Especialistas esclarecem impactos da LGPD na saúde

14 min. de leitura

Lei Geral de Proteção de Dados, que passa a vigorar em agosto de 2020, tem levantado muitas dúvidas.

 

Ainda sem regulamentação específica para a área da saúde, a Lei Geral de Proteção de Dados, que passa a vigorar em agosto de 2020, tem levantado muitas dúvidas.

A nova regulamentação trata da segurança de dados pessoais dos usuários de modo geral no mundo digital. O principal objetivo é garantir que estas informações não sejam compartilhadas para outras finalidades que não a para qual foram fornecidas.

As regras rígidas são inspiradas na General Data Protection Regulation (GDPR), lei estabelecida na União Europeia para aumentar a segurança de dados. Todas estas implementações foram feitas após escândalos mundiais envolvendo o vazamento de informações pessoais de usuários para outras finalidades.

Na área da saúde, por exemplo, hospitais e laboratórios ou clínicas médicas não poderão repassar entre si qualquer informação do paciente sem o consentimento dele por escrito.

Além disso, toda troca de mensagem que trate de informações de pacientes precisará ser criptografada, ou seja, ser feita por meio de um sistema que codifique essas mensagens de forma que torne mais difícil a invasão de hackers, por exemplo.

Isso quer dizer que clínicas médicas, hospitais, consultórios e demais estabelecimentos na área da saúde precisarão em breve investir em tecnologias que atendam a todos estes requisitos.

Vale ressaltar que as mudanças previstas estabelecem multas de até R$ 50 milhões para empresas que descumprirem as normas. A penalidade também será aplicada a quem contratar um serviço ou software que não atenda às normas, por isso é importante estar atento.

Essas são algumas das informações antecipadas por dois especialistas ouvidos pela Portal Telemedicina para esclarecer as principais dúvidas relacionadas ao assunto.

Confira a seguir as ponderações e esclarecimentos do presidente da Sociedade Brasileira de Informática em Saúde (SBIS), Luis Gustavo Kiatake, e de um dos maiores especialistas em informática e saúde da América Latina, Renato Sabbatini, que é founding fellow da International Academy of Health Sciences Informatics, sobre o assunto:


Quais as situações que hoje são praticadas na área médica no que diz respeito a troca de informações de pacientes, que a partir de 2020, quando a lei entrar em vigor, passarão a ser proibidas?
Kiatake – A coleta de informações pessoais de saúde para a tutela da saúde dispensa a necessidade de coleta de consentimento formal. A questão recai justamente no envio ou troca dessas informações para outras pessoas ou instituições. Em princípio, o envio de informações para as operadoras referente ao faturamento também não precisam de consentimento, mas se houver dados clínicos mais detalhados, como um relatório médico, já não há uma clareza absoluta.  Outras situações, como o envio de informações do consultório para o hospital no caso de uma internação, ou do laboratório para o hospital ou consultório é recomendada a coleta do consentimento do paciente. Nesse ponto se apresenta o papel fundamental do profissional de saúde a explicar ao paciente o que será feito com as informações, quem terá acesso, como será manipulado.  Vale destacar que a lei já está em vigor. As sanções previstas em lei é que entrarão vigor em 2020. Já vimos iniciativas do ministério público solicitando relatórios de impacto em privacidade de grandes empresas. Os profissionais de saúde já estão submetidos aos seus códigos de ética. Em princípio, a privacidade já deveria estar sendo praticada, e não deveria haver proibições.
O que a lei faz é esclarecer os direitos dos titulares e deveres daqueles recebem, armazenam, processam informações pessoais. Dentre os deveres estão uma série de processos e relatórios que precisarão estar implementados e disponíveis tanto para os pacientes quanto para a Autoridade Nacional de Proteção de Dados (ANPD).

Sabbatini – Toda e qualquer transação de informação (e não é só eletrônica, em papel ou filme também) que envolva dados pessoais identificados por qualquer campo de dados que permita isso, direta ou indiretamente, passa a ser proibido, sem o consentimento expresso e por escrito do paciente.  Isso se aplica a um número enorme de situações: telemedicina, cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar), SUS, intercâmbio de informações entre diferentes S-RES (por exemplo, pedidos e resultados de exames de laboratórios e de imagens, etc.). A área de saúde ainda não foi regulamentada na LGPD, portanto pode ser que algumas coisas mudem, mas a situação é potencialmente danosa para muitos sistemas de informação, ou seja, há muitos investimentos a serem feitos!

Existe um grande risco em usar meios sem os devidos controles para compartilhar informações clínicas identificadas. Quem já não mandou uma mensagem de WhatsApp para a pessoa errada? Se isso acontecer com informações clínicas, o profissional estará imediatamente sujeito às sanções.

– Luis Gustavo Kiatake, presidente da Sociedade Brasileira de Informática em Saúde (SBIS)


Quais você considera serem os principais desafios da área médica com estas mudanças?
Kiatake – Será necessário aumentar a maturidade nos controles de segurança de acesso, guarda e manipulação das informações, sejam eletrônicas como em papel. E aí são muitos desafios, pois é necessário agora considerar a informação um ativo, classificá-la, levantar os riscos de vazamentos e perdas, documentar, treinar, revisar os contratos com fornecedores e parceiros.

Sabbatini – Há dois grandes desafios. Primeiro, os softwares/aplicativos que tenham informações pessoais e de saúde terão que ser modificados em muitos casos. Além disso, terão de ser certificados por alguém (SBIS, por exemplo), ou seja, não valerá a auto-certificação. Por exemplo, na nova lei a trilha de auditoria do software terá que ser fornecida ao paciente, seu representante legal ou juiz. Em segundo lugar, todas as transações digitais, transmissões e todos os bancos de dados com informação pessoal terão que ser criptografados e, provavelmente, na área de saúde, assinados digitalmente (que é outra lei, a Lei da Digitalização do Prontuário, de 27 de dezembro). As modificações serão extensas e muito custosas.


Em relação a troca de mensagens entre médicos e pacientes via WhatsApp ou outras redes sociais ou e-mail, por exemplo, o que muda com a LGPD? Isso ainda será permitido?
Kiatake – Existe um grande risco em usar meios sem os devidos controles para compartilhar informações clínicas identificadas. Quem já não mandou uma mensagem de WhatsApp para a pessoa errada? Se isso acontecer com informações clínicas, o profissional estará imediatamente sujeito às sanções. Mas, ainda que isso não aconteça, o profissional pode ser solicitado a demonstrar quais meios utiliza para a manipulação das informações. E definitivamente o WhatsApp que temos atualmente não satisfaz os requisitos de controle necessários. Vale lembrar que a anonimização, ou seja, despersonalizar a informação, é uma importante opção.

Sabbatini – A princípio podem ser feitas, mas além da proteção das trocas de informações terem que ser criptografadas de ponta a ponta (como o WhatsApp já é, por exemplo). As caixas postais com mensagens persistentes também terão que ser protegidas, pois elas sempre têm a identificação das pessoas, e muitas mensagens são confidenciais por conterem dados médicos.

Renato-Sabbatini

Minha recomendação é que as empresas façam uma auditoria interna conduzida por um especialista em segurança da informação e proteção de dados pessoais para identificar as não-conformidades dos sistemas utilizados com a lei.

Renato Sabbatini, founding fellow da International Academy of Health Sciences Informatics


Que cuidados as clínicas médicas devem ter desde agora para estarem preparadas para as mudanças em 2020?
Kiatake – Preparar um documento de consentimento para os pacientes, descrever em um documento o fluxo da coleta e tratamento das informações, incluindo as informações cadastrais dos clientes. Caso a informação de saúde seja usada para qualquer outra finalidade que não o tratamento de saúde em si, é necessário incluir este propósito de uso no documento de consentimento.  Caso o estabelecimento já use alguma ferramenta de prontuário eletrônico, deve avaliar as questões de segurança, como controle de acesso, guarda da informação, backups.  Além disso, deve fazer levantamento dos ativos de informação, análise de riscos e de impacto em caso de vazamento da informação e as medidas a serem adotadas caso aconteça um incidente. Não são documentos complexos para uma clínica, mas precisam estar preparados e atualizados.

Sabbatini – Minha recomendação é que as empresas façam uma auditoria interna conduzida por um especialista em segurança da informação e proteção de dados pessoais para identificar as não-conformidades dos sistemas utilizados com a lei.  Em seguida terão que apelar para seu fornecedor de softwares e bancos de dados, provedor de hospedagem (Data Center, nuvem e etc.), para certificar-se que eles também protegem adequadamente os seus dados (se houver uma quebra, você é o responsável, juntamente com eles!).

Também será necessário nomear um responsável interno por proteção de dados, segundo a lei, ou terceirizar a gestão de segurança de informação, seguindo as normas de contratação de parceiros de negócios previstas, por exemplo, na norma ISO 27.001 e seguindo as boas práticas da ISO 27.799 (ambas já válidas no Brasil, pela ABNT, especialmente a última, que é especial para a área da saúde). Recomendo também obter uma certificação de aderência completa a SGSI (Sistemas de Gestão de Segurança da Informação) pelas normas ISO citadas.

Dentre as orientações dos especialistas, as clínicas devem preparar um documento de consentimento para os pacientes, descrever o fluxo da coleta e tratamento das informações, incluindo as cadastrais dos clientes, além de realizar auditoria interna conduzida por um especialista em segurança da informação e proteção de dados


Como garantir a privacidade do paciente sem prejudicar a necessária troca de informações entre os elos da cadeia do setor?
Kiatake – Atualmente essa questão já é um problema. Quando pensamos em um fluxo simples de pedido de exame ( laboratório – hospital), uma questão complicada será como transmitir o consentimento e mantê-lo atualizado, já que o paciente pode alterar o consentimento a qualquer momento.

Sabbatini – A lei não deixa claro, delimita algumas técnicas, como pseudoanonimização e criptografia. O melhor é proteger a troca de informações através de técnicas já previstas nos Requisitos de Certificação de Sistemas de Registro Eletrônico de Saúde da Sociedade Brasileira de Informática em Saúde, versão 4.3, bem como as normas ISO correspondentes do elenco 27.001 (são muitas, e complexas). O melhor esforço é o que vale perante a lei, que reconhece que é impossível 100% de segurança.

De que forma a LGPD impactará na troca de informações entre sistemas de prontuários eletrônicos e na elaboração de dados agregados como o Datasus?
Kiatake – Atualmente, infelizmente, ainda é muito pouco usual a troca de informações clínicas entre sistemas de PEP, então não há grandes impactos. Conhecemos alguns projetos de operadoras concentrando informações laboratoriais e de consultórios, sendo que estão sendo estudados os contratos entre as partes especificando as responsabilidades. Temos notícias de que o Datasus está estudando o melhor modelo de consentimento, anonimização e segurança. Lembrando que dados não identificados, desde que com anonimização consentida, não precisam seguir os controles da LGPD.

Sabbatini – Quanto aos prontuários, já expliquei acima: “desidentificação” com “pseudoanonimização”, e uso da assinatura digital com certificados compatíveis com a norma ICP Brasil, modelos A3 ou A4, com carimbo de tempo. Quanto à transmissão de dados agregados, não vejo problema, desde que o paciente ou seu responsável autorizem explícita ou implicitamente. O setor de saúde pública acha que escapará da lei e estão trabalhando nesse sentido, por outros motivos legais, mas não creio que ocorra.