LGPD para Clínicas e Hospitais: como se adequar à Lei Geral de Proteção de Dados Pessoais
Sendo a Medicina uma área tão importante à sociedade, é comum para os médicos se depararem com novas normas, leis e regulamentações. Entretanto, em clínicas e hospitais, muito ainda se discute sobre a nova Lei Geral de Proteção de Dados, a LGPD. Isto é, muitos profissionais da Medicina ainda julgam a necessidade de adaptação a essa nova lei. Em síntese, toda empresa terá que se adaptar a ela e aquela que não a cumprir, terá que arcar com multas milionárias.
A Lei nº 13.709, de 14 de Agosto de 2018, se enquadra a qualquer pessoa física ou jurídica que colete dados pessoais tanto por meio digital ou presencial. Dados pessoais são considerados, pela lei, qualquer informação relacionada a pessoa natural identificada ou identificável. Dados pessoais sensíveis são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Uma clínica ou hospital, tal como seus profissionais, coletam muitos desses dados de um paciente. O prontuário médico, por exemplo, vai muito além da patologia e tratamento, contendo inúmeros dados e informações sensíveis de uma única pessoa.
A LGPD visa principalmente o respeito à privacidade e à inviolabilidade da intimidade, da honra e da imagem de uma pessoa. Portanto, já é entendível a tamanha importância do gestor, do médico e de toda equipe da clínica ou hospital quanto à atenção à LGPD e ao tratamento dessas informações.
Com o intuito de desmistificar este assunto, nesta página da STAR Telerradiologia, você verá as principais questões acerca da LGPD em relação à área médica, sendo:
O assunto é de grande relevância para qualquer organização. Sendo assim, compartilhe com colegas profissionais e com sua equipe. Participe e comente em nossas redes sociais.
1. Clínicas e hospitais devem se adequar a LGPD?
Com base no que diz a LGPD, toda clínica médica e hospital que coleta dados de pacientes deve criar uma política pública de coleta de dados. Ainda mais, isso deve demonstrar a razão pela qual a organização médica coleta esses dados, onde eles são armazenados e por quanto tempo eles ficam armazenados.
Além disso, a clínica ou hospital deve nomear um Encarregado de Proteção de Dados, uma nova função que surge com a LGPD, conhecida também como DPO (do inglês, Data Protection Officer), e deve tomar diversas outras ações, as quais abordaremos ainda neste artigo.
Muitos gestores acreditam que basta apenas possuir um serviço de prontuário eletrônico adequado com a LGPD. Certamente, como vimos, isso é um grande erro. Isso porque se a organização de saúde não adotar a política completa de “compliance”, será advertida e penalizada com multas que vão de 2% do faturamento anual até o limite de cinquenta milhões de reais. Também falaremos disso a seguir.
Por fim, à questão do tópico, cabe ressaltar que a instituição médica que não se adequar à nova LGPD pode ser impossibilitada de promover suas atividades. Pois, terá, além das multas, suspensão do direito de tratamento de qualquer dado pessoal durante 6 meses – e assim prorrogável por igual período até a regularização.
2. LGPD simplificada para clínicas e hospitais
A Lei Geral de Proteção de Dados Pessoais visa proteger o tratamento dos dados pessoais em qualquer tipo de relação e organização. Isto é, tanto os dados de pacientes, quanto de colaboradores, como também de parceiros.
Como vimos acima, os dados pessoais são aqueles que identificam uma pessoa ou a torna identificada. Sendo assim, dados de endereço IP, número de ID, login e demais objetos da tecnologia, também podem ser pertinentes à LGPD.
Evidentemente, o objetivo da LGPD não é complicar ou impedir que uma clínica ou hospital, por exemplo, use dados pessoais de um paciente. Mesmo em diversas outras áreas, a coleta de dados é essencial para um melhor atendimento ou tomada de decisão.
Outra vez, a LGPD visa o tratamento dos dados. Ou seja, confere que os dados coletados ou enviados por um paciente, neste caso, sejam mantidos e tratados com segurança. Isto é, além do consentimento do paciente, a política definida pelo serviço de saúde para coleta de dados deve cobrir o armazenamento, o compartilhamento, o arquivamento e a transmissão de suas informações.
Para sermos mais específicos, em uma relação com a STAR Telerradiologia, por exemplo, em que recebemos o exame de um paciente de um Centro de Imagem para realizar o laudo. Tanto a organização quanto a STAR, devem assegurar a proteção dos dados desse paciente. Em vista disso, faz-se saber que tão importante quanto nossos dados corporativos, são os dados pessoais dos pacientes das clínicas e hospitais que atendemos. E assim deve ser, com base nas regras da nova LGPD.
Em outras palavras, a LGPD tem como intuito reforçar a segurança de toda e qualquer informação, não apenas da empresa. Além disso, transparecer o tratamento destes dados: motivo da coleta, por quem serão utilizados, etc.
Por isso, é um grande equívoco acreditar que a LGPD se restrinja apenas à coleta de dados on-line. Ou seja, independe de ser uma empresa digital ou presencial, de ser uma grande ou pequena empresa, de serem dados de um paciente ou parceiro. Em outras palavras, todo ser humano merece a proteção de seus dados pessoais.
3. Somente o sistema de prontuário eletrônico adequado à LGDP não é o suficiente.
Com a vigência da LGPD, empresas de sistemas de prontuário eletrônico se adequaram às novas regras. Por isso, essas empresas passam a reforçar a recente adaptação e atualização tanto para os clientes atuais quanto para os novos. Se uma clínica ou hospital possui algum sistema parecido, possivelmente tenha recebido novos comunicados da empresa contratada sobre a LGPD.
Isso pode fazer com que a administração da clínica ou hospital sinta-se segura e acredite que já está cumprindo as novas exigências. Porém, ter um sistema de prontuário eletrônico adequado a LGPD é apenas um dos diversos passos exigidos pela implementação da nova lei.
Isto é, dentre estes passos está também o compliance. Compliance – conformidade em português, visa disciplinar a conduta e adequação da empresa para cumprimento de todas as políticas, normas regulamentares, diretrizes, regras.
Portanto, o compliance, nesse caso, será um guardião da LGPD. Isso porque ele deverá relacionar normas e procedimentos adequados à lei, desde a chegada de um dado pessoal à clínica ou hospital até o seu pós-processamento e armazenamento.
É interessante destacar que aquela foto ou informação chegada através de e-mail ou mensageiro instantâneo, até mesmo para o médico, deverá ter um procedimento exclusivo. Pois, essa é uma informação relacionada a pessoa natural identificada ou identificável. Portanto, se ocorrer um vazamento deste dado, pode acontecer a violação da intimidade, da honra e da imagem do paciente.
Assim, é notório que apenas um sistema de prontuário eletrônico adequado a LGPD não é o suficiente para que a clínica médica ou hospital estejam de acordo com a Lei Geral de Proteção de Dados Pessoais.
Por fim, quem deverá orientar e monitorar a equipe quanto a esses procedimentos e quanto a reclamação deles, como também sua devida importância, será o DPO da organização.
4. Quem pode ser o DPO da clínica médica ou hospital?
Como vimos, a clínica ou hospital deverá nomear um Encarregado de Proteção de Dados, uma nova função que surge com a LGPD, conhecida também como DPO (do inglês, Data Protection Officer).
Em síntese, o DPO de uma clínica ou hospital é aquela pessoa responsável por assegurar o compliance, ou seja, a execução da politica interna de tratamento de dados. Isso significa: verificar que os procedimentos dentro da organização estejam sendo executados e seguidos de acordo com a LGPD, tanto por médicos, enfermeiros, auxiliares, secretários e demais profissionais contratados – vale também para terceirizados.
Isso não quer dizer que o DPO deverá ser um técnico que proteja os dados contra ataques hackers. A proteção de dados pessoais vai além do âmbito digital e se estende até o presencial. Por exemplo, se a recepção não tem um procedimento específico quanto aos dados recolhidos numa simples folha de papel, o vazamento destes dados também podem ocorrer se outras pessoas tiverem acesso.
A LGPD exige a nomeação de um Encarregado de Proteção de Dados dentro da organização. Entretanto, não especifica particularidades dessa posição. Fato é que, toda a equipe deve estar engajada neste assunto, principalmente a gestão.
Naturalmente, a recomendação é que a posição de DPO dentro de uma clínica ou hospital seja preenchida por um profissional que reúna habilidades de comunicação e conhecimentos multidisciplinares da organização e também da LGPD. Isso porque o DPO deverá aceitar reclamações e se comunicar com o paciente a respeito dos seus dados pessoais, quando preciso, e também com a autoridade nacional (ANPD – Agência Nacional de Proteção de Dados). Além disso, deverá avaliar e orientar a equipe quanto aos procedimentos de acordo com o compliance.
Acima de tudo, o profissional deve compreender corretamente a LGPD. Ainda mais sob o ponto de vista do Poder Judiciário e para o desenvolvimento das políticas públicas e responsabilidades da organização.
5. Relação do Termo de Consentimento Livre e Esclarecido com a Lei Geral de Proteção de Dados (LGPD)
O Termo de Consentimento Livre e Esclarecido (TCLE) já faz parte do glossário comum e conhecido em clínicas e hospitais, visto que a relação médico-paciente é cheia de momentos de tomadas de decisão.
O TCLE é um instrumento que visa esclarecer aos pacientes (ou responsáveis) detalhes sobre procedimentos diagnósticos e terapêuticos a serem realizados, mencionando de forma transparente a complexidade, tal como possíveis riscos e benefícios, da assistência prestada. Portanto, ao assinar o TCLE, o paciente declara automaticamente que está de acordo com esses procedimentos.
Sendo assim, o TCLE deve ser elaborado com ainda mais atenção, sem descartar, em hipótese alguma, os direitos previstos na LGPD. Então, esclarecendo em que circunstâncias os dados de pacientes serão mantidos, assegurados e manuseados.
Vale ressaltar que, no caso da telerradiologia, por exemplo, dada sua regulamentação pela Resolução do Conselho Federal de Medicina Nº 2.107/2014, a autorização de pacientes no que diz respeito ao envio de seu exame de imagem para análise por meio de telerradiologia é necessária desde antes da normatização da LGPD. Ou seja, antes da contratação do serviço, é solicitado que o paciente autorize a transmissão de seu exame através da internet, tendo esclarecido que, com isso, acompanham também seus dados clínicos. Isso porque, todos esses dados são imprescindíveis para a realização do laudo a distância por um médico radiologista.
6. Atenção à Transferência Internacional de Dados: a clínica pode utilizar softwares ou sistemas internacionais?
Presente na LGPD, a transferência internacional de dados também é um fator de extrema importância, sendo necessário a análise dos países que processam os dados. Isto é, alguns softwares, aplicativos ou sistemas podem utilizar servidores fora do Brasil. Portanto, é necessário o supervisor do serviço de saúde aprofundar-se em quais sistemas os dados de pacientes estão sendo tratados, tal como quais são as regras de cada país.
A LGPD, segundo os artigos 33, 34 e 35, permite a transferência de dados para países que proporcionem proteção adequada a estes dados, como exemplo a GDPR (lei de proteção de dados da União Européia). Caso contrário, a transferência internacional deve prestar garantias adequadas pela clínica ou hospital. Ressaltamos, então, a devida atenção para todo ou qualquer manuseio de dados, mesmo que através de sistemas de grandes corporações, tal como Google ou Microsoft, ou mesmo uma simples transferência de arquivo ou informação através do WhatsApp.
7. Como os dados devem ser coletados e manuseados?
Uma clínica ou hospital só pode coletar e armazenar os dados pessoais de um paciente com sua devida autorização, tendo assinado o Termo de Consentimento Livre e Esclarecido e disposto as devidas informações conforme orienta a LGPD.
Sendo assim, é necessário que a empresa defina para quê e porquê os dados serão coletados e armazenados, tal como compartilhados com outras organizações. Se houver, aliás, uma mudança no percurso desses dados, como por exemplo a contratação de um serviço terceirizado, uma nova autorização deve ser solicitada.
Algumas dicas importantes e que não podem ser deixadas de lado na elaboração dos termos é que a clínica ou hospital:
- Especifique o propósito de coletar esses dados;
- Informe se as informações serão compartilhadas com terceiros (por exemplo: serviços de telemedicina ou telerradiologia, parceiros de negócios, etc), assim como o motivo do compartilhamento;
- Esclareça e ofereça informações de um contato específico (DPO) para os pacientes em caso de dúvidas.
8. Penalidades para clínicas e hospitais que não se adequarem à LGPD
As penalidades para clínicas e hospitais que não se adequarem à LGPD podem variar de acordo com a gravidade da violação. As multas podem chegar a 2% do faturamento, com teto de cinquenta milhões de reais, e a organização ter suas atividades suspensas parcial ou totalmente.
Segundo o artigo 52 da LGPD, em razão das infrações cometidas às normas previstas, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o teto no item anterior;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Veja também
Conclusão
É evidente o entendimento da nova Lei Geral de Proteção de Dados em clínicas ou hospitais, visto as responsabilidades legais que podem recair sobre a organização e sua gestão pelo tratamento de dados sensíveis.
A importância da conscientização da equipe quanto a implantação da LGPD se faz tão necessária quanto o conhecimento do sigilo médico – tema já tratado no Código de Ética Médica.
Para a União Européia, essa cultura não é novidade – visto que desde 1995, esse assunto já é tema bastante comentado e, em 2018, foi implementada a GDPR (General Data Protection Regulation). Portanto, podem ser uma ótima fonte de aprendizado.
Em um ponto de vista geral, no Brasil, frente a essa “nova” sociedade da informação, a cultura da privacidade pode, positivamente, mudar. Isso porque, aquele velho hábito corriqueiro de “aceitar os termos e continuar” deverá ser escasso e consequentemente haverá maior valorização dos dados pessoais.
Certamente, um smartphone ou e-mail invadidos, hoje, podem dar mais prejuízos do que a televisão da sala roubada. Já pensou em ter alguém acessando todas suas conversas, arquivos ou conta bancária?
Em respeito a nova LGPD, finalizamos com a máxima: quando a regra do jogo é clara, é mais fácil jogar.
Compartilhe esse conteúdo com colegas e com sua equipe. Clique aqui e envie via WhatsApp para leitura.
Leia também
- Acreditação Hospitalar da ONA, Certificação HIMSS e ISO 9001: Tudo o que você precisa saber
- Como Melhorar a Qualidade dos Laudos Médicos
- Controle de qualidade em equipamentos para diagnóstico por imagem
- A importância do uso de protocolos de exame adequados para cada doença
- Precisão diagnóstica: estabelecendo um controle de qualidade
- Telemedicina Radiológica: o que é e porque é um avanço para a saúde
- Como a Telerradiologia pode Ajudar Centros de Diagnóstico por Imagem de Hospitais
Referências
- LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
- Antunes, J. L. F. (1999). Medicina, leis e moral: pensamento médico e comportamento no Brasil (1870-1930). Unesp.
- Pinheiro, P. P. (2020). Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018-LGPD. Saraiva Educação SA.
- Rapôso, C. F. L., de Lima, H. M., de Oliveira Junior, W. F., Silva, P. A. F., & de Souza Barros, E. E. (2019). LGPD-Lei Geral de Proteção de Dados Pessoais em Tecnologia da Informação: Revisão Sistemática. RACE-Revista de Administração do Cesmac, 4, 58-67.
- Pereira, F. M., & Torchia, B. (2020). COMO O COMPLIANCE PODE SER UM DIFERENCIAL NA GESTÃO DAS ORGANIZAÇÕES. Revista Científica Faculdade Unimed, 1(3), 11-14.