LGPD na Saúde: como garantir a segurança de dados dos pacientes

15 min. de leitura

Desde 2020, clínicas médicas, hospitais, consultórios e demais estabelecimentos na área da saúde precisam manter seus sistemas adequados à Lei Geral de Proteção de Dados (LGPD). A LGPD na Saúde ainda pode passar por mudanças, mas profissionais da saúde e diretores dessas instituições devem estar atentos para adaptar seus processos e culturas internas de forma a garantir a segurança de dados de seus pacientes.

É importante entender estas alterações e contatar especialistas da área de TI e serviços que atendam essas exigências. Isso porque as regras para segurança de informações de pacientes preveem penalidades severas para instituições que não cumprem as normas, com multas que podem chegar a R$ 50 milhões.

Publicada no Diário Oficial da União em agosto de 2018, a lei número 13.709 fecha o cerco contra o compartilhamento de informações de clientes/pacientes sem consentimento.

A proposta visa acabar com o mercado de dados pessoais para fins comerciais sem a autorização do usuário, como por exemplo a venda de informações pessoais inicialmente coletadas por outras empresas.

A lei também tem por objetivo aumentar a segurança de informações confidenciais. Por isso, trata com mais rigor os dados passados entre os sistemas das próprias instituições da área da saúde, entre clínicas e hospitais, laboratórios ou operadoras de saúde. Além de precisar ser autorizado pelos pacientes, o compartilhamento destas informações só poderá ser feito se as mensagens forem criptografadas, ou seja, codificadas.

Confira a seguir por que o governo federal acelerou a aprovação desta lei, o que muda com a LGPD na saúde e quem fiscalizará as empresas.

O escândalo da Cambridge Analytica e a LGPD

A LGPD vinha sendo discutida ao longo de anos no Brasil, porém em julho de 2018 entrou na pauta do Senado em regime de urgência e no dia 14 de agosto foi sancionada pelo então presidente Michel Temer.

O processo de votação foi acelerado após o escândalo que envolveu a empresa Cambrigde Analytica e as eleições dos EUA, em 2016. A assessoria britânica (responsável pela campanha do então candidato à presidência Donald Trump e pela campanha para a saída do Reino Unido da União Europeia) foi acusada de coletar informações privadas de 87 milhões de usuários do Facebook e utilizar os dados para direcionamento dos conteúdos de campanha eleitoral de acordo com os interesses mapeados.

O episódio levou o criador da rede social mais popular do mundo, Mark Zuckerberg, ao Senado americano. Na ocasião, ele admitiu haver problemas na segurança dos dados dos usuários. A revelação acendeu o alerta sobre a fragilidade dos sistemas no mundo todo.

No Brasil, um episódio anterior ao escândalo mundial que envolveu o Facebook já deixou as autoridades da área da saúde de radar ainda mais antenado para a importância de um controle realmente seguro e confiável das informações dos pacientes.

Em março de 2017, informações de pacientes com cadastro do Cartão Nacional da Saúde, que na época já contava com mais de 120 milhões de usuários, foram vazadas em um site. As informações tinham dados como nome, CPF, RG, grupo sanguíneo, entre outros, e teriam sido repassadas a uma empresa norte-americana.

Como outros países lidam com a segurança de dados

A União Europeia foi a primeira a implementar uma lei para aumentar o rigor quanto à proteção de dados e identidade de seus cidadãos. A lei General Data Protection Regulation (GDPR) estabelece que, ao fornecer qualquer informação pessoal para empresas, o usuário seja informado sobre a finalidade da coleta de dados.

A partir disso, ele tem o direito de autorizar ou não a utilização de suas informações. A lei ainda prevê que o usuário tenha a possibilidade de solicitar a exclusão dos seus dados desses sistemas na hora em que achar mais conveniente.

Nos Estados Unidos, o Estado da Califórnia criou uma nova lei inspirada na GDPR para garantir a segurança da informação dos seus moradores. A Lei de Privacidade dos Consumidores da Califórnia (CCPA, do inglês California Consumer Privacy Act) entrará em vigor em 2020 e tem gerado grande repercussão no país norte-americano.

