Desde 2020, clínicas médicas, hospitais, consultórios e demais estabelecimentos na área da saúde precisam manter seus sistemas adequados à Lei Geral de Proteção de Dados (LGPD). A LGPD na Saúde ainda pode passar por mudanças, mas profissionais da saúde e diretores dessas instituições devem estar atentos para adaptar seus processos e culturas internas de forma a garantir a segurança de dados de seus pacientes.
É importante entender estas alterações e contatar especialistas da área de TI e serviços que atendam essas exigências. Isso porque as regras para segurança de informações de pacientes preveem penalidades severas para instituições que não cumprem as normas, com multas que podem chegar a R$ 50 milhões.
Publicada no Diário Oficial da União em agosto de 2018, a lei número 13.709 fecha o cerco contra o compartilhamento de informações de clientes/pacientes sem consentimento.
A proposta visa acabar com o mercado de dados pessoais para fins comerciais sem a autorização do usuário, como por exemplo a venda de informações pessoais inicialmente coletadas por outras empresas.
A lei também tem por objetivo aumentar a segurança de informações confidenciais. Por isso, trata com mais rigor os dados passados entre os sistemas das próprias instituições da área da saúde, entre clínicas e hospitais, laboratórios ou operadoras de saúde. Além de precisar ser autorizado pelos pacientes, o compartilhamento destas informações só poderá ser feito se as mensagens forem criptografadas, ou seja, codificadas.
Confira a seguir por que o governo federal acelerou a aprovação desta lei, o que muda com a LGPD na saúde e quem fiscalizará as empresas.
A LGPD vinha sendo discutida ao longo de anos no Brasil, porém em julho de 2018 entrou na pauta do Senado em regime de urgência e no dia 14 de agosto foi sancionada pelo então presidente Michel Temer.
O processo de votação foi acelerado após o escândalo que envolveu a empresa Cambrigde Analytica e as eleições dos EUA, em 2016. A assessoria britânica (responsável pela campanha do então candidato à presidência Donald Trump e pela campanha para a saída do Reino Unido da União Europeia) foi acusada de coletar informações privadas de 87 milhões de usuários do Facebook e utilizar os dados para direcionamento dos conteúdos de campanha eleitoral de acordo com os interesses mapeados.
O episódio levou o criador da rede social mais popular do mundo, Mark Zuckerberg, ao Senado americano. Na ocasião, ele admitiu haver problemas na segurança dos dados dos usuários. A revelação acendeu o alerta sobre a fragilidade dos sistemas no mundo todo.
No Brasil, um episódio anterior ao escândalo mundial que envolveu o Facebook já deixou as autoridades da área da saúde de radar ainda mais antenado para a importância de um controle realmente seguro e confiável das informações dos pacientes.
Em março de 2017, informações de pacientes com cadastro do Cartão Nacional da Saúde, que na época já contava com mais de 120 milhões de usuários, foram vazadas em um site. As informações tinham dados como nome, CPF, RG, grupo sanguíneo, entre outros, e teriam sido repassadas a uma empresa norte-americana.
Leia também: Especialistas discutem os impactos da LGPD na saúde
A partir disso, ele tem o direito de autorizar ou não a utilização de suas informações. A lei ainda prevê que o usuário tenha a possibilidade de solicitar a exclusão dos seus dados desses sistemas na hora em que achar mais conveniente.
Nos Estados Unidos, o Estado da Califórnia criou uma nova lei inspirada na GDPR para garantir a segurança da informação dos seus moradores. A Lei de Privacidade dos Consumidores da Califórnia (CCPA, do inglês California Consumer Privacy Act) entrará em vigor em 2020 e tem gerado grande repercussão no país norte-americano.
Nesta carona, em 2018 o Brasil votou a LGPD às pressas e, desde então, o tema tem gerado uma série de discussões.
O médico PhD Renato Sabbatini, um dos maiores especialistas em informática e saúde da América Latina, diz que no Brasil “o setor de saúde pública acha que escapará da lei”, mas ele não acredita que isso vá acontecer.
Sabbatini destaca que a área da saúde ainda não está regulamentada na LGPD, o que quer dizer que algumas situações já previstas podem passar por alterações.
“A situação é potencialmente danosa para muitos sistemas de informação. Ou seja, há muitos investimentos a serem feitos para se adequar às novas regras”. – Renato M.E. Sabbatini, médico PhD e CEO do Instituto Edumed.
Como explicado anteriormente, a LGPD na Saúde ainda pode passar por alterações, mas pontuamos a seguir as principais alterações as quais gestores da área da saúde devem estar atentos de acordo com o que diz a lei hoje. Veja a seguir:
A LGPD prevê multas elevadíssimas a estabelecimentos que descumprirem as normas. O valor pode chegar a 5% do faturamento bruto da empresa responsável ou a um teto de R$ 50 milhões.
Para se blindar deste tipo de situação, as clínicas e hospitais devem contratar serviços com tecnologia de ponta, que garantam de fato a segurança dos dados dos pacientes.
