Quem Somos
serviços
parceiros
blog
contato
blog
brandguide-pulsati-2-dark-grey
LGPD

LGPD em Conformidade nas Instituições de Saúde

  • Blog, Principais/destaques
Vamos compreender, de uma forma simples, o que é a LGPD, prazo para adequações e suas penalidades. Além de discutir como isso afeta as instituições de saúde e necessárias conformidades à lei. 

Em maio de 2018, entrou em vigor a General Data Protection Regulation (GDPR) na Europa, após o escândalo de uso ilícito aos dados pessoais de usuários da rede social Facebook por uma empresa de consultoria. Com isso, em agosto do mesmo ano foi sancionado no Brasil a Lei Geral de Proteção de Dados (LGPD), após a unificação dos textos da Câmara e Senado no PLC nº 53.

A lei que entrou em vigor em agosto de 2020 estabelece novos padrões de condutas e assegura que os dados pessoais precisam ser tratados de maneira legítima e segura.

O impacto será significativo levando em consideração que a transição dos dados pessoais vem sendo fundamental para os novos negócios. Portanto, estar conforme com a Lei nos torna pró-ativos a possíveis acontecimentos, prevenindo incidentes relacionados ao tratamento de dados pessoais.

Como isso afeta as instituições de saúde?

A Lei se aplica aos dados pessoais de indivíduos localizados no Brasil, isso inclui informações contidas em meios físicos (folha de papel) ou digitais (sistemas, arquivos nos computadores). Para isso, a administração pública federal criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. A partir de agosto desse ano todas as empresas estarão sujeitas as seguintes sanções e multas:
Sancoes-1005x1024
Além dessas penalidades, a não parametrização com a LGPD implica no bloqueio dos dados pessoais na base de dados, na sua eliminação e, provável divulgação na mídia informando o vazamento de dados, responsabilizando publicamente a instituição.
compliance-1005x1024

O vazamento de informações em si tem como principal causa a falta de conhecimento, procedimento e monitoramento, mas apesar disso, atualmente, poucas são as instituições de saúde que estão com os seus ambientes adequados às determinações da LGPD. Além disso somente 23% dos estabelecimentos possuem política de privacidade.

Em 2020, o prejuízo médio no setor de tecnologia com vazamento de dados foi de US$ 5,04 milhões. No setor de Saúde, o maior prejuízo foi em 2018, com valor de US$ 10,00 milhões (R$ 52,8 milhões) e terminou 2020 liderando novamente com o prejuízo de US$ 7,1 milhões (R$ 37,5 milhões), como descreve o gráfico abaixo.

LGPD-GRAFICO

Então, dada sua urgência, como as instituições de saúde devem se organizar para se adaptar a LGPD dentro do prazo?

Para responder essa pergunta, é necessário trabalhar de forma ágil. Com o prazo eminente, precisamos ter em mente alguns conceitos, fundamentais para agilidade dos procedimentos em sequência.
1. Compreender alguns conceitos:
  • Dados pessoais: São considerados dados pessoais todos que permitam identificação direta ou indireta de uma pessoa. Os mais comumente vistos são RG, CPF, passaporte, carteira de habilitação, mas será necessário se preocupar com outros tipos de dados que antes não eram considerados tão importantes, como endereço, telefone, e-mail, IP e até mesmo cookies.
  • Dados sensíveis: Os dados sensíveis são tratados com ainda mais cautela pois abrem margem para discriminação. O artigo quinto da LGPD prevê que sejam considerados dados pessoais sensíveis os dados que façam referência a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biomédico, quando vinculado a uma pessoa natural”.
  • Dados pessoais: São considerados dados pessoais todos que permitam identificação direta ou indireta de uma pessoa. Os mais comumente vistos são RG, CPF, passaporte, carteira de habilitação, mas será necessário se preocupar com outros tipos de dados que antes não eram considerados tão importantes, como endereço, telefone, e-mail, IP e até mesmo cookies.
  • Dados sensíveis: Os dados sensíveis são tratados com ainda mais cautela pois abrem margem para discriminação. O artigo quinto da LGPD prevê que sejam considerados dados pessoais sensíveis os dados que façam referência a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biomédico, quando vinculado a uma pessoa natural”.
2. Preparar algumas documentações:
  • Extrações de relatórios (usuários ativos, funções liberadas por perfis, perfis liberados aos usuários, entre outros);
  • Políticas de acesso;
  • Termos de privacidade do paciente e colaborador, entre outros.
3. Identificar no Sistema:
  • Dados pessoais sensíveis;
  • Dados que identificam as pessoas;

Os profissionais que realizam as admissões dos pacientes nas instituições de saúde devem ter a visualização de dados que identificam as pessoas, como: nome completo, endereço, telefone, entre outros. Entretanto não será necessário acessar informações sensíveis do paciente como: diagnóstico, sinais vitais, informações dos tratamentos, entre outros.

Assim, as permissões de acessos as informações que identificam as pessoas ou aos dados sensíveis estarão disponíveis aos profissionais conforme as necessidades para execuções de suas atividades.

Dados-sensiveis-1005x1024
4. Reestruturar fluxos:
  • Em qual momento será impresso o termo de privacidade e coletado a assinatura como de acordo do paciente;
  • Qual setor será responsável em emitir todas as informações do prontuário a pedido do paciente;
  • Quem deverá autorizar as exclusões de dados dos pacientes, entre outros.
5. Definir e parametrizar:
  • Prazo para retenções das informações no sistema, incluindo informações de saúde dos pacientes;
  • Acessos ao Prontuário Eletrônico do Paciente;
  • Gerenciamento de Logs;
  • Gestão de acesso (Usuários, Perfis e Funções);
  • Exclusões de dados do paciente;
  • Acessos aos pacientes diferenciados e colaboradores sendo pacientes;
  • Anonimizar as informações no banco de dados, entre outros.

Resumindo, precisamos começar já!

Email
Whatsapp
Tiago Mereu 2 300x294 1
Tiago Mereu é Coordenador de Projetos da Müller, perito em informática pela Justiça Federal de São Paulo, bacharel em Ciência da Computação, com MBA em Segurança da Informação, em Gerenciamento de Projetos e especialista em Informática em Saúde, pela Unifesp.
Laura Cecilio 2 300x300 1
Laura Cecilio é coordenadora de marketing e comunicação interna na Müller e atua como orientadora nos artigos técnicos dos consultores. Formada em Comunicação e Multimeios pela UEM e mestra em Comunicação e Semiótica na PUC-SP.
outras
publicações

Siga-nos para mais novidades

Soluções tecnológicas
Quem Somos
serviços
parceiros
blog
contato
fale com um dos nossos consultores

Falar com um especialista nunca foi tão fácil. Basta preencher o formulário abaixo e clicar em enviar, que um dos nossos especialistas lhe retornará em menos de 24h.

Ou, também pode nos contatar por