Saiba tudo sobre a Lei Geral de Proteção de Dados para área médica

Tempo de leitura: 21 minutos

A Amplimed tem produzido uma série de conteúdos sobre segurança para clínicas médicas. Nosso artigo “Onde estão os dados do seu paciente?” trouxe dicas sobre como proteger as informações geradas por sua clínica. Agora, você precisa conhecer as normas que vão regulamentar a proteção e compartilhamento de dados e penalizar as empresas que não estejam adaptadas. Falaremos com detalhes sobre a nova Lei Geral de Proteção de Dados (LGPD).

A LGPD (Lei 3.709/2018) foi sancionada, no ano passado, pelo então presidente Michel Temer. A regulamentação foi proposta pelo Projeto de Lei da Câmara dos Deputados (PLC 53/2018). A medida teve como base a General Data Protection Regulation (GDPR), que regulamenta os dados gerados em serviços dentro de países europeus. A LGPD entra em vigor no final do primeiro semestre de 2020. As empresas que não se adequarem à regulamentação podem sofrer multas que vão de 2% do faturamento a R$50 milhões. Para estabelecimentos de saúde que forem penalizados, existe, ainda, o impedimento de coletar dados de qualquer espécie.

Com a leitura integral deste artigo, você saberá:

  • O que é e quais as finalidades da LGPD
  • Como a LGPD funcionará na prática
  • Como adequar sua clínica à LGPD e evitar multas

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados (Lei 3.709/2018) surgiu como proposta da Câmara dos Deputados para elevar o nível da legislação brasileira na regulamentação da gestão de dados no país. Assim, o Brasil seguiu o mesmo sentido regulatório dos países membros da União Europeia (UE). Na UE, em Abril de 2016, foi sancionada a General Data Protection Regulation (GDPR), que também inovou o tratamento da legislação em relação aos dados. A regulamentação dos dados no bloco econômico europeu trouxe alguns pontos-chaves. São eles:

  • Aumento do escopo territorial: aplicabilidade extraterritorial;
  • Penalidades: organizações que violem o GDPR podem ser multadas em até 4% do faturamento global anual ou 20 milhões de euros;
  • Consentimento: o titular deve consentir o direito de tratamento de dados e deve ser informado dos riscos dessa prática.

Além disso, estabeleceu uma série de direitos dos titulares dos dados como inexoráveis. Tais direitos, que não podem ser negados aos titulares, são:

  • Notificação de violação: o titular deve ser informado caso ocorra falha na proteção aos seus dados;
  • Direito ao Acesso: deve ser garantido o acesso sempre que o titular desejar
  • Direito de ser esquecido: em síntese, trata-se do direito de exclusão/eliminação dos dados a pedido dos titulares
  • Portabilidade de dados: é direito do titular receber seus dados quando solicitar
  • Privacidade por Design: proteção de dados como parte do design do sistema de coleta e tratamento;
  • Oficial de proteção de dados: profissional designado como responsável pelos dados, cuja identidade pode ser solicitada pelo titular.

No Brasil, a nova legislação chega para regular as práticas de geração, armazenamento, tratamento e transmissão de dados. Assim, dá continuidade à iniciativa do Poder Legislativo de regulamentar o uso de comunicação virtual. Essa regulamentação iniciou com o Marco Civil da Internet (Lei 12.965, de Abril de 2014).

Fundamentos da nova lei brasileira de proteção aos dados

O Art. 1º da LGPD traz uma justificativa e um objetivo para que a lei tenha seus efeitos no ambiente jurídico brasileiro.

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A legislação surge para proteger os titulares do mau uso de seus dados pelas empresas responsáveis. Assim como o Marco Civil da Internet, em 2014, a LGPD busca estabelecer os limites entre o viés público e o viés privado das informações pessoais.

Já o Art. 2º traz as fundamentações da nova legislação. É importante compreendê-las, já que toda a lei segue esses princípios norteadores.

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Nota-se que a LGPD foi criada com o intuito de dar mais autonomia e controle aos usuários sobre seus próprios dados, o que representa uma tendência mundial na regulamentação do uso da internet.

