A Lei Geral de Proteção de Dados (LGPD) foi criada no ano de 2018 para que o Brasil acompanhasse as principais economias do mundo nos avanços de proteção aos usuários. Ela trará desafios para muitos setores, especialmente aqueles que lidam com dados sensíveis e pessoais dos indivíduos.
A área da saúde, portanto, será fortemente impactada. Afinal, ela precisa armazenar uma gama de dados muito grande e muitas informações pessoais de seus pacientes, os quais podem causar um constrangimento muito grande se divulgados. Para saber melhor sobre o assunto, acompanhe!
O que é a Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados brasileira foi inspirada na legislação europeia conhecida como Regulamento Geral de Proteção de Dados (GDPR). Apesar de serem bastante semelhantes em seu espírito, elas têm diferenças marcantes.
De acordo com seu texto, ela entrou em vigor efetivamente no dia 15 de agosto de 2020. Sobre ela, é importante conhecer alguns conceitos.
Objeto da lei
A LGPD busca defender os direitos da personalidade, como a privacidade e a intimidade, dos cidadãos e residentes brasileiros. Para isso, ela vale para os seguintes procedimentos de Tecnologia da Informação: processamento de dados dentro do nosso território nacional; processamento de dados de todos os indivíduos residentes ou cidadãos do Brasil, mesmo nos casos em que o processador se encontra fisicamente em outro país e processamento de dados coletados dentro do nosso país.
Dados pessoais
Essa legislação foi criada para proteger os dados pessoais dos usuários, cuja definição é toda a “informação relacionada a pessoa natural identificada ou identificável. Desse modo, não se aplica nem às pessoas jurídicas nem aos dados completamente anônimos.
Como objeto de proteção ainda mais especial, há também os dados pessoais sensíveis que se refere a:
- origem racial ou étnica;
- convicção religiosa;
- opinião política;
- filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
- dado referente à saúde ou à vida sexual;
- dado genético ou biométrico quando vinculada a uma pessoa natural.
Essas duas últimas categorias se referem especialmente ao setor de saúde, que deverá tomar todas as medidas para a anonimização dos dados. Ou seja, utilizar todos os meios técnicos razoáveis e possíveis com a tecnologia atual para impedir que um dado sensível seja divulgado e associado com o seu titular.
Tratamento
Todo esse cuidado de anonimização deverá ser feito durante as ações de tratamento, as quais abrangem:
- coleta;
- produção;
- recepção;
- classificação;
- utilização;
- acesso;
- reprodução;
- transmissão;
- distribuição;
- processamento;
- arquivamento;
- armazenamento;
- eliminação;
- avaliação;
- controle da informação;
- modificação;
- comunicação;
- transferência;
- difusão; e
- extração de dados.
Desse modo, se sua empresa realizar alguma dessas opções de tratamento de dados, ela deverá estar em compliance com a LGPD, mesmo que ela os detenha por pouco tempo.
Titular, operador e controlador
O titular é a pessoa física a quem se referem os dados pessoais que são objeto dos tratamentos. Já os controladores são as pessoas naturais ou jurídicas que tomam as decisões a respeito desse tipo de informação. Os operadores, por sua vez, são as pessoas naturais ou jurídicas, as quais realizam as ações de tratamento de dados diretamente.
Os operadores e os controladores são considerados agentes de tratamento e, a ambos, compete a proteção dos direitos do titular. No entanto, para compreender o impacto da lei na área da saúde, é importante compreender essa nomenclatura.
Quais mudanças essa lei trouxe?
Como a anominização das informações sensíveis se torna uma obrigação das empresas, pois as mesmas são operadores e/ou controladores de dados, por essa razão se faz necessária a criação de uma boa estrutura para evitar o vazamento de dados ou até mesmo a aplicação de sanções, como as multas.
Necessidade de reestruturação da infraestrutura de TI
O primeiro passo é mapear a sua infraestrutura atual de TI para que você verifique onde estão as vulnerabilidades. A partir disso, será preciso adquirir todas as tecnologias necessárias para garantir a segurança digital. Para isso, podem ser necessários:
- compra de novos servidores e de processadores mais potentes para rodar os softwares de anonimização;
- adquirir softwares e serviços de proteção de dados, como criptografia, firewalls, entre outros;
- contratar profissionais ou empresas especializadas no assunto.
Possivelmente, a sua infraestrutura atual não será capaz de atender às demandas da nova lei. Então, é preciso se preparar, e principalmente, se planejar.
Nova política de uso e proteção de dados dos pacientes
A política de segurança virtual é o principal fator de sucesso para a conformidade com a LGPD. Lá, você definirá os princípios, missões e valores do tratamento de dados do seu estabelecimento de saúde. Assim, todos os profissionais poderão se orientar em uma conduta ética uniformizada.
Além disso, será possível estabelecer os critérios e os requisitos de segurança de cada operação de dado de saúde. Consequentemente, todos os processos, softwares, equipamentos e pessoal necessários para a implementação da LGPD estarão centralizados e documentados para que todas as equipes sejam capazes de garantir os direitos dos pacientes.
Como as empresas de saúde podem se preparar?
As legislações mais antigas eram muito omissas em relação aos dados digitais. Desse modo, muitas empresas negligenciavam a proteção aos direitos dos titulares. Afinal, não havia sanções para punir o vazamento incidental e acidental de dados. Agora, há uma série de dispositivos para a responsabilização civil da empresa e o ressarcimento dos danos morais e patrimoniais causados aos indivíduos.
Portanto, os hospitais, as clínicas e os consultórios enfrentarão um desafio muito grande, pois lidam com muitos dados sensíveis e não costumam investir tanto em segurança digital. Então, será preciso fazer um mapeamento completo de todos os processos que empregam alguma ação de tratamento de informações. A partir disso, será necessário encontrar medidas para manter os dados do pacientes seguros e disponíveis.
De toda forma, uma medida será muito relevante: a terceirização de vários serviços de tratamento de dados. Por exemplo, em vez de hospedá-los em servidores próprios, a clínica poderá investir em um software como serviço (SaaS) de gestão de saúde com armazenamento em nuvem. Desse modo, será o fornecedor desse serviço o responsável pela infraestrutura adequada de proteção dos dados.
No setor de exames, outra medida pode ser bastante interessante, a utilização dos laudos online. Com o serviço, você envia os arquivos dos exames de métodos gráficos dos testes de seus pacientes para uma plataforma segura, que segue as normas da LGPD. Lá, os profissionais especializados poderão redigir os laudos e disponibilizá-los para os médicos. Ao final, tanto as imagens quanto os laudos ficarão protegidos no servidor da Neomed.
Por conseguinte, o setor de saúde enfrentará um desafio muito grande para se adequar a LGPD. Afinal, os hospitais e as clínicas armazenam muitos dados sensíveis dos pacientes, como os exames, os prontuários e demais documentos.
Esse assunto é muito atual e importante, não é mesmo? Então, não deixe de compartilhar nas suas redes sociais para que todos possam entendê-lo!
José Henrique Lopes é especialista em Gestão e Governança em Tecnologia da Informação pela Universidade Federal de Goiás (UFG). Apaixonado por inovação e novos negócios, atua há mais de 16 anos como Diretor e Gestor de TI e Inovação. Atualmente é Chief Technology Officer (CTO) e Data Protection Officer (DPO) na Neomed
4 respostas