LGPD: Boas Práticas para Prontuários Médicos

Com o avanço da tecnologia na área da saúde, o armazenamento e o compartilhamento de prontuários médicos tornaram-se digitais, facilitando o acesso a informações.

No entanto, essa mudança também traz desafios importantes quando o assunto é a proteção de dados pessoais, especialmente diante da Lei Geral de Proteção de Dados (LGPD).

A lei exige que todos os envolvidos no tratamento de dados sensíveis, como os prontuários médicos, adotem medidas de segurança rigorosas.

O que diz a LGPD sobre os dados de saúde?

A LGPD classifica os dados de saúde como “dados sensíveis”. Isso significa que essas informações requerem um nível maior de proteção. O armazenamento inadequado ou o compartilhamento sem consentimento podem gerar penalidades severas para as organizações.

Portanto, é fundamental que clínicas, hospitais e outros prestadores de serviços de saúde sigam boas práticas para garantir a segurança e a privacidade desses dados.

Exemplos de dados sensíveis em prontuários:

• Histórico de saúde do paciente.

• Resultados de exames médicos.

• Informações sobre tratamentos e medicamentos.

Boas práticas para o armazenamento de prontuários médicos

O armazenamento de prontuários médicos é uma questão delicada. Eles precisam estar acessíveis aos profissionais de saúde, mas protegidos contra acessos indevidos. Para isso, algumas práticas são essenciais:

1. Criptografia: A criptografia garante que, mesmo que os dados sejam acessados de forma indevida, eles não possam ser lidos sem a chave correta. É uma das formas mais eficientes de proteger prontuários.
   

2. Autenticação em dois fatores (2FA): Para acessar os sistemas que armazenam dados de saúde, é recomendável que as instituições implementem a autenticação em dois fatores. Assim, mesmo que uma senha seja comprometida, um segundo nível de verificação será necessário.
   

3. Backups regulares: Realizar backups dos dados periodicamente garante que, em caso de incidentes como falhas de sistema ou ataques cibernéticos, as informações dos pacientes não sejam perdidas.

4. Acesso restrito: Nem todos os colaboradores de uma instituição de saúde devem ter acesso a todos os prontuários. O controle de acesso é fundamental para limitar quem pode visualizar, editar ou compartilhar esses dados.

Boas práticas para o compartilhamento de dados de saúde

O compartilhamento de dados de saúde também deve seguir diretrizes rígidas para evitar violações de privacidade. Veja algumas práticas recomendadas:

1. Consentimento explícito do paciente: A LGPD exige que o paciente dê seu consentimento de forma clara e expressa antes de seus dados serem compartilhados, a menos que o compartilhamento seja necessário para o cumprimento de obrigações legais.
   

2. Compartilhamento por canais seguros: O uso de canais seguros para o envio de informações médicas é fundamental. Plataformas que garantem a criptografia dos dados durante o envio, como sistemas de gestão de saúde eletrônica, são ideais para esse tipo de compartilhamento.
   

3. Minimização de dados: Somente as informações essenciais devem ser compartilhadas. Por exemplo, se um laboratório precisa apenas de dados sobre exames de sangue, outras informações do prontuário devem ser omitidas.
   

4. Auditoria e registros: Manter um registro de quem acessa ou compartilha os dados é uma boa prática para identificar possíveis falhas de segurança e para estar em conformidade com a LGPD.

Consequências do Não Cumprimento da LGPD

Não seguir as diretrizes estabelecidas pela LGPD pode trazer consequências graves para as instituições de saúde, tanto no aspecto financeiro quanto no impacto à reputação.

Abaixo, destacamos as principais penalidades e riscos associados ao não cumprimento da lei.

1. Multas Administrativas

A LGPD prevê multas que podem chegar a até 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração. Dependendo da gravidade da violação, essas multas podem ser aplicadas de forma cumulativa.