Abrangência da LGPD

A LGPD foi sancionada por Michel Temer em 14 de Agosto de 2018 e entrará em vigor a partir do dia 14 de Agosto de 2020, conforme previsto em seu art. 65. A lei regulamenta o tratamento de:

Art. 3: Quaisquer dados pessoais obtidos em qualquer tipo de suporte (papel, eletrônico, informativo, som, imagem, etc.).

Além disso, vale destacar que a lei abrange dados originados em serviços consumidos dentro do país, independentemente do armazenamento. Portanto, dados que forem gerados em um atendimento médico dentro do Brasil estarão submetidos à LGPD – mesmo que seu armazenamento seja feito por servidor localizado fora do país. Então, a lei abrange, também, dados armazenados na nuvem, com múltiplos servidores.

A LGPD abrange os dados pessoais. Conforme o Art. 5, inciso I,

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

São exemplos de dados pessoais de pessoa natural identificada ou identificável:

  • Nome e apelido
  • Endereço residencial
  • Endereço eletrônico (e-mail)
  • Número de cartão de identificação
  • Dados de localização
  • Endereço IP
  • Testemunhos de conexão (cookies)
  • Identificador de publicidade do telefone
  • Dados obtidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

Tratamento de dados na nova LGPD

A lei tem como objetivo regulamentar o tratamento de dados. Esse conceito é um pouco abrangente e, por isso, a o Art. 5, inciso X, indica que tratamento de dados são operações realizadas como:

Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Essas operações são autorizadas, somente, se forem comprovadas as finalidades específicas e mediante consentimento do titular. As hipóteses para tratamento de dados são:

  • Para cumprimento de obrigação legal ou regulatória pelo responsável pelo tratamento
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas
  • Para a realização de estudos por órgãos de pesquisa, sem a individualização da pessoa
  • Para a proteção da vida ou da integridade física do titular ou terceiro
  • Para a tutela da saúde, com procedimento realizado por profissionais da área ou por entidades sanitárias
  • Para execução de contrato ou procedimentos preliminares relacionados a um contrato
  • Para pleitos em processos judiciais, administrativos ou arbitrais
  • Para a proteção do crédito, nos termos do Código de Defesa do Consumidor

Como a LGPD funciona na prática?

Como a LGPD funcionará na prática.

Os principais motivos para a sanção da LGPD foram:

  • Aumento da coleta de dados
  • Avanço do tratamento de dados
  • Compartilhamento de dados sem controle
  • Vazamento de dados pessoais
  • Vício de consentimento protegendo empresas
  • Impactos em negócios e até em eleições
  • Perda de privacidade
  • Prejuízo para o cidadão no uso dos dados
  • Possibilidade de discriminação automatizada

Diante deste cenário, o poder público, em seu papel regulador, estabeleceu as diretrizes. Vale uma reflexão resumida sobre a aplicabilidade da nova lei. Você deve conhecer a ideia popular de manda quem pode e obedece quem tem juízo. É uma ótima citação para dizer como funcionará a LGPD. A nova lei regulamenta a gestão dos dados e você, se tiver juízo, obedece. Afinal, os artigos são taxativos e não deixam dúvidas de que as penalizações serão severas.

Na prática, a LGPD regulamenta o uso, a proteção e a transferência de dados pessoais como: nome, endereço, e-mail, idade, estado civil e situação financeira/patrimonial. Assim, dá uma atenção específica aos dados pessoais sensíveis. Esses dados são aqueles que podem motivar preconceitos, como:

  • Religião
  • Raça
  • Orientação sexual
  • Doenças crônicas
  • Capacidade financeira

Como efeitos da lei, resumidamente, o tratamento de dados pessoais só será admitido se houver consentimento explícito do titular usuário do serviço que deu origem às informações. A utilização de dados de pessoas menores de 18 anos deve ser autorizada por seus responsáveis legais. Para as empresas que descumprirem as determinações, fica estabelecida multa diária que pode chegar a R$50 milhões. Então, se a empresa for da área da saúde, pode sofrer suspensão do direito de coletar qualquer tipo de dado de seus pacientes. Em outras palavras, terá seu funcionamento comprometido.