Renato Sabbatini recomenda que estas instituições façam uma auditoria interna com um especialista em segurança da informação e proteção de dados pessoais para que verifiquem o que está ou não em conformidade com a lei e suas sanções. Em seguida, o especialista recomenda que estas empresas se certifiquem que seus fornecedores de softwares e bancos de dados e provedor de hospedagem, por exemplo, também estejam adequados às novas regras.
“Se houver uma quebra, você é o responsável, juntamente com eles”, enfatiza.
Segundo Sabbatini, as clínicas de saúde e hospitais têm dois grandes desafios maiores pela frente: garantir certificação de segurança para os softwares e aplicativos que contenham informações de pacientes, e providenciar que todas as informações de bancos de dados e para transmissões ou transações digitais sejam criptografadas.
O especialista ainda acrescenta que é provável que na área da saúde todas estas ações precisem de assinatura digital (que consta na Lei de Digitalização do Prontuário, de 27 de dezembro de 2018).
“Isso mostra que o processo de adequação vai requerer alto investimento”, afirma.
O presidente da SBIS, Luis Gustavo Kiatake, recomenda que as clínicas se preocupem em elaborar um documento de consentimento informando aos pacientes o fluxo de coleta e tratamento das informações, inclusive para as informações cadastrais.
“Caso a informação de saúde seja usada para qualquer outra finalidade que não o tratamento de saúde em si, é necessário incluir este propósito de uso no documento”, orienta. – Luis Gustavo Kiatake, presidente da Sociedade Brasileira de Informática em Saúde (SBIS).
Kiatake também recomenda que as clínicas façam uma análise de riscos e de impacto em caso de vazamento da informação, além de estudar as medidas a serem adotadas caso aconteça um incidente.
Além dos cuidados com a segurança oferecida pelos sistemas utilizados e em adequar as tecnologias já utilizadas à nova lei, profissionais da saúde precisarão rever a segurança na troca de informações em alguns processos usuais.
Hoje, por exemplo, é comum que as clínicas médicas enviem os dados dos pacientes para hospitais em casos de internação, assim como é comum a troca de informações entre laboratórios e hospital ou laboratórios e clínica.
Após a LGPD isso ainda é possível, porém, somente com o consentimento do paciente. Ou seja, deve haver um cuidado maior por parte das organizações em relação a informar os pacientes sobre o motivo da coleta de suas informações, para quem estes dados poderão ser passados e com qual finalidade.
Além disso, todas estas informações precisarão ser criptografadas e os softwares utilizados aprovados por instituições como a Sociedade Brasileira de Informática em Saúde (SBIS).
Em resumo, será preciso ter um cuidado muito maior com as informações.
Embora a troca de mensagens via aplicativos ou redes sociais, como o Whatsapp, não estejam proibidas, com a LGPD, os profissionais da área da saúde devem ficar atentos aos riscos assumidos para permanecer dentro das exigências.
Uma mensagem com informações clínicas de paciente enviada equivocadamente para outra pessoa, por exemplo, ou uma informação de paciente compartilhada com outro usuário sem autorização ou a devida proteção de dados estará sujeita às sanções.
“Existe um grande risco em usar meios sem os devidos controles para compartilhar informações clínicas identificadas. Quem já não mandou uma mensagem WhatsApp para a pessoa errada? Se isso acontecer com informações clínicas, o profissional estará imediatamente sujeito às sanções. Mas, ainda que isso não aconteça, o profissional pode ser solicitado a demonstrar quais meios utiliza na manipulação das informações. E, definitivamente, o WhatsApp que temos atualmente não satisfaz os requisitos para o controle necessário”, destaca Kiatake.
O principal alvo com a nova lei são empresas de tecnologia que hoje trabalham com compra e venda de informações de usuários para oferta de produtos. Mas isso não quer dizer que outras áreas não estarão na mira da ANPD, que será responsável por esta fiscalização.
A LGPD na saúde também é tema de amplo debate, já que hospitais, laboratórios, clínicas e sistemas da área em geral lidam com dados de extrema confidencialidade. Por isso, exigem um cuidado com a proteção das informações de pacientes transmitidas entre sistemas.
Ao contratar um fornecedor de novas tecnologias, os gestores de saúde devem buscar empresas que ofereçam sistemas seguros, com utilização de criptografia de ponta a ponta, que seja referência no mercado (uma boa forma de ver isso é buscar se a empresa já recebeu prêmios e foi destaque na área), se essa empresa tem selo de certificação da Anvisa e se atende às normas da GDPR.
A Portal Telemedicina, por exemplo, atende a todos estes requisitos.
O CEO da Portal Telemedicina, Rafael Figueroa, teve a honra de ministrar uma aula magna…
O CID A02, parte da CID-10 (Classificação Internacional de Doenças, Décima Revisão), refere-se a "Outras…
Entre os dias 14 e 15/11 de 2024, a Portal Telemedicina esteve no Amapá participando…
O chamado "chip da beleza" ganhou notoriedade nos últimos anos como uma suposta solução milagrosa…
A escolha correta da via de administração de medicamentos pode definir a eficácia do tratamento…
O teste de Romberg (ou prova de romberg) é uma ferramenta diagnóstica simples, mas poderosa,…