonstram o nível de segurança que se tem atingido. Há poucos anos, não se pensava em transações bancárias por celular.
Hoje, é possível trazer a segurança de um banco para os dados da sua clínica.
É isso que a Amplimed oferece. Além das certificações TIERIII, HIPAA, PCI, o sistema Amplimed conta com certificado HTTPS e criptografia de banco de dados.
A principal diferença entre a certificação HTTP e o HTTPS é que o último possui proteção SSL.
Por isso, essa camada adicional protege a transmissão dos dados a partir de conexão criptografada e que verifica a autenticidade do servidor e do cliente com base em certificados digitais.
Além disso, o certificado digital HTTPS utilizado pela Amplimed possui criptografia de 2048 bits, exatamente o mesmo padrão utilizado pelos bancos.
Por isso, a Amplimed se antecipou e trouxe para o país padrões de segurança inovadores e com foco nas três etapas da governança de dados:
- Tratamento;
- Armazenamento;
- Recuperação.
Nossa dica para você é que tenha os dados como fonte de diferenciação de mercado, como forma de ganhar destaque.
Para isso, estabeleça políticas de boas práticas e de governança que possibilitem à sua clínica a utilização do melhor que os dados podem oferecer.
Lembre-se também que a escolha do software de gestão para clínicas médicas ou operadoras de saúde exige uma tomada de decisão ainda mais séria. Afinal, nesse software serão gerados os dados que podem causar muitos problemas para sua empresa, ou, então, levar todas as soluções que você procura.
Os clientes da Amplimed podem contar com a experiência em proteção de dados do nosso time de especialistas. Você quer experimentar a tranquilidade e a segurança que nosso sistema oferece?