LGPD na saúde

A partir de agosto de 2020, em virtude da nova Lei Geral de Proteção de Dados, também conhecida pela sigla LGPD, empresas de todos os portes e segmentos precisarão garantir que seus parceiros e clientes autorizem de maneira formal a coleta de suas informações pessoais.

Também devem garantir ao cliente o direito de saber a finalidade da coleta, bem como quem terá acesso aos dados, como serão armazenados e se haverá compartilhamento das informações.

Também é importante destacar que a Lei Geral de Proteção de Dados se baseia em 10 princípios:

Impacto no setor de saúde

Com a vigência da LGPD o setor da saúde deverá se preparar para a adequação, tanto na questão da coleta de dados e informações médicas dos prontuários dos pacientes (físicos e virtuais), no rigor com o sigilo médico e, também, quanto na questão das instalações de infra-estrutura e documentação hospitalar.

Algumas medidas preventivas são importantes:

● Só exponha ou utilize informações do paciente nas instalações da organização caso tenha autorização formal dele;

● Treine a equipe com relação à deveres, direitos e punições relacionadas à LGPD;

● Mapeie, categorize e monitore as informações de pessoas que circulam na instituição;

● Invista em soluções de segurança dos dados coletados; e

● Mantenha o constante monitoramento das ações e revisão dos processos.

● No caso de menores, com idade inferior a 12 anos, a LGPD exige um cuidado extra com relação à manipulação dos dados. As informações só podem ser coletadas mediante a autorização dos respectivos responsáveis legais e a forma de comunicação com o cliente deve considerar o perfil do público, ou seja, ao falar com uma criança ou jovem, não é permitido usar termos jurídicos ou qualquer outra linguagem de difícil interpretação e compreensão.

Eventuais não observações da norma, sujeitam os responsáveis a multas simples ou diárias de até 2% do faturamento da empresa, limitado a R$ 50 milhões por infração.

Além disso, também poderão ter os dados irregulares bloqueados para o uso ou a infração amplamente divulgada.

Princípios da LGPD

Finalidade – Dados coletados só podem ser tratados para fins legítimos e especificados aos titulares, ou seja, as empresas não podem coletar informações e, depois, usá-las para outros fins. Por exemplo, o hospital diz que vai utilizar um dado para fins de internação do paciente e depois utiliza a informação para compor uma pesquisa que será divulgada na imprensa.

Adequação – O tratamento dos dados deve ser compatível com a finalidade que foi informada para o usuário. Ou seja, a empresa não pode usar os dados dos clientes para qualquer fim que não tenha sido previamente informado. Por exemplo, se o paciente manifestou o desejo de ser acessado apenas por e-mail, ele não pode receber ligações ou mensagens de texto da instituição.

Necessidade – Os dados devem ter o uso limitado ao necessário para o alcance de objetivos pré-estabelecidos. Ou seja, as empresas devem coletar apenas aquelas informações estritamente necessárias para prestação dos seus serviços. Por exemplo, caso o objetivo seja disparar e-mails, é desnecessário solicitar o número do telefone ou endereço do paciente.

Livre acesso – Os titulares dos dados devem sempre ter acesso fácil e gratuito às suas informações, além de serem informados sobre como essas informações serão utilizadas e qual será a duração desse processo. Por exemplo, um paciente cadastrado em uma base de dados há seis meses, pode decidir revisar as informações ou excluir dados que não queira mais compartilhar com a organização.

Qualidade dos dados – Princípio que garante aos titulares que seus dados serão exatos, terão informações claras, relevantes e atualizadas para tratamento. Por exemplo, se o paciente, cadastrado em uma base de dados há algum tempo, notou que as informações estão desatualizadas, poderá solicitar alteração a qualquer momento.

Transparência – Garante aos usuários informações claras e de fácil acesso sobre o tratamento de seus dados e quem são os responsáveis por tratá-los. Por exemplo, ao receber um SMS de um hospital falando sobre uma nova unidade de atendimento na região onde mora, o paciente pode questionar o motivo para que tenha recebido essa mensagem e qual critério utilizaram para selecioná-lo.

Segurança – As empresas que tratam de dados devem adotar medidas para proteger as informações de acessos não autorizados, eventos acidentais, alteração, perda, comunicação ou compartilhamento irregular. Por exemplo, o paciente informou o número do seu CPF ou Seguro de Saúde para realizar um procedimento. É responsabilidade da empresa proteger esses dados para que esse usuário não seja prejudicado por fraudes.

Prevenção – É importante adotar medidas para prevenir a ocorrência de danos no tratamento das informações. Em caso de invasão ao sistema em que os dados estão armazenados, por exemplo, a empresa detentora de dados de cidadãos brasileiros será responsabilizada por qualquer uso indevido das informações que estavam em seu poder.

Não discriminação – Os dados não podem ser utilizados para a promoção de ações ilícitas, discriminatórias ou abusivas. Por exemplo, o tabelamento do mesmo serviço por preços diferentes, considerando a região de residência do cliente, que foi identificada no banco de dados, é uma prática considerada inadequada.

Responsabilização e prestação de contas – As organizações são responsáveis pelos dados que detém e, por essa razão, têm o dever de informar quando terceiriza o tratamento das informações, bem como identificar o encarregado pela tarefa. Dessa forma, a empresa deve a possuir documentação que comprove a regularidade do processo, em concordância com a lei.

Em caso de informações adicionais, ou eventuais outros esclarecimentos, entrem em contato conosco e avaliaremos um plano de adequação à LGPD.