Nesta carona, em 2018 o Brasil votou a LGPD às pressas e, desde então, o tema tem gerado uma série de discussões.

O médico PhD Renato Sabbatini, um dos maiores especialistas em informática e saúde da América Latina, diz que no Brasil “o setor de saúde pública acha que escapará da lei”, mas ele não acredita que isso vá acontecer.

Sabbatini destaca que a área da saúde ainda não está regulamentada na LGPD, o que quer dizer que algumas situações já previstas podem passar por alterações.

“A situação é potencialmente danosa para muitos sistemas de informação. Ou seja, há muitos investimentos a serem feitos para se adequar às novas regras”.

– Renato M.E. Sabbatini, médico PhD e CEO do Instituto Edumed.

Os impactos da LGPD na Saúde

Como explicado anteriormente, a LGPD na Saúde ainda pode passar por alterações, mas pontuamos a seguir as principais alterações as quais gestores da área da saúde devem estar atentos de acordo com o que diz a lei hoje. Veja a seguir:

1. Dados de pacientes só poderão ser coletados e armazenados em sistemas com a autorização dos mesmos. Isso vale tanto para prontuários que serão criados daqui para frente quanto para dados que já estão no sistema. Isso quer dizer que as clínicas médicas terão de ir atrás dos pacientes já cadastrados no sistema para buscar esta autorização;
2. A medida anterior vale para toda transação de informação, não necessariamente só para a parte eletrônica, ou seja, dados registrados em papel, por exemplo, também precisarão da autorização;
3. Sabbatini destaca que as mudanças previstas na LGPD na Saúde se aplicam a um vasto número de situações, como telemedicina, cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar), SUS, intercâmbio de informações entre diferentes S-RES (como pedidos de exames de laboratórios), entre outros;
4. Mensagens trocadas entre médicos e pacientes via Whatsapp ainda poderão ser feitas, mas além da necessidade de serem criptografadas (o que o aplicativo já faz), as caixas postais com mensagens persistentes também terão de ser protegidas, já que contêm identificação da pessoa;
5. Empresas terão de nomear um responsável interno para proteção dos dados ou terceirizar a gestão de segurança de informação, conforme as normas de contratação de parceiros de negócios, como a norma ISO 27.001 e ISO 27.799 (esta é especial para a área da saúde);
6. Se a empresa contratada para proteção dos dados dos pacientes não tiver um sistema realmente seguro e houver qualquer fator que mostre quebra deste protocolo, o contratante do serviço também é responsabilizado pelo ato;
7. Os pacientes terão o direito de saber quais dados deles constam no sistema e para que finalidade essas informações serão utilizadas. Estes dados também deverão estar disponíveis para a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que editará normas e fiscalizará procedimentos relacionados à segurança dos dados pessoais dos usuários;
8. Os dados pessoais dos pacientes, assim como todas as transmissões de informações no sistema, deverão ser criptografados e, depois de cumprirem o objetivo; devem ser apagados;
9. O presidente da Sociedade Brasileira de Informática em Saúde (SBIS), Luis Gustavo Kiatake, esclarece que em princípio o envio de informações para as operadoras referente ao faturamento não precisará de consentimento, mas se houver dados clínicos mais detalhados, como um relatório médico, já não há clareza absoluta sobre a necessidade do documento.

Como garantir a segurança de dados dos pacientes

A LGPD prevê multas elevadíssimas a estabelecimentos que descumprirem as normas. O valor pode chegar a 5% do faturamento bruto da empresa responsável ou a um teto de R$ 50 milhões.

Para se blindar deste tipo de situação, as clínicas e hospitais devem contratar serviços com tecnologia de ponta, que garantam de fato a segurança dos dados dos pacientes.

Renato Sabbatini recomenda que estas instituições façam uma auditoria interna com um especialista em segurança da informação e proteção de dados pessoais para que verifiquem o que está ou não em conformidade com a lei e suas sanções. Em seguida, o especialista recomenda que estas empresas se certifiquem que seus fornecedores de softwares e bancos de dados e provedor de hospedagem, por exemplo, também estejam adequados às novas regras.

“Se houver uma quebra, você é o responsável, juntamente com eles”, enfatiza.