• Multa simples: aplicada sobre o faturamento da empresa.

• Multa diária: pode ser imposta até que a instituição regularize a situação.

2. Suspensão das Atividades de Tratamento de Dados

Além das multas, a Autoridade Nacional de Proteção de Dados (ANPD) pode determinar a suspensão parcial ou total das atividades de tratamento de dados por um período determinado.

Isso significa que a instituição pode ficar impossibilitada de processar ou acessar os dados de seus pacientes até que resolva as irregularidades.

• Suspensão temporária: impacto direto nas operações e no atendimento ao paciente.

• Proibição de uso de dados: inviabiliza a gestão e continuidade de tratamentos.

3. Indenizações e Ações Judiciais

Pacientes que tiveram seus dados expostos ou utilizados de forma inadequada podem entrar com ações judiciais contra a instituição.

Além das multas administrativas, a empresa pode ser condenada a pagar indenizações por danos materiais e morais.

• Ações individuais: processos movidos por pacientes prejudicados.

• Ações coletivas: possíveis quando uma grande quantidade de pessoas é afetada.

4. Danos à Reputação

Uma violação de dados pode causar danos irreparáveis à reputação da instituição de saúde, comprometendo a confiança de pacientes e parceiros.

Empresas que não demonstram compromisso com a proteção de dados podem sofrer perda de credibilidade e de clientes.

• Perda de confiança dos pacientes: afeta a relação com os atuais e futuros pacientes.

• Dificuldade em firmar parcerias: fornecedores e parceiros comerciais podem evitar se associar a uma instituição envolvida em escândalos de proteção de dados.

5. Custos Operacionais com Medidas Corretivas

Instituições que sofrem penalidades da LGPD podem ser obrigadas a implementar mudanças rápidas e custosas em seus processos de tratamento de dados, além de investir em tecnologias de segurança da informação.

• Investimento emergencial em TI: aquisição de novos sistemas e segurança.

• Treinamento de equipe: necessidade de capacitar profissionais para garantir a conformidade com a LGPD.

6. Bloqueio ou Eliminação de Dados

A ANPD também pode impor o bloqueio ou a eliminação dos dados pessoais coletados de forma irregular.

Isso pode impactar diretamente o histórico médico dos pacientes, comprometendo a continuidade de tratamentos e o gerenciamento adequado da saúde.

• Perda de dados importantes: inviabiliza o acompanhamento de tratamentos a longo prazo.

• Dificuldades no atendimento: sem acesso ao prontuário completo, a qualidade do atendimento pode ser prejudicada.

Como Evitar Essas Consequências

Para evitar essas consequências, é fundamental que as instituições de saúde implementem boas práticas de proteção de dados, invistam em treinamento e mantenham suas políticas de segurança sempre atualizadas. Um planejamento proativo pode prevenir violações e garantir a conformidade com a LGPD.

Seguir essas orientações garante que as instituições de saúde estejam preparadas para lidar com as demandas de proteção de dados, promovendo um ambiente mais seguro e confiável para todos.

Venha fazer parte da nossa Comunidade Allprivacy e fique por dentro de assuntos como este e muito mais! 😉

DPOnet
Fundada em 2020 por Ricardo Maravalhas e Marcelo Martins, na cidade de Pompeia-SP, A DPOnet é membro do Cubo Itaú e a 1º empresa brasileira a adotar a inteligência artificial em uma plataforma de privacidade e conquistar a certificação ISO 27001. Com o objetivo de democratizar, automatizar e simplificar a jornada de conformidade com a LGPD por meio de uma plataforma completa de Gestão de Privacidade, Segurança e Governança de Dados, com serviço de DPO embarcado, atendimento de titulares, que utiliza o conceito de Business Process Outsourcing (BPO), já foi utilizada por mais de 3500 companhias, certificou e treinou com a sua metodologia mais de 30 mil usuários e conta atualmente com 45 colaboradores.