Desde que a Lei Geral de Proteção de Dados – LGPD entrou em vigor, a proteção de dados pessoais se tornou mais desafiadora para o setor de saúde. O que significa que as informações devem ser gerenciadas com uma abordagem mais holística.
As organizações de saúde devem ter procedimentos em vigor que possam ser acionados imediatamente para atender a conformidade com a LGPD. Começando por ser mais cauteloso com os dados pessoais, sabendo onde estão armazenados e como estão sendo processados.
Isso se aplica ao setor público e privado: hospitais e clínicas, atendimento odontológico, farmácias, lares de idosos, laboratórios de diagnóstico, lojas que vendem produtos farmacêuticos e todas as outras empresas ou organizações que processam dados relativos à saúde.
Para evitar quaisquer violações, as organizações de saúde devem implementar os requisitos de conformidade com a LGPD, incluindo a gestão de contratos, bem como, políticas, procedimentos, documentação e registros de pacientes, profissionais de saúde e parceiros de negócio.
Portanto, os registros da atividade de processamento de dados e os períodos de retenção e exclusão também devem estar adequados à lei de proteção de dados.
Conformidade com a LGPD: Processamento de dados de saúde na era digital
Muitos sistemas usados no setor de saúde agora são totalmente digitais. Com a ajuda da tecnologia baseada em nuvem, os sistemas que contêm dados do paciente são frequentemente ‘compartilhados’ entre hospitais, farmácias e outras instituições, a fim de melhor atender os pacientes.
Mas como esses dados confidenciais devem ser processados e compartilhados e, ao mesmo tempo, atender a conformidade com a LGPD?
Considerando o fato de que os dados de saúde são montados em informações confidenciais de paciente, deve-se garantir que os princípios da lei de proteção de dados e privacidade sejam devidamente cumpridos antes do processamento ou compartilhamento.
De acordo com a LGPD, sua organização precisará demonstrar que seu processamento atendeu a requisitos específicos, que incluem a implementação de salvaguardas adequadas para garantir a proteção dessas informações.
Dada a sensibilidade das informações pessoais relacionados à saúde, elas só devem ser processadas por profissionais de saúde autorizados que estejam vinculados à obrigação de sigilo médico e de dados.
Os indivíduos devem ser devidamente avaliados e lembrados de suas obrigações de confidencialidade.
Além disso, é especialmente vital que as instituições de saúde realizem avaliações do impacto da proteção de dados e criem medidas de segurança específicas, como procedimentos de autenticação, uso de certificados e assinaturas digitais e controles de acesso aos dados pessoais de um paciente.
Na prática, através da conformidade com a LGPD o paciente e as pessoas relacionadas com o Hospital e médicos passam a ter os seguintes direitos previstos:
- Ter direito à confirmação da existência de tratamento, entende-se tratamento como toda a operação realizada com dados pessoais a exemplo de: coleta, produção, recepção, utilização, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, comunicação, transferência, difusão, dentre outros;
- Ter direito ao acesso e correção aos seus dados armazenados;
- Anonimização (o dado anonimizado é relativo ao titular que não possa ser identificado);
- Portabilidade;
- Eliminação dos dados após o término do tratamento;
- Informação a respeito do compartilhamento de dados;
- Possibilidade de receber informação sobre não fornecer o consentimento e suas consequências;
- Revogação do consentimento;
Se o controle de acesso não for adequado, pode facilmente levar a uma violação de dados e de acordo com a lei de proteção de dados a multas e sanções que podem comprometer a reputação e saúde financeira de qualquer instituição de saúde, independente do seu tamanho.
Quais são as multas e penalidades na LGPD que podem ser aplicadas às instituições de saúde?
A LGPD prevê seis penalidades ou multas. São elas:
- Advertência. Essa advertência virá com um prazo para que a empresa se adeque à legislação. Se não corrigir no prazo estipulado, haverá penalidade;
- Multa simples em cima do faturamento. Essa multa pode ser de até 2% do faturamento da pessoa jurídica. O limite é de 50 milhões de reais por infração
- Multa diária. Essa multa também será limitada a 50 milhões de reais;
- Publicização da infração. A infração se tornará pública e os prejuízos à imagem da empresa poderão ser enormes;
- Bloqueio dos dados pessoais. Essa sanção administrativa impede que as empresas utilizem os dados pessoais coletados até a situação se regularizar;
- Eliminação dos dados pessoais. A sexta penalidade prevista na LGPD obriga a empresa a eliminar por completo os dados coletados em seus serviços, causando danos à operação da empresa.
O limite das multas na LGPD é de 50 milhões. Mas algumas das penalidades podem ser ainda piores, dependendo da organização. Por exemplo, assumir publicamente o vazamento de dados pessoais de milhares de clientes pode derrubar até mesmo empresas sólidas, minando totalmente a credibilidade de um hospital, por exemplo.
Quais etapas as instituições de saúde podem tomar para garantir a conformidade e reduzir o risco de violação de informações pessoais de pacientes
Após passar pelos aspectos mais importantes da Lei Geral de Proteção de Dados em relação às instituições de saúde, vamos, de forma resumida, passar por três etapas tangíveis que as organizações médicas devem tomar para proteger os dados pessoais processados por elas.
1. Garantir a conscientização
- Entre os pacientes
Um primeiro passo crucial para atender aos requisitos previstos pela lei de proteção de dados é que todos os titulares dos dados, como os pacientes, devem ser informados dos detalhes de terceiros com os quais suas informações serão compartilhadas, a fim de cumprir os requisitos de transparência estabelecidos pela LGPD.
Além disso, o acordo de compartilhamento de dados deve definir claramente a finalidade, as bases legais e as informações a serem compartilhadas, juntamente com os detalhes necessários sobre o tratamento dos direitos dos titulares dos dados e os padrões de segurança compartilhados acordados.
Todas essas informações devem ser comunicadas de forma clara e fácil de entender.
- Entre Funcionários
Aconselha-se a realização de treinamentos regulares de pessoal sobre proteção de dados, a fim de reduzir os riscos de erro humano e, portanto, de violação de dados internos.
Enquanto isso, na prática, o pessoal deve ser obrigado ao sigilo médico, uma vez que erros e acidentes podem acontecer. Portanto, conscientizar todos os funcionários sobre a importância da proteção de dados, as salvaguardas que precisam ser implementadas e quais aspectos problemáticos típicos devem ser evitados pode ter um impacto positivo significativo nos esforços de conformidade de uma instituição.
Além disso, todos os funcionários também devem estar cientes de como reconhecer uma violação de dados, quais etapas serão executadas no caso de um incidente de segurança e quais partes interessadas devem ser envolvidas no processo.
2. Processe e compartilhe apenas os dados pessoais necessários para a finalidade do seu trabalho
Também é importante que os dados de saúde necessários sejam processados minimamente e compartilhados apenas se necessário.
A divulgação não autorizada pode ter um impacto sério na vida do paciente, portanto, deve-se garantir que o compartilhamento de dados seja feito com base em qualquer uma das bases legais de processamento, com acordos adequados em vigor para responsabilizar uma parte relevante.
Para adicionar a isso, tais dados não devem ser compartilhados, a menos que, por exemplo:
- O titular dos dados deu consentimento explícito;
- Se o próprio paciente tornar os dados públicos;
- Quando se trata de uma situação de vida ou morte em que os pacientes não podem dar o seu consentimento e é do interesse vital do paciente;
- Para medicina preventiva ou ocupacional;
- Avaliação da sua capacidade de trabalho;
- Para diagnóstico médico
- Para a prestação de cuidados de saúde ou assistência social ou tratamento ou a gestão de sistemas e serviços de saúde ou assistência social
Observe que, no caso de compartilhamento, as instituições de saúde deve ter salvaguardas para garantir que os dados estejam seguros.
3. Defina controles de acesso restritos
Dada a natureza compartilhada dos sistemas baseados em nuvem frequentemente usados no setor de saúde, é fundamental garantir que apenas aqueles necessários tenham acesso aos dados do paciente.
A implementação de medidas como autenticação de dois fatores ou logon único, assim como o uso de assinaturas e certificados digitais também pode ajudar a fornecer outras medidas para proteção de dados quando se trata de acessar arquivos de pacientes.
Conformidade com a LGPD: um investimento que vale a pena
Com a transformação digital do segmento de saúde, a forma como as informações são processadas e acessadas também precisa ser ajustada. Isso trouxe vários aspectos novos em relação à proteção de dados, exigindo que as instituições de saúde fizessem da privacidade de dados sua principal prioridade.
Embora a conformidade com a LGPD exija que as instituições de saúde invistam tempo e recursos, no final do dia, é do interesse dos pacientes e da própria instituição.
Cumprir a obrigação não apenas diminuirá a possibilidade de uma potencial violação de dados, protegendo sua instituição de uma multa pesada e danos à reputação, mas também desempenha um papel significativo em ganhar a confiança do paciente e melhorar a eficiência geral de como os pacientes são tratados.
Sobre a Eval
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.