Escrito por
Publicado em
28.11.2022
Escrito por
Equipe Afya Educação Médica
minutos
Saber quais são os impactos da Lei Geral de Proteção de Dados (LGPD), sancionada em 2018, é essencial para garantir mais segurança no tratamento de dados sensíveis. Tanto para consultórios, clínicas ou hospitais, as diretrizes da LGPD aplicada à saúde trazem, em geral, aspectos bastante relevantes com vistas à proteção de informações sigilosas.
Sob essa ótica, a proposta deste material é apresentar os pontos mais importantes da LGPD na saúde. Veja, então, porque é necessário adaptar-se às particularidades da lei e cumprir os requisitos propostos para a gestão em saúde. Aproveite a leitura!
Conforme a LGPD, entende-se como dados pessoais aqueles relacionados à pessoa física identificada ou identificável. Porém, o tratamento de dados pessoais são centrados em um contexto mais amplo, já que incluem tudo o que se faça com um dado pessoal. Em geral, eles envolvem toda a trajetória dos dados em um sistema — ainda que seja um sistema manual ou manuscrito, tais como:
Na prática, a LGPD abrange diferentes áreas. Informações como a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou à organização de caráter religioso, filosófico ou político são exemplos de dados pessoais sensíveis. Sensíveis porque pode ensejar algum tipo de discriminação e, por isso, são informações cujo trato deve ser ainda mais cuidadoso e que não podem ser repassadas a terceiros.
Na saúde, dados referentes à vida sexual, diagnósticos e tratamentos, informações genéticas ou biométricas também requerem sigilo. Além disso, a lei estipula que o titular dos dados deve receber esclarecimentos sobre as razões pelas quais tais informações estão sendo coletadas.
Vale frisar que a referência do consentimento deve ser a um fim determinado e claro, excluindo quaisquer hipóteses de falhas e ambiguidade. Ou seja, o titular dos dados é quem toma a decisão sobre o que permite fazer com as suas informações.
A pessoa que trata os dados, realizando atividades com os dados pessoais do titular, seja ela física ou jurídica, é quem precisa se adequar ao previsto na LGPD, chamada pela legislação de controlador.
A LGPD também resguarda ao titular dos dados o direito de saber como eles serão armazenados e com quem poderão ser compartilhados. Assim, a implementação da LGPD nas organizações de saúde abrange todos os processos comuns a essa rotina.
Logo, a elaboração de prontuários médicos, informações de exames e procedimentos e, inclusive, os programas de fidelidade com clientes e consumidores devem estar adequados à legislação. Para assegurar mais transparência nas informações, há também diretrizes para as pesquisas, ensaios clínicos e trocas de informações entre profissionais e estabelecimentos.
Nessa perspectiva, é necessário observar os critérios para todos os procedimentos inerentes à prestação de serviços em saúde. Pedidos de exames laboratoriais e emissão de laudos radiológicos, por exemplo, devem figurar na lista de dados pessoais a serem protegidos.
Um dos elementos dessa adequação são os prontuários eletrônicos. A atenção a esse ponto é crucial, pois permite que as informações sejam criptografadas e melhor protegidas. Contudo, a análise completa da LGPD requer mudanças e adaptações em diversas atividades da saúde.
Listamos as principais ações previstas ou relacionadas à LGPD, confira!
Segundo a LGPD, todo serviço de saúde deve ter uma política de coleta de dados pública. Nela, convém destacar os motivos que justificam a coleta dos dados pela organização. Igualmente relevante é explicar onde os dados serão armazenados, por quanto tempo e se serão compartilhados e com quem.
Essas e outras possibilidades de tratamento de informações deverão receber o consentimento inequívoco do paciente. Isso é feito por meio de um documento específico, que veremos mais adiante. Contudo, em alguns casos especiais associados a obrigações legais podem acontecer exceções.
Outro ponto favorável à segurança de ambas às partes envolvidas é que a LGPD também dispõe quanto à hierarquia dos profissionais envolvidos nesse trabalho. Para tanto, é necessário que a instituição nomeie um Encarregado de Proteção de Dados (DPO). Essa nova função surgiu após a outorga da lei e também é um dos mecanismos de controle dos dados.
Diversas tecnologias de monitoramento de pacientes surgiram em decorrência da necessidade de controlar a pandemia de Covid-19. Por meio da coleta de dados sensíveis foi possível rastrear pessoas contaminadas, propor condutas terapêuticas e ajudar no controle da disseminação da doença.
Sem dúvidas, o avanço tecnológico contribuiu significativamente para a Medicina preventiva e foi fundamental para conter os impactos do coronavirus. Assim, com o suporte de ferramentas tecnológicas, evitou-se muitas internações de alto custo — e gastos desnecessários para as instituições. O uso dos dados pessoais foi essencial para que isso fosse possível, mas é importante que seja feito de acordo com as normas da LGPD para a proteção dos titulares dos dados.
Logo, a LGPD em saúde ampara os dados de pacientes, independentemente do local que precisarem utilizar algum serviço de saúde. Clínicas, hospitais, sistemas públicos e privados que disponibilizam esses serviços precisam ter cuidado e zelo com essas informações.
Sendo assim, promover a conscientização sobre a responsabilidade do manuseio dos dados é crucial para o sucesso na adaptação à lei. Para isso, é preciso realizar treinamentos constantes com as equipes que lidam com os dados, de modo que todos compreendam o porquê da realização de cada procedimento.
Em linhas gerais, as instituições e os profissionais devem saber que o não cumprimento das normas da LGPD pode levar a advertências e penalidades. As multas podem variar de 2% do faturamento anual até o limite de R$ 50 milhões.
Para a LGPD em hospitais, há normas específicas que podem variar conforme as particularidades de cada caso. Contudo, há ainda o risco de sanções administrativas que proíbem o manejo de dados e suspendem os processos até a regularização.
Desse modo, a instituição pode ser advertida e, em alguns casos, até mesmo tornar a infração pública. Além do mais, se houver infrações graves, os bancos de dados correm o risco de serem bloqueados até que todos os trâmites tenham sido solucionados.
A legislação também dispõe sobre os critérios de segurança na troca de dados. Como parte da rotina médica, é comum o envio dos dados dos pacientes para hospitais em casos de internação ou para laboratórios de análises clínicas.
Por isso, tais atividades também devem ser pautadas nos trâmites da LGPD em hospitais com vistas ao cumprimento das boas práticas que envolvem os serviços de saúde em geral. Isso impacta a adaptação no compartilhamento de informações em alguns processos usuais.
Tais processos também englobam o uso de ferramentas tecnológicas. Diante disso, todas essas informações precisarão ser criptografadas por segurança. Ou seja, também é preciso ter cuidados com a segurança oferecida pelos sistemas em adequar as tecnologias já utilizadas à nova lei. E mais: os softwares utilizados precisam ser aprovados por instituições específica, como a Sociedade Brasileira de Informática em Saúde (SBIS).
A troca de mensagens via aplicativos médicos ou redes sociais — como WhatsApp, Instagram e Telegram — são permitidas. Mesmo que não estejam proibidas, os profissionais da área da saúde devem ficar atentos quanto ao uso desses recursos. Isso porque o envio de informações por redes sociais implica em riscos como erro de destinatário e outros.
Portanto, é necessário utilizar esses serviços de forma muito criteriosa para evitar que informações clínicas de pacientes sejam enviadas equivocadamente para outro destino. Se isso acontecer sem prévia autorização, o responsável estará sujeito às sanções.
Além das redes sociais, a coleta de dados no site médico, por meio de cookies e formulários de contato, devem seguir alguns requisitos para estarem em conformidade com a legislação. É obrigatório exibir uma caixa de consentimento, que o usuário escolhe marcar ou não, sobre o compartilhamentos da informações e a finalidade da coleta dos dados.
Também conhecido pela sigla DPO, o Encarregado de Proteção de Dados será o responsável por garantir o compliance, segundo a lei. Tarefas de transferência de dados devem ser coordenadas por ele. Tudo o que envolve propostas, implicações jurídicas e possibilidades de desenvolvimento de políticas adequadas na organização são de sua responsabilidade.
Com isso, o objetivo dessa função é garantir que as regras da LGPD sejam criteriosamente observadas pela instituição. Assim como o corpo clínico, as funções administrativas — secretárias, auxiliares e terceirizados, por exemplo — também devem atuar em consonância com essas diretrizes.
Alguns atributos são exigidos para o exercício desse cargo. Para começar, o indivíduo deve ter habilidades de comunicação e conhecimentos técnicos e multidisciplinares. A meta é adequar a instituição às normas legais da LGPD na saúde.
Destacamos algumas responsabilidades do Encarregado de Proteção de Dados. As mais relevantes são:
O Termo de Consentimento Livre e Esclarecido propõe o consentimento do paciente quanto ao uso de seus dados pessoais. Em vias gerais, esse conceito já é bem comum em clínicas, hospitais, universidades e instituições de pesquisas.
Em tese, o TCLE esclarece o uso das informações como procedimentos diagnósticos e terapêuticos em caráter específico. Assim, a finalidade da coleta de dados ou compartilhamento das informações pertinentes aos pacientes deve ser esclarecida para ele ou aos responsáveis.
O objetivo é solicitar a autorização do paciente e deixar claro que houve a concordância mútua quanto ao uso de dados e informações sensíveis. Dessa forma, o paciente tem a opção de declarar automaticamente que está de acordo com o procedimento.
O TCLE deve ser elaborado com bastante atenção e cuidado. Um dos objetivos é preservar os direitos previstos na LGPD em saúde. Para melhor compreensão desses pormenores, elencamos alguns pontos imprescindíveis na elaboração do TCLE:
A LGPD busca garantir que todo cidadão tenha seus dados pessoais protegidos. Por conseguinte, qualquer uso, armazenamento ou compartilhamento deverão ser informados e consentidos pelo titular.
Por conta disso, a lei é clara quanto a esses procedimentos: toda instituição de saúde precisa esclarecer e justificar ao paciente o que será feito com os dados coletados. Também deve ser informado como serão armazenados e o tratamento a eles dispensados. A ideia central é promover esclarecimentos para obter um consentimento pleno do paciente.
Outro ponto importante na LGPD em saúde é o uso de dados mais seguros, como os digitais. A utilização de arquivos criptografados em sistemas computadorizados aumenta a segurança cibernética. Priorizar tais cuidados é primordial para que não aconteça vazamento de dados dos pacientes ou de documentos emitidos pelos médicos.
Ainda que a LGPD regulamente tais processos, o monitoramento e o modo como se processam os tratamentos de dados pessoais é de responsabilidade das instituições. Por isso, a gestão deve estar atenta aos mecanismos que podem interferir na qualidade desses serviços, uma das grandes preocupações da Saúde Pública.
No Brasil, pesquisas indicam que a demanda de processos judiciais aumentou no setor de saúde, o que também inclui o tratamento de dados. Uma das razões é que o risco de falhas na emissão de documentos e no compartilhamento de dados sensíveis é elevado. O ideal, portanto, é cumprir à risca os requisitos da LGPD em saúde.
Vale considerar também que o avanço da tecnologia na Medicina torna comum a coleta de muitas informações de um paciente, sobretudo, de dados sensíveis. O prontuário médico, por exemplo, contém informações valiosas sobre a natureza da doença, histórico clínico e o tipo de tratamento.
Sobretudo na prática médica, é preciso manter a tradição de responsabilidade e de cuidado inerente à simbologia da profissão. Igualmente relevante é capacitar os colaboradores para o exercício pleno de suas funções administrativas. Priorizar tais cuidados é um dos fatores essenciais para adaptar os serviços de saúde às tendências da atualidade.
O profissional de saúde deve ter consciência de sua posição e responsabilidade para a manutenção dos direitos do paciente. De forma contextualizada, isso pode interferir diretamente na saúde mental, física e social dessas pessoas. Tendo em vista a necessidade de promover a saúde em um contexto biopsicossocial, tais aspectos não podem ser ignorados.
Como você percebeu, a LGPD foi elaborada para trazer uma regulação bastante requisitada sobre um verdadeiro bem da atualidade: os dados pessoais. Contudo, a atenção a essas normas também serve de proteção para as instituições e os profissionais. Portanto, a LGPD em saúde deve ser vista como um diferencial para proteger o direito à privacidade.
Gostou do conteúdo? Então compartilhe com seus colegas que precisam saber mais sobre a proteção de dados pessoais na saúde!