Cadastros. Troca de fichas de pacientes. Placas de identificação nos quartos. Envio de amostras para laboratórios. Checagem de dados de seguro de saúde. Debate de diagnósticos.
Além de essas ações serem parte do cotidiano de clínicas, hospitais e laboratórios, elas têm outra coisa em comum: informações de pacientes. E, por se tratarem de dados pessoais, elas também serão afetadas pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Mas as alterações não se limitam só aos exemplos citados. Saiba agora como a LGPD vai modificar muitos dos processos que são essenciais para o setor hospitalar.
O que é a LGPD?
A LGPD trata da regulamentação da coleta, uso, transferência e proteção de dados pessoais dos cidadãos brasileiros, representando um marco para a segurança de dados no país. Ela dá mais controle ao usuário sobre o que as empresas estão fazendo com as suas informações Além, é claro, de regulamentar o nível de segurança que a empresa oferece aos dados.
Se a organização descumprir as normas da Lei ou sofrer vazamentos, ela pode ser multada em até 2% de seu faturamento, limitados a R$ 50 milhões, por infração. Para saber mais detalhes sobre a lei, clique aqui.
Bom, já deu para ter uma ideia de que a LGPD vai influenciar, e muito, os processos organizacionais das empresas, certo? Mas como ela vai se aplicar ao setor de saúde?
A coleta de informações
É impossível para uma instituição de saúde funcionar sem as informações pessoais dos pacientes, certo? O médico precisa ter acesso a tudo o que for referente à saúde e o administração precisa manter um cadastro atualizado de informações bancárias, endereço, etc.
Tudo isso são dados sensíveis que fazem parte da regulamentação da LGPD. A partir de 2020, o usuário precisará autorizar o recolhimento dessas informações, saber para que elas servirão, quem terá acesso a elas, com quem serão compartilhadas e também poderão solicitar a exclusão de informações. E isso vale para todos os pacientes, inclusive para os que já estão armazenados nos sistemas.
Informações de colaboradores
É importante destacar que este rigor do gerenciamento de dados previsto pela LGPD não se restringe apenas aos pacientes. Ela vai também para todo o corpo efetivo da instituição, prestadores de serviços, terceirizados, parceiros e mesmo para pessoas que tenham mandado currículos para a instituição. Ou seja, o departamento de recursos humanos também precisará passar pelas mesmas adequações.
Identificação de pacientes
A LGPD veta a exposição de dados pessoais de qualquer forma. Isso significa dizer que até mesmo o ato de afixar placas de identificação nos quartos de pacientes terá que ser repensada. Absolutamente nenhuma informação sensível dos pacientes pode estar exposta, por isso os organizações de saúde terão de achar outros meios de fazer essa identificação.
Cultura de segurança
Para a proteção total dos dados, será necessário mudar inclusive a cultura de segurança entre os colaboradores. É imprescindível que todos os funcionários da organização estejam à par da LGPD e saibam as diretrizes exigidas pela lei.
Imagine só o cenário: a administração já conseguiu adequar todo o sistema de dados e armazenagem, tudo corre perfeitamente bem. Um dia, uma figura famosa é internada nesta unidade hospitalar e um dos funcionários atualiza a ficha cadastral do paciente. Uma terceira pessoa se aproveita de um momento de distração em que o funcionário deixa a tela do computador desbloqueada, tira uma foto da ficha e divulga para a imprensa. Isso configura vazamento de dados. E quem seria penalizado por ele seria a unidade de saúde.
Em caso de vazamentos
Caso um vazamento de dados venha a ocorrer na unidade de saúde, além de estar sujeita às punições previstas pela Lei Geral de Proteção de Dados, ela também sofrerá penalidades por parte dos clientes afetados. Uma vez que a LGPD não tem relação com demais códigos de defesa (por exemplo, o Código de Defesa do Consumidor), as pessoas que forem lesadas poderão entrar com recurso judicial por danos morais e materiais.
Além, é claro, da publicidade negativa, pois a LGPD também determina que a empresa infratora exponha que houve o vazamento e quantas pessoas foram afetadas por ele.
Quais medidas tomar para se adequar?
Antes de mais nada, é preciso fazer uma identificação de absolutamente todos os dados contidos na instituição. Levantamentos de pacientes (novos e antigos), colaboradores, prestadores de serviços, parceiros, sócios. É necessário que essas informações sejam categorizadas e monitoradas.
As regras de privacidade também precisarão ser revisadas, de forma que fique muito bem definido quem poderá acessar, controlar, processar e transferir os dados e os propósitos dessas escolhas.
Em terceiro lugar, é preciso investir em proteção, tanto física quanto virtual. Todas as informações precisam ser guardadas em ambientes controlados e comprovadamente seguros. Além disso, também é de suma importância implantar soluções de proteção e segurança, com redes criptografadas e softwares de monitoramento.
Por fim, sua organização precisará passar por constantes varreduras, a fim de certificar de que aquele ambiente é realmente seguro. A Autoridade Nacional de Proteção de Dados (autoridade que vai regulamentar a aplicação da Lei) tem autonomia para realizar auditorias e exigir relatórios de riscos de qualquer instituição. Por isso, é muito importante manter um monitoramento constante e efetivo das aplicações.
A categoria de saúde naturalmente acumula uma enorme quantidade de informações ultra sensíveis de muitas pessoas. Se tornando um alvo muito visado para cibercriminosos e, consequentemente, para a agência reguladora. Por se tratar de uma das áreas que mais sentirá o impacto da LGPD, o setor também será cobrado pela sociedade. Assim, cada dia até a data final para a implementação é extremamente valioso.