Tempo de leitura: 4 minutos
A Lei Geral de Proteção de Dados entra em vigor no Brasil no ano que vem e ao que tudo indica irá causar tanto alvoroço por aqui quanto a GPDR causou na Europa. Na verdade, a regulamentação brasileira é amplamente inspirada no regulamento europeu (General Data Protection Regulation) que já está em vigor desde 2018.
A lei 13.709/18 (ou LGPD) busca mudar a forma como os dados são coletados, armazenados e compartilhados no Brasil. A intenção é proteger os consumidores e empresas, evitando o vazamento dos dados e o uso indevido de informações confidenciais ou sensíveis.
Leia também: 5 pontos importantes da LGPD que toda empresa precisa saber
Embora vá afetar empresas de todos os setores, a área da saúde com certeza sentirá mais diretamente os efeitos da LGPD. Além do segmento já estar no radar dos órgãos de fiscalização, a medida quer proteger os chamados dados sensíveis, muito comuns nos serviços de saúde.
O que a LGPD considera como dado sensível e como isso afeta empresas de saúde? No artigo 5º da lei ficam definidos 7 tipos de dados considerados sensíveis, que são informações sobre:
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato ou a organização de caráter religioso;
- Filosófico ou político;
- Referente à saúde ou à vida sexual;
- Genético ou biométrico, quando vinculado a uma pessoa natural.
Sabemos que instituições do ramo de saúde como hospitais, clínicas, farmácias e laboratórios tem acessos à maioria destes dados através de entrevistas, formulários e até mesmo exames.
E porque é tão importante proteger os dados sensíveis? Pois são dados íntimos e que podem levar à discriminação do seu titular. Pense na seguinte situação hipotética: um laboratório descobre através de um exame de sangue que determinado paciente é portador do vírus do HIV. No entanto, esse laboratório não armazena os dados dos seus pacientes de forma segura e anônima, então a empresa é atacada por hackers e esses dados vazam na internet. Ao vir a público, os dados desse paciente podem fazer com que ele sofra preconceito, perca o emprego, afete seu casamento ou seja prejudicado de inúmeras outras maneiras.
É importante não deixar que situações como a acima aconteçam.
Já que empresas da área de saúde têm acesso a muitos dados sensíveis, é essencial que elas se adequem às medidas da LGPD – e haverá fiscalização para garantir isso.
A partir de agosto de 2020, multas já podem ser aplicadas para as empresas que não cumprirem a lei. As multas podem ser simples ou diárias (recorrentes até que a situação seja corrigida), podendo chegar a até 50 milhões de reais por infração.
Essa multa milionária é até tímida se comparada à sua irmã europeia. Pra exemplificar, podemos citar o caso da British Airways, que teve informações pessoais de mais de 500 mil clientes copiadas por hackers e foi multada em R$ 900 milhões. Essa é a prova de que neglicenciar seu banco de dados é um grande risco financeiro.
Para se adequar, toda empresa que fornece serviços de saúde deve solicitar o consentimento do usuário para registrar e utilizar seus dados, deve especificar para quais fins esses dados serão utilizados e deve apagar todos os dados após seu uso. Os dados de pacientes com idade inferior a 18 anos possuem exigências ainda maiores para sua proteção, como autorização dos responsáveis.
É exigido também que os dados sejam anonimizados, ou seja, armazenados de forma a impedir a associação direta ou indireta a indivíduos específicos. Isso significa que um hospital não pode armazenar os dados de um paciente de forma que ele possa ser relacionado ao seu nome completo, CPF, ao resultado de um exame ou procedimento cirúrgico.
Um ponto importante é que a lei foi flexibilizada através da medida provisória 869/2018 para possibilitar o compartilhamento de dados para fins de saúde suplementar. Se enquadram na categoria de saúde suplementar empresas que operam planos de seguros privados ou planos de assistência médica. Foi feito então a seguinte adição a um dos artigos da LGPD (em itálico):
“É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses de necessidade de comunicação para a adequada prestação de serviços de saúde suplementar”.
(Artigo 11, § 4º, II)
Tal exceção foi aprovada pois planos e seguros de saúde defenderam a necessidade de acessar e compartilhar dados para fins de avaliação de risco, definição de preços e cobranças, gestão de saúde dos seus beneficiários e outras exigências fundamentais para o funcionamento do setor.
Isso, no entanto, não isenta a adequação das empresas de saúde suplementar à LGPD, apenas ameniza alguns pontos da lei para que as operações possam ser devidamente mantidas.
A lei também permite o tratamento de dados em razão de legítimo interesse ou da tutela da saúde, sempre de forma que o impacto à privacidade seja mínimo. De todo modo, a lei veta diretamente a comercialização ou compartilhamento de dados de saúde para fins diversos e não relacionados com o atendimento que está sendo prestado ao paciente.
Leia este post e entenda em quais situações a LGPD permite o tratamento de dados pessoais
Se sua empresa fornece serviços relacionados à saúde, certamente terá que desenvolver um programa eficiente de proteção de dados e treinamento de pessoas para garantir a segurança dos dados dos pacientes e a adequação à LGPD. Mais do que uma questão jurídica, a LGPD é uma questão de cibersegurança.
- Como os dados dos seus pacientes são armazenados hoje?
- Todos os dados estão anonimizados e seguros?
- Sua empresa está protegida contra vírus, hackers e invasões?
- Existe um bom antivírus, firewall, e outros serviços?
- Sua empresa possui backup e/ou está na nuvem?
A lei ainda determina que, em caso de eventual vazamento, a empresa responsável terá que provar que fez tudo ao seu alcance para cumprir a lei e evitar que o ataque acontecesse. Portanto, é importante ter um advogado com conhecimento sobre LGPD, mas também é muito importante garantir sua segurança digital.
Caso queira aprender um pouco mais sobre esse assunto, a Infomach disponibilizou recentemente O Guia de Cibersegurança para a Área de Saúde de forma gratuita. Esse manual aborda de forma muito completa e didática as melhores práticas para proteger a rede de um hospital, clínica, laboratório, farmácia, corretora de seguros, plano de saúde, etc.
Para terminar, aproveito para te convidar a bater um papo com a gente. Somos uma empresa com mais de 20 anos de mercado e muita experiência em fornecer soluções de Segurança da Informação, Cloud e Infraestrutura para o setor de saúde. Temos grandes clientes em todo o país, como você pode conferir aqui. Se quiser agendar uma conversa com nossos consultores, sem custo e sem compromisso, clique aqui ou no botão abaixo: