LGPD: sua clínica médica está em compliance? • Blog | Ancode Tecnologia

LGPD: sua clínica médica está em compliance?

Compartilhe nas Redes Sociais
Leia em: 4 minutos

Atualizado em 07/05/2020: O início da vigência da LGPD foi alterado pela Medida Provisória 959, e está previsto para 03 de maio de 2021.

Cópia-de-Grayscale-Building-Surveyors-Google-Header-7 LGPD: sua clínica médica está em compliance?

Não é de hoje que o assunto Proteção de Dados está em pauta dentre os assuntos mais discutidos mundialmente. Diversos casos de uso indevido de dados pessoais são noticiados frequentemente, motivando assim, a criação da LGPD.

No último post do blog, falamos sobre o conceito da nova lei de Proteção de Dados, e como saber se a sua empresa está em conformidade à ela. Se você não viu o post sobre LGPD, clique aqui e confira!

O uso indevido de dados pessoais no dia a dia

Um exemplo do uso abusivo de dados coletados foi identificado pelas autoridades do Reino Unido, quando foi constatado que algumas companhias aéreas configuraram um algoritmo que, na hora da compra da passagem, identifica passageiros que têm o mesmo sobrenome para, então, separá-los em assentos distantes, forçando-os a pagar pelo “privilégio” de sentar em assentos próximos.

Outro caso de vazamento de dados que se tornou bastante conhecido, inclui uma extinta empresa de comunicação e análise eleitoral, a Cambrigde Analytica e as eleições dos EUA, em 2016. A assessoria da britânica responsável pela campanha do então candidato à presidência Donald Trump, foi acusada de coletar informações privadas de 87 milhões de usuários do Facebook e utilizar os dados para direcionamento dos conteúdos de campanha eleitoral de acordo com os interesses mapeados. O episódio resultou no pedido de falência da empresa, e acendeu o alerta sobre a fragilidade dos sistemas no mundo todo.

A loja de produtos de beleza francesa Sephora, admitiu o vazamento de dados, devido a ataques de hackers sofrido na metade de 2019. Segundo a empresa, foram divulgadas informações pessoais e de consumo de seus clientes de alguns países asiáticos. A empresa se desculpou publicamente e informou que reforçaria os procedimentos de segurança da companhia, a fim de evitar novos ataques.

Em meados de 2019, foi noticiado que a operadora de saúde suplementar Unimed teria falhas de segurança no banco de dados de várias de suas unidades, que expunha informações de seus beneficiários, incluindo: a ficha cadastral de pacientes, acessos a logins médicos, e-mails internos, planilhas financeiras, exames de pacientes e até certidões de óbito e imagens de raio-x. Em resposta a tal denúncia, a operadora respondeu que desconhece a informação e investe continuamente na segurança de seus sistemas e que se comprometeria em averiguar o caso de forma minuciosa.

Estes são apenas alguns do inúmeros exemplos existentes do mau uso de informações, ao redor do mundo.

Impactos da LGPD na saúde

Todas as empresas coletam, de alguma forma, dados de seus clientes, e na área da saúde não é diferente. Instituições de saúde coletam e gerenciam uma série de informações importantes sobre seus pacientes, como: dados pessoais, dados de atendimento, histórico clínico, dentre outras informações. As informações relativas à Saúde são classificadas como dados sensíveis e são regidas na lei nº13.709 , nos artigos 11 a 13. Tais informações, caso não sejam bem armazenadas, estão suscetíveis a vazamentos e fraudes de diversos tipos, resultando em danos ao paciente.

Com as alterações da LGPD, os pacientes passam a ter plenos direitos sobre as informações coletadas, e devem, ainda, ser informados sobre a finalidade de uso.

Informar qual a finalidade dos dados coletados

Todas as instituições deverão ter a autorização de seus pacientes para armazenar seus dados, devendo informar a finalidade das informações. Todo e qualquer dado armazenado, seja eletronicamente ou até mesmo em papel, deverá ter o registro da procedência, juntamente com o consentimento do usuário, para qualquer ação. Isso vale tanto para novas informações, como informações já armazenadas. O que significa que as instituições deverão solicitar permissão para a coleta e armazenamento de dados também aos pacientes com dados já coletados.

Designar um responsável

A normativa também pede que as empresas nomeiem um responsável por proteger os dados, podendo este ser colaborador interno ou terceirizado, conforme as normas de contratação de parceiros, como as normas ISO 27001 e ISO 27799. Vale salientar, que se a empresa contratada para a proteção dos dados não tiver um sistema seguro e houver qualquer fator que mostre a quebra desse protocolo, o contratante também será responsabilizado pelo ato.

Disponibilizar os dados de forma transparente

Entendendo o usuário de um serviço de saúde como o titular dos dados informados à instituição, a mesma deve deixar disponível, de forma desburocratizada e clara, essas informações. Assim, o paciente pode não só consultar, como fazer alterações nas informações simplesmente por ser dono das mesmas.

Garantir a segurança das informações

As instituições de saúde têm dois grandes desafios pela frente: garantir certificação de segurança para os softwares e aplicativos que contenham informações de pacientes, e providenciar que todas as informações de bancos de dados e para transmissões ou transações digitais sejam criptografadas. Devendo ainda, apagá-las após cumprirem o seu objetivo.

Proteger melhor dados de menores

A proteção à informação deve acontecer de forma mais rígida quando se trata de dados de crianças e adolescentes. O manuseio e o acesso a essas informações devem ser feitos de forma cautelosa dentro da instituição e com absoluto consentimento dos responsáveis pelos pacientes.

Fique atento! As mudanças previstas com a LGPD na Saúde se aplicam a um vasto número de situações, como telemedicina, cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar), SUS, entre outras.

Para corresponder às exigências feitas pela LGPD na saúde é importante contar com um sistema de gestão clínica. Lembrando que ele não só deve adequar seu usuário às diretrizes impostas pela lei, como oferecer atualizações que contribuam para essa adaptação das entidades ao novo modelo de proteção de dados, que visa a inovação e tecnologia dos dados sensíveis da clínica médica.

Comente conosco, a sua clínica médica está preparada para os impactos das alterações da LGPD?