Vamos falar sobre um assunto muito importante e que tem gerado muitas dúvidas: como a LGPD tem impactado o setor de saúde?

Vamos falar sobre um assunto muito importante e que tem gerado muitas dúvidas: Como a LGPD tem impactado o setor de saúde?

Precisamos falar sobre esse assunto por a saúde ser um segmento que definitivamente já entrou na era digital. Telemedicina, históricos de exames, prontuários médicos, etc. Dados sobre pacientes circulam por toda a estrutura de hospitais, clínicas e operadoras de saúde. Muitos processos estão sendo automatizados e otimizados com ajuda da tecnologia. Isso resulta numa imensa massa de dados que precisa ser resguardada nas melhores políticas de segurança da informação, para estar em compliance com as exigências da LGPD.

Além disso, justamente pela riqueza de informações pessoais e sensíveis que as instituições de saúde possuem de seus pacientes, elas tem sido alvos comuns de ataques de hackers/ransomwares, buscando sequestro de dados a câmbio de pagamento de resgate. Isso força as instituições a investir fortemente em melhores práticas de segurança da informação, o que é uma das exigências da lei.

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD), de nº 13.709/2018, chegou para definir regras e controles sobre o uso de dados pessoais do cidadão brasileiro.

Mas o que são dados pessoais?

São todos os dados relacionados a uma pessoa, esteja ela diretamente identificada ou não. Ou seja, são as informações coletadas pelas empresas, e permitem identificar uma pessoa, estando esses dados online ou não.

Na prática, portanto, as empresas precisam proteger ao máximo esses dados, evitando furto e vazamento de informações. Além disso, os titulares dos dados precisam saber exatamente quais são as finalidades da coleta desses dados, consentirem com essa coleta, e, a qualquer momento, solicitar esclarecimentos e requerimentos às empresas (como a exclusão de seus dados do sistema, por exemplo). 

A empresa que violar as normas da LGPD fica sujeita a sanções, como o pagamento de multa, que pode chegar a R$ 50 milhões, além de sanções administrativas. Para isso, foi instituída uma Autoridade Nacional de Proteção de Dados (ANPD), órgão vinculado à Presidência da República, que será a responsável por acompanhar e aplicar as sanções. 

Quanto à LGPD na área da saúde? 

Bom, já que a LGPD trata sobre todas as empresas públicas e privadas, a área da saúde não poderia ficar de fora. Nesse caso, estamos falando de dados gerados por laboratórios, hospitais, clínicas, empresas de seguro, etc. Esses dados são sensíveis, já que envolvem histórico e documentação de pacientes, além de contratos, pagamentos e diagnósticos, que, inclusive, podem interferir nos atendimentos prestados no futuro. 

Em todos esses casos, podemos dizer que a área de saúde precisa reforçar a segurança desses dados. O que antes dependia de políticas internas, com a LGPD é requisito mínimo para as empresas funcionarem. Casos como vazamentos e exposição de dados precisam ser combatidos diariamente, evitando prejuízos financeiros e danos à imagem da instituição, bem como, também prejuízos aos próprios pacientes. 

Em 2016, por exemplo, falhas na segurança dos dados expuseram todos os dados pessoais e históricos de 650 mil pacientes atendidos pelo SUS e também de servidores da Secretaria Municipal de Saúde de São Paulo. A LGPD, portanto, precisa ser levada a sério pelas empresas de saúde.

Webinar completo e gratuito sobre "O futuro do armazenamento de dados já chegou: PowerStore Dell". Assista agora!

Quais medidas organizações do setor da saúde precisam tomar para estar em compliance com a LGPD?

Ainda existe uma ampla discussão sobre como o setor de saúde pode reforçar a segurança dos dados de seus clientes e pacientes.

Um desses desafios, por exemplo, gira em torno da interoperabilidade, isto é, a troca de informações entre computadores, além da possibilidade de executar programas por meio de várias unidades funcionais para que sistemas e protocolos conversem entre si. De uma forma geral, esses sistemas costumam ser de padrões abertos (ou seja, não protegidos), o que acaba demandando uma atenção mais que redobrada com a segurança dos dados.

De qualquer maneira, existem meios de se adequar à LGPD e manter a obrigação de sigilo dos dados pessoais. Aliás, essa lei vem de encontro às normas já estabelecidas pelo Conselho Federal de Medicina, que já estabelece regras rígidas referentes ao sigilo dos dados dos pacientes. 

Portanto, a seguir separamos algumas dicas para o setor de saúde se adaptar à LGPD:

• Realize o levantamento de todos os processos, sejam eles digitais ou físicos, onde há acesso de informações de pessoas físicas, sejam colaboradores, pacientes ou fornecedores.
• Crie um mapa de dados completo, relacionando todos esses processos.
• Avalie se estes processos são efetivamente necessários para a organização.
• Analise se efetivamente todas as pessoas envolvidas nos tratamentos de dados pessoais precisam ter esse acesso. 
• Lembre-se que a troca de dados com empresas fornecedoras também afeta o seu negócio. Certifique-se que seus fornecedores também estão adequados à LGPD.
• Faça um levantamento de todos os clientes e pacientes novos e antigos, além de todos os prestadores de serviços, funcionários, sócios, etc. Separe essas informações em categorias e invista em ferramentas de monitoramento.
• Identifique todos os dados coletados e armazenados pela empresa. Como eles são coletados e armazenados? Existem brechas de segurança? 
• Revise todas as políticas de privacidade e deixe tudo muito claro sobre as pessoas autorizadas a acessar, controlar e processar todos os dados coletados.
• Uma das bases legais previstas na Lei é o consentimento. Revise se seu termo de consentimento está adequado ao que a nova Lei exige.
• Se a empresa utiliza inteligência artificial (como chatbots) para o atendimento ao cliente e/o paciente, a pessoa precisa saber exatamente o que será feito com seus dados, consentindo sobre isso. 
• Os pacientes e clientes da área médica têm o direito de solicitar o acesso a esses dados, bem como a exclusão deles e a portabilidade para outra empresa.
• Invista em tecnologia segura, cujos sistemas estejam adequados às normas de segurança dos dados. 
• Tenha uma política de backup de dados. 
• Fique atento aos locais onde os servidores da empresa estão hospedados, como, por exemplo, em países estrangeiros onde não existe nenhuma regulamentação sobre a proteção de dados. Evite. 
• Invista em monitoramento de dados.
• Busque apoio de uma consultoria especializada em LGPD para ajudar a sua instituição de saúde a entrar em adequação à lei.

A Flowti possui um Programa de Adequação à LGPD completo, que envolve governança, tecnologias e conformidade documental. Significa dizer que entregamos em uma só consultoria a análise jurídica e de vulnerabilidades da sua infraestrutura de TI quanto à segurança da informação. O programa já foi realizado e auxiliou diversas instituições de saúde a entrarem em adequação à lei.