Readequar processos para garantir a proteção dos dados dos usuários se tornou um dos principais desafios de empresas em todos os segmentos. Neste artigo, você verá quais são os impactos mais importantes da LGPD na saúde e como se organizar para garantir que os direitos dos pacientes sejam respeitados. Confira:
- o papel da LGPD na saúde e suas bases legais;
- como adequar os processos da área da saúde à LGPD.
Qual é o papel da LGPD na saúde?
O setor de saúde é frequentemente alvo de cibercriminosos devido à riqueza de dados pessoais, incluindo informações sensíveis, armazenados em hospitais e clínicas. Isso ocorre devido à falta de segurança adequada nos sistemas de saúde, tornando os titulares (pacientes) vulneráveis a golpes decorrentes de vazamentos de dados.
A LGPD desempenha um papel crucial na área da saúde, visando assegurar a proteção da privacidade e dos direitos dos pacientes em relação aos seus dados pessoais. Para isso, ela estabelece diretrizes que incluem a necessidade de tratamento transparente, seguro e em conformidade com os direitos fundamentais dos titulares.
As responsabilidades das organizações incluem:
- implementação de medidas de segurança adequadas;
- nomeação de um Encarregado de Proteção de Dados (DPO);
- oferta de treinamento aos profissionais;
- adoção de políticas e procedimentos internos para garantir a conformidade com a lei.
Em caso de violações, as instituições de saúde podem enfrentar sanções que variam de advertências a multas, bem como o bloqueio ou a eliminação dos dados.
Além das sanções administrativas da Autoridade Nacional de Proteção de Dados (ANPD), os incidentes de vazamento de dados podem resultar em ações judiciais por parte dos consumidores afetados, buscando reparação por danos patrimoniais, morais, individuais ou coletivos causados pela violação da legislação de proteção de dados.
Diante desses desafios, as instituições de saúde devem adotar medidas de segurança abrangentes, incluindo. Inclusive, a Confederação Nacional de Saúde (CNSaúde) lançou um Código de Conduta para orientar as práticas corretas relacionadas ao uso de dados de pacientes e evitar multas significativas.
Quais são as bases legais da LGPD na saúde?
A LGPD estabelece 10 bases legais para o tratamento de dados pessoais. No caso do setor da saúde, isso pode ocorrer nas seguintes situações:
- com consentimento expresso do titular dos dados, que deve ser livre, informado, inequívoco e revogável a qualquer momento;
- quando necessário para o cumprimento de obrigações legais ou regulatórias impostas à instituição de saúde, como a manutenção de prontuários médicos;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral, como a apresentação de prontuários médicos como prova;
- quando necessário para a proteção da vida ou da integridade física do paciente ou de outras pessoas, como em situações de emergência médica;
- para a tutela da saúde em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridades sanitárias.
Como adequar os processos da área da saúde à LGPD?
A aplicação dos princípios da LGPD na saúde envolve uma série de medidas importantes a serem implementadas:
Mapeamento de processos e de dados
O Mapeamento de dados, também chamado de Data Mapping, consiste em identificar e documentar de forma detalhada todos os processos envolvendo dados pessoais e dados sensíveis que são coletados, armazenados, processados e compartilhados pela instituição de saúde. Para isso, é necessário:
- identificar todos os pontos de entrada e saída de dados, incluindo registros médicos, sistemas de gestão, prontuários eletrônicos, entre outros;
- registrar os tipos de dados coletados;
- estabelecer o propósito da coleta de cada tipo de dado.
Em uma clínica médica, por exemplo, os dados coletados podem incluir:
- nome;
- endereço;
- número de telefone;
- histórico médico;
- resultados de exames;
- entre outros.
Esses dados são coletados durante o agendamento de consultas, no preenchimento de formulários de anamnese e no registro de prontuários.
Avaliação de riscos e medidas de segurança
A avaliação de riscos é um processo contínuo de identificar todas as possíveis ameaças e vulnerabilidades nos processos de coleta, armazenamento, processamento e compartilhamento de dados. Isso pode incluir o acesso não autorizado, perda de dados, falhas de segurança em sistemas, entre outros.
Ao elaborar uma matriz de riscos, você terá condições de avaliar a probabilidade de ocorrência e o impacto potencial deles. Dessa forma, será possível priorizar os mais significativos e desenvolver medidas de segurança apropriadas para mitigá-los, como a implementação de controles de acesso e o uso de criptografia de dados.
Consentimento e direitos dos titulares dos dados
Respeitar o consentimento e os direitos dos titulares dos dados é o aspecto mais essencial da LGPD na saúde e envolve ações como:
- fornecer aos pacientes informações claras sobre o propósito do tratamento de seus dados, como serão utilizados, quem terá acesso a eles e por quanto tempo serão retidos;
- solicitar o consentimento de forma explícita, em linguagem simples e destacada do restante das informações;
- informar que os pacientes têm o direito de revogar o consentimento a qualquer momento.
Além disso, é importante explicar que os titulares têm os seguintes direitos:
- acessar seus dados;
- retificar informações incorretas;
- excluir dados desnecessários ou excessivos;
- fazer a portabilidade dos dados;
- ser informados sobre incidentes de segurança.
Treinamento e conscientização
Oferecer treinamento contínuo ao seu time ajuda a criar uma cultura de proteção de dados, garantindo que os profissionais compreendam suas responsabilidades e ajam de acordo com as diretrizes estabelecidas pela LGPD na saúde. Esse trabalho envolve ações como:
- explicar os conceitos básicos da LGPD, suas implicações e os principais requisitos relacionados à proteção de dados na área de saúde;
- desenvolver e comunicar políticas e procedimentos internos que estabeleçam diretrizes claras sobre a coleta, armazenamento, processamento e compartilhamento de dados;
- educar os profissionais de saúde sobre práticas como o uso de senhas fortes, a proteção de dispositivos eletrônicos, a prevenção de phishing e o cuidado com a divulgação indevida de informações;
- enfatizar a responsabilidade individual de cada profissional na proteção da privacidade dos pacientes.
Agilize a adequação à LGPD com a DPOnet
Embora o processo de adequação à LGPD seja complexo, é possível torná-lo mais organizado e ágil com a ajuda de uma plataforma completa de Gestão de Privacidade, Segurança e Governança de Dados Pessoais.
Com o DPOnet, você tem um DPO terceirizado e uma jornada de implementação 100% digital guiada por especialistas para colocar em prática as medidas mencionadas acima.
Quer saber mais? Veja como o DPOnet ajuda a cumprir 21 requisitos da LGPD em tempo recorde.
Gostou desse artigo?
e receba nossos conteúdos no seu email.
Nenhum comentário feito.