Protocolos de segurança de dados de pacientes segundo a LGPD

A saúde mudou drasticamente nos últimos anos, e todo esse progresso parece ter saído diretamente das páginas de um livro de ficção científica.

Não faz muito tempo, os prontuários médicos eram mantidos em registros grossos de papel manila. Agora, os pacientes acessam seu histórico médico e os resultados dos exames através de plataformas online, cada vez mais inteligentes e integradas.

Embora essa abundância e disponibilidade de dados sejam excelentes para os pacientes , são ainda mais atrativas  para os hackers.

Afinal, a medida que o setor de saúde evolui com novas tecnologias e legislação, o mesmo ocorre com a ameaça aos dados mais íntimos dos pacientes

Considerando esse grande fluxo de dados sensíveis, o setor de saúde deve estar atento à proteção das normas legais, sendo necessário a confluência de todos os requisitos na elaboração de um sistema de segurança.

Ao longo do artigo, você irá descobrir o que é necessário para que a sua instituição esteja devidamente alinhada com as melhores práticas de proteção dos dados na saúde. 

Boas práticas de protocolos de segurança de dados na Saúde

As informações geralmente recolhidas pelas instituições de saúde vão além dos dados pessoais do paciente – como nome, endereço, número de celular e afins. Na prática, elas também recolhem dados sensíveis, que fornecem detalhes íntimos do indivíduo, como tipo sanguíneo, sexualidade, estado clínico, etc.

Diante disso, não é à toa que manter os dados de pacientes seguros seja uma obrigação da instituição de saúde.  

E quem faz essa afirmação é a LGPD (a Lei Geral Proteção de Dados , n° 13.709/2018), que entrou em vigor em setembro de 2020.

O que é a LGPD?

Aprovada em 2018, a LGPD veio para posicionar o Brasil na vanguarda dos países que zelam pela proteção das informações das pessoas físicas.

Criada para proteger a privacidade, o interesse e a liberdade dos titulares dos dados, a lei estabelece o que são dados pessoais e dados sensíveis, exige consentimento para uso, determina transparência e, em casos de vazamentos, exige gestão de falhas e define penalidades rígidas.

Por mais contraintuitivo que pareça, a tendência é que sua implantação aumente a confiabilidade dos produtos e serviços brasileiros internacionalmente, além de melhorar o dia a dia das instituições de saúde.

Saúde, um dos setores que mais tratam de dados sensíveis

O setor de saúde é um dos que mais lidam com os dados considerados sensíveis, descritos no art. 5° e 11° da LGPD. Eis a razão da lei impactar fortemente o cotidiano de profissionais e empresas da Saúde, como hospitais e clínicas.

Isso porque o cuidado médico exige o máximo de informações possíveis para seguir com o tratamento. A natureza da prestação de serviço em saúde possui diversas necessidades informacionais complexas, principalmente para a resolução de questões clínicas, em que inúmeras fontes são passíveis de consulta, inclusive as dos dados do paciente. (SAVI, Maria e SILVA, Edna. 2011) 

Por isso, a partir da lei, o tratamento desses dados deve seguir parâmetros específicos, criados para que eles não caiam em mãos erradas e prejudiquem seus legítimos donos – os usuários.

Mas, afinal, quais são os protocolos de segurança de dados?

Dentre os impactos impostos pela LGPD à saúde para o lidar com os dados do usuário, pode-se destacar: a necessidade de autorização dos pacientes (consentimento); ampliação do conceito de dados (dados sensíveis); proteção dos dados por terceiros (criptografia); possibilidade de os usuários acessarem os dados (segurança e transparência); prerrogativa de corrigir, atualizar ou modificar os dados (privacidade e liberdade de expressão).

Com isso, a obrigatoriedade de adotar medidas que garantam a segurança de dados é inevitável. 

Deve-se seguir as medidas protetivas das informações pessoais do paciente, respeitando os protocolos de segurança de dados no cotidiano da instituição. 

Na prática, os protocolos de segurança estipulados pela LGPD, no dia a dia de uma instituição de saúde, são:

• Privacidade para o usuário;
• Recepção correta dos dados; 
• Fácil comunicação;
• Segurança digital dos dados;
• Segurança off line dos dados;
• Data Protection Officer (DