Ferramentas Pessoais
Você está aqui: Página Inicial Artigos LGPD NA SAÚDE DIGITAL

LGPD NA SAÚDE DIGITAL

08/10/2022

AUTOR: Milton Marchioli, advogado, membro da Comissão de Direito Médico – 31ª Subseção Marília, médico e professor na Faculdade de Medicina de Marília – FAMEMA.

Os dados dos titulares dos usuários da saúde, seja SUS ou Operadoras da Saúde, são fundamentais na era da Saúde Digital.  E mais importante, os dados dos titulares da saúde são sensíveis, e são positivados no artigo 11 da Lei 13.709/2018 -Lei Geral da Proteção de Dados - LGPD.

Antes os dados dos pacientes eram anotados em prontuários físicos, porém com as Tecnologias da Informação e Comunicação (TIC) utilizadas no dia a dia, tornou-se cada vez mais complexos os registros das informações dos pacientes, servindo de apoio para a tomada de decisões baseadas em protocolos médicos que influenciam na saúde pública e suplementar e na qualidade de vida dos pacientes.

Hodiernamente com o avanço das TIC, a coleta desses dados é feita em vários setores na prática dos profissionais da área da saúde: consultórios, ambulatórios públicos ou privados, hospitais públicos ou privados, e clínicas com profissionais da saúde, não somente em registro em Prontuários Físicos, como também em Prontuários Eletrônicos.

É neste cenário que a Lei Geral de Proteção de Dados (LGPD) inaugura um momento ímpar para as regras de manipulação dos dados individuais. Os pacientes passam a ter o direito pleno sobre as informações e dados coletados, e devem, ainda, ser informados sobre a finalidade de uso dos mesmos. A legislação altera, portanto, a forma como as instituições lidam com as TIC, e outrossim, a LGPD já está em vigência desde 18/09/2020, e a fiscalização já está ocorrendo no Brasil em várias Operadoras de Saúde, Cooperativas Médicas, hospitais e clínicas.

Os impactos para a Saúde Pública e ou Suplementar são importantes, visto que os dados da saúde são considerados sensíveis, artigo 11 da Lei 13.709/2018, e portanto, são abordados de forma diferenciada, requerendo tratamento mais criterioso e com mais segurança dos dados armazenados nos servidores.

Os profissionais de saúde terão de garantir o tratamento adequado dos dados em saúde em face da Lei 13.709/2018 a fim de se evitar o vazamento de dados e as consequentes punições pela Autoridade Nacional de Proteção de Dados (ANPD). As multas são muito altas, por incidente ou violação de segurança, comprometendo até 2% do faturamento anual, com limite de até R$ 50 milhões.

No hospital, em tese, os dados circulam tanto internamente quanto externamente. São muitos os profissionais de saúde envolvidos no atendimento ao paciente, e é mister refletir que o paciente, ora titular dos dados sensíveis, assistido em um hospital deverá ter seus dados preservados em sigilo absoluto, seja em prontuário físico e ou eletrônico, para garantir a melhor assistência pelo profissional de saúde, ainda que os dados sejam compartilhados entre dois hospitais, ou duas Unidades de Saúde da Família (USF), ou Unidade de Pronto Atendimento (UPA) e USF, e entre Operadoras de Saúde de diferentes cidades.

O principal desafio na LGPD na saúde é que a regulamentação não é apenas portabilidade de dados entre Operadoras de Saúde para fins de prosseguimento de planos de saúde, mas quais dados do titular do plano de saúde poderão ser compartilhados, e a garantia de que ambas se comprometam a respeitar a(s) hipóteses de tratamento de dados em saúde.  

Há necessidade de contratação do Encarregado de Dados (DPO – Data Protection Officer) nas Operadoras de Saúde/Cooperativas Médicas, previsto pela Lei 13.709/2008, presencialmente, e não a distância como vem ocorrendo, embora permitido pela lei, apenas, em tese, para possivelmente se livrar de uma punição da ANPD, pois a presença do DPO na empresa de saúde no dia a dia é que qualifica a utilização do Sistema de Gestão e Proteção de Dados (SGPD), com a implementação de ferramentas pela equipe das TIC e do DPO, quanto de treinamento dos colaboradores  envolvidos nas Operadoras de Saúde e Cooperativas Médicas, como também dos profissionais de saúde que atendem os usuários dos planos de saúde e a aplicação da ISO 27.799, além da ISO 27.001, e ISO 27.005.

A contração de DPO na forma de empresa terceirizada não parece ser a melhor forma, pois se o DPO não está presente em contato diário com os colaboradores da Operadoras de Saúde e Cooperativas Médicas, e os profissionais de saúde envolvidos no atendimento dos titulares dos dados sensíveis não receberem treinamento e capacitação adequada e periodicamente poderá haver incidente de segurança e vazamento de dados com o passar dos meses seguintes.

Isso porque em cada ponto de atendimento na extensa rede e malha de atendimento em saúde básica ou de média e alta complexidade, haverá com o passar do tempo perda de todo o treinamento inicial no Departamento de Recursos Humanos, Setor Financeiro, Assessoria Jurídica, Equipe das TIC, Diretoria Administrativa, e salvo melhor juízo, a possibilidade de se perder a interface adequada e com excelência entre a ANPD e o DPO.

Em seguida, e por derradeiro, definem-se as soluções de segurança da informação que serão aplicadas como a ISO 27.799. Nessa etapa há dois pontos a serem avaliados: primeiro, verificar os sistemas e prontuários eletrônicos já utilizados e contratados pelos profissionais de saúde e sua segurança no armazenamento da informação, e, em finalmente, a necessidade ou não de aquisição ou criação de programas que ajudarão na segurança da informação e rigoroso controle na proteção e compartilhamento dos dados das empresas em saúde.

Após todas essas etapas de adequação da Operadoras de Saúde/Cooperativas Médicas, é preciso ainda rever os processos de coleta de dados e segurança da informação pelos colaboradores das empresas em saúde, e, ainda, treinar e capacitar todos os profissionais de saúde envolvidos na empresas de saúde para o correto cumprimento da Lei 13.709/2018, e, por fim se criar o Comitê de Privacidade e Proteção de Dados para monitoramento constante dos processos de coleta e segurança dos dados dos titulares dos usuários dos planos de saúde das Operadoras de Saúde/Cooperativas Médicas, ou mesmo usuários do SUS, para em caso de um incidente ou violação de dados, a resolução e comunicação para a ANPD ocorra em até 48h.

 

 

 
Ações do documento

Este site é da Subseção de Marília.  Os textos aqui publicados não representam necessariamente a opinião da Secional de São Paulo.