Segundo Sabbatini, as clínicas de saúde e hospitais têm dois grandes desafios maiores pela frente: garantir certificação de segurança para os softwares e aplicativos que contenham informações de pacientes, e providenciar que todas as informações de bancos de dados e para transmissões ou transações digitais sejam criptografadas.

O especialista ainda acrescenta que é provável que na área da saúde todas estas ações precisem de assinatura digital (que consta na Lei de Digitalização do Prontuário, de 27 de dezembro de 2018).

“Isso mostra que o processo de adequação vai requerer alto investimento”, afirma.

O presidente da SBIS, Luis Gustavo Kiatake, recomenda que as clínicas se preocupem em elaborar um documento de consentimento informando aos pacientes o fluxo de coleta e tratamento das informações, inclusive para as informações cadastrais.

“Caso a informação de saúde seja usada para qualquer outra finalidade que não o tratamento de saúde em si, é necessário incluir este propósito de uso no documento”, orienta.

– Luis Gustavo Kiatake, presidente da Sociedade Brasileira de Informática em Saúde (SBIS).

Kiatake também recomenda que as clínicas façam uma análise de riscos e de impacto em caso de vazamento da informação, além de estudar as medidas a serem adotadas caso aconteça um incidente.

O que muda na prática com a LGPD na Saúde

Além dos cuidados com a segurança oferecida pelos sistemas utilizados e em adequar as tecnologias já utilizadas à nova lei, profissionais da saúde precisarão rever a segurança na troca de informações em alguns processos usuais.

Hoje, por exemplo, é comum que as clínicas médicas enviem os dados dos pacientes para hospitais em casos de internação, assim como é comum a troca de informações entre laboratórios e hospital ou laboratórios e clínica.

Após a LGPD isso ainda é possível, porém, somente com o consentimento do paciente. Ou seja, deve haver um cuidado maior por parte das organizações em relação a informar os pacientes sobre o motivo da coleta de suas informações, para quem estes dados poderão ser passados e com qual finalidade.

Além disso, todas estas informações precisarão ser criptografadas e os softwares utilizados aprovados por instituições como a Sociedade Brasileira de Informática em Saúde (SBIS).

Em resumo, será preciso ter um cuidado muito maior com as informações.

Embora a troca de mensagens via aplicativos ou redes sociais, como o Whatsapp, não estejam proibidas, com a LGPD, os profissionais da área da saúde devem ficar atentos aos riscos assumidos para permanecer dentro das exigências.

Uma mensagem com informações clínicas de paciente enviada equivocadamente para outra pessoa, por exemplo, ou uma informação de paciente compartilhada com outro usuário sem autorização ou a devida proteção de dados estará sujeita às sanções.

“Existe um grande risco em usar meios sem os devidos controles para compartilhar informações clínicas identificadas. Quem já não mandou uma mensagem WhatsApp para a pessoa errada? Se isso acontecer com informações clínicas, o profissional estará imediatamente sujeito às sanções. Mas, ainda que isso não aconteça, o profissional pode ser solicitado a demonstrar quais meios utiliza na manipulação das informações. E, definitivamente, o WhatsApp que temos atualmente não satisfaz os requisitos para o controle necessário”, destaca Kiatake.

Conclusão sobre a LGPD na saúde

O principal alvo com a nova lei são empresas de tecnologia que hoje trabalham com compra e venda de informações de usuários para oferta de produtos. Mas isso não quer dizer que outras áreas não estarão na mira da ANPD, que será responsável por esta fiscalização.

A LGPD na saúde também é tema de amplo debate, já que hospitais, laboratórios, clínicas e sistemas da área em geral lidam com dados de extrema confidencialidade. Por isso, exigem um cuidado com a proteção das informações de pacientes transmitidas entre sistemas.

Ao contratar um fornecedor de novas tecnologias, os gestores de saúde devem buscar empresas que ofereçam sistemas seguros, com utilização de criptografia de ponta a ponta, que seja referência no mercado (uma boa forma de ver isso é buscar se a empresa já recebeu prêmios e foi destaque na área), se essa empresa tem selo de certificação da Anvisa e se atende às normas da GDPR.

A Portal Telemedicina, por exemplo, atende a todos estes requisitos.