Direitos do titular

O poder de decisão sobre seus próprios dados é garantido com veemência pela LGPD. Nesse sentido, o art. 8º da lei descreve como deve ser o consentimento para que tenha validade:

deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular

Assim, cabe à empresa apresentar as cláusulas de seu contrato de utilização de dados de forma clara e objetiva. O titular, então, poderá consentir o tratamento de suas informações pessoais, mas terá outros direitos garantidos. Os artigos 9, 18 e 19 da LGPD tratam desses direitos posteriores ao consentimento. São eles:

  • Verificar os dados gerados
  • Acessar, a qualquer tempo, os dados armazenados
  • Anonimizar as informações que revelem sua identidade
  • Revogar o consentimento de utilização
  • Livre acesso à identificação e ao contato do controlador

Direitos e deveres da empresa

A empresa deve possibilitar que os titulares, quando desejarem, façam uso dos direitos que lhe são garantidos pela lei. Então, além de proteger os dados, as empresas devem ter uma política de tratamento e acessos de dados que garanta que facilite esses procedimentos. Essa política pode integrar os padrões de boas práticas e de governança de dados.

Os artigos 50 e 51 da LGPD tratam dessa padronização. Basicamente, esses programas devem apresentar:

  • Relatório de todos os tratamentos com descrição dos possíveis impactos e especificação dos dados utilizados;
  • Previsão de reparação ao titular caso o dado seja utilizado de maneira indevida
  • Aplicação de normas e boas práticas para o uso de dados

Caso cumpra as disposições da lei, há duas hipóteses em que a empresa não será penalizada. Para evitar a multa, a empresa deve comprovar que:

  • Não fez tratamento nos dados
  • O tratamento feito não provocou o impacto denunciado

Destaca-se, aqui, que o ônus da prova é da empresa. Sem juridiquês:

A empresa deve ter um controle detalhado, capaz de comprovar que não foi a culpada por algum prejuízo decorrente do uso dos dados de seu cliente.

Como adequar sua clínica à LGPD

Como adequar a sua clínica a LGPD
Como adequar a sua clínica à LGPD

Alguns sistemas de gestão para clínicas já estão adequados à LGPD, mas os médicos precisam implantar algumas estratégias:

  • Nomear um Data Protection Officer (DPO)
  • Estabelecer rotinas de documentos e procedimentos
  • Executar treinamento da equipe
  • Inserir recursos audiovisuais para registrar os procedimentos

Para padronizar o cuidado com os dados e as rotinas dessa gestão, a empresa pode implantar a governança de dados e políticas de boas práticas. Essas estratégias devem estabelecer. Então, em caso de auditoria, você precisará apresentar um documento de governança de dados. As principais informações apresentadas são

  • Condições de organização
  • Regime de funcionamento
  • Procedimentos, incluindo reclamações e petições de titulares
  • Normas de segurança
  • Padrões técnicos
  • Obrigações específicas para os diversos envolvidos no tratamento
  • Ações educativas
  • Mecanismos internos de supervisão e de mitigação de riscos

Esses programas devem considerar a estrutura, a escala, o volume de suas operações e, também, a sensibilidade dos dados tratados. Além disso, a governança de privacidade deve, no mínimo:

  • Demonstrar o comprometimento do controlador em adotar políticas internas de cumprimento da LGPD;
  • Ser aplicável ao conjunto de dados pessoais de responsabilidade da empresa;
  • Estabelecer políticas de segurança com avaliação sistemática dos impactos e riscos à privacidade;
  • Estabelecer relação de confiança com o titular;
  • Aplicar mecanismos de supervisão internos e externos;
  • Planejar respostas a incidentes, no sentido de remediá-los;
  • Estabelecer atualização periódica dos procedimentos de segurança.

Além desses procedimentos gerais, há boas práticas específicas para os médicos. Nesse caso, é aconselhável estabelecer uma política de coleta de dados para descrever e justificar as informações que serão armazenadas. Então, essa política deve conter:

  • Motivos para coleta de dados
  • Descrição dos dados coletados
  • Informação das condições de armazenamento
  • Definição do tempo de armazenamento

O que faz o Data Protection Officer?

O Data Protection Officer, em tradução livre seria o Diretor de Proteção de Dados, será o encarregado pelos processos, políticas e protocolos internos para que a organização tenha uma infraestrutura de TI protegida. As atividades desse profissional passam pela formulação de boas práticas de segurança digital. Então, ele também fica responsável pelo acompanhamento, aprimoramento e avaliação da governança de dados.

Na LGPD, o DPO é referido como o controlador de dados, um dos agentes de tratamento (Art. 5º, IX). É definido da seguinte forma:

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

As principais responsabilidades do controlador são:

  • Elaborar o relatório de impacto à proteção de dados pessoais quando solicitado;
  • Comprovar obtenção do consentimento do titular;
  • Fornecer informações sobre critérios e procedimentos utilizados para decisões automatizadas;
  • Manter registro das operações de tratamento de dados pessoais;
  • Indicar encarregado pelo tratamento de dados pessoais;
  • Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança.

O principal documento emitido pelo controlado é o relatório de impacto à proteção de dados. Esse relatório serve para demonstrar as boas práticas, para justificar e para traçar caminhos de correção de prejuízos causados. Veja como é definido pela LGPD:

Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Agentes de tratamento de dados

Além do controlador DPO, há dois outros cargos trazidos pela LGPD: operador e encarregado. O operador é

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

As funções do operador são semelhantes às do controlador, mas há responsabilidades complementares. Assim, o operador deve:

  • Manter registro das operações de tratamento de dados pessoais;
  • Realizar o tratamento segundo as instruções fornecidas pelo controlador;
  • Responder solidariamente pelos danos causados pelo tratamento quando descumprir a LGPD ou quando descumprir instruções lícitas do controlador.

Um terceiro cargo para segurança dos dados é o encarregado. O art. 5º, inciso VIII, define o encarregado como:

Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

A LGPD determina, ainda, que as informações de contato do encarregado sejam divulgadas publicamente, preferencialmente, no site do controlador. O encarregado possui as seguintes funções:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O que você ganha com tudo isso?

Credibilidade e respeito por parte dos pacientes. Além, é claro, de maior tranquilidade no andamento do seu negócio. Os dados dos seus pacientes ficarão protegidos. Então, sua clínica terá como marca o respeito pela confidencialidade da relação médico-paciente.

A lei tem como base não a segurança de dados, mas o uso que se faz das informações. A diferença é tênue, mas veja um exemplo. Procedimentos laboratoriais como coleta de sangue podem ser utilizados com diversas finalidades: de um simples Hemograma até o mapeamento de DNA.

Então, imagine se informações estatísticas sobre o desenvolvimento de doenças hereditárias chegam aos sistemas errados, por má-fé ou erro. Esses dados poderiam, por exemplo, servir como base para aceite ou negação de perfis para planos de saúde. Por outro lado, se chegarem aos sistemas corretos, podem servir para estudo e criação de tratamentos. Afinal, tudo depende do uso que se dá para os dados.

A regulamentação é detalhada, mas pode ser simplificada em duas condições básicas para o compartilhamento de dados pessoais:

  • Você deve obter o consentimento do titular ou de seu responsável legal;
  • Você deve proteger os dados para evitar que seu paciente seja prejudicado

Como a Amplimed trata segurança dos dados

Se você leu o texto até aqui, pode se considerar bem informado. Agora, pense como será seu cotidiano com todas essas obrigações se desejar implantá-las sozinho. Concordamos que você precisará contar com parceiros confiáveis para a aplicação da LGPD. Veja, então, como trabalham os especialistas.

A Amplimed é reconhecida por trazer ao Brasil as novidades em tecnologia para negócios na área da saúde. Por isso, desde a GDPR europeia, o sistema Amplimed já está preparado para garantir a segurança dos dados pessoais de seus pacientes e da sua clínica.

  • Dados armazenados em data centers com certificações TIERIII, HIPAA, PCI;
  • Suporte de certificado digital do CRM para assinatura de prontuário eletrônico;
  • Certificado digital HTTPS para criptografar a comunicação dos dados entre o computador do usuário e a nuvem;
  • Criptografia de banco de dados, com manutenção de políticas de segurança rígidas conforme padrões internacionais.

Segurança das certificações TIERIII, HIPAA, PCI

Data centers com certificação Tier III possuem o nível de segurança e disponibilidade mais elevado segundo o Uptime Institute, que avalia e certifica banco de dados. Essa certificação garante a gestão dos períodos de manutenção sem causar impacto no serviço dos sistemas. Isso reduz a preocupação dos clientes, já que não ocorrem manutenções em horários impróprios.

O HIPAA é um conjunto de diretrizes de proteção de informações digitais internas para organizações da área da saúde. Essas diretrizes surgiram como lei nos Estados Unidos para fornecer privacidade de dados e exigir medidas de segurança na proteção das informações médicas. Além de representarem o primeiro conjunto de normas de proteção à privacidade das informações dos pacientes, as especificações da HIPAA apresentam alto grau de sofisticação, como o tratamento diferenciado para dados pessoais sensíveis.

Criada especialmente para as empresas de cartões de crédito, a certificação PCI representa um padrão especial de segurança para movimentação de dados. É uma garantia contra fraudes, violações e manipulações de informação durante o tráfego em rede.

Nível bancário de segurança de dados

As instituições bancárias possuem um alto nível de segurança em suas transações e sempre estão se aprimorando. Você já deve ter ouvido falar nas fintechs, empresas especializadas em tecnologia financeira. As novidades do mercado de tecnologia para bancos e financeiras demonstram o nível de segurança que se tem atingido. Há poucos anos, não se pensava em transações bancárias por celular. Hoje, é possível trazer a segurança de um Banco para os dados da sua clínica.

É isso que a Amplimed oferece. Além das certificações TIERIII, HIPAA, PCI, o sistema Amplimed conta com certificado HTTPS e criptografia de banco de dados. A principal diferença entre o certificação HTTP e o HTTPS é que o último possui proteção SSL. Por isso, essa camada adicional protege a transmissão dos dados a partir de conexão criptografada e que verifica a autenticidade do servidor e do cliente com base em certificados digitais. Além disso, o certificado digital HTTPS utilizado pela Amplimed possui criptografia de 2048 bits, exatamente, o mesmo padrão utilizado pelos bancos.

Retomando os objetivos da LGPD, você recorda que a principal questão não é a proteção dos dados, mas o uso que se faz desses dados? Percebeu agora a importância da segurança na transmissão das informações?

Por isso, a Amplimed se antecipou e trouxe para o país padrões de segurança inovadores e com foco nas três etapas da governança de dados:

  • Tratamento
  • Armazenamento
  • Recuperação

Conclusão

A LGPD demonstra uma preocupação dos legisladores com a proteção dos dados pessoais. Afinal, essa é uma tendência mundial, como demonstrado pela União Europeia. No entanto, não basta optar pelo retrocesso e negar a utilização de dados. Leia, por exemplo, nossos artigos “Inovação sem freios: Inteligência artificial e data analytics elevando o nível dos atendimentos médicos” e “Por que o prontuário eletrônico é coisa do passado?”.

Perceba que o modo como os dados são utilizados traz o diferencial de um negócio na área da saúde. Então, tenha os dados como fonte de diferenciação de mercado, como forma de ganhar destaque. Assim, estabeleça políticas de boas práticas e de governança que possibilitem à sua clínica a utilização do melhor que os dados podem oferecer.

Por isso, a escolha do software de gestão para clínicas médicas exige uma tomada de decisão ainda mais séria. Afinal, nesse software serão gerados os dados que podem:

  • Causar muitos problemas para sua clínica; OU
  • Trazer todas as soluções que você procura.

Os clientes da Amplimed podem contar com a experiência em proteção de dados do nosso time de especialistas. Você quer experimentar a tranquilidade e a segurança que nosso sistema oferece?

Clique no botão abaixo.

 

Iniciar teste gratuito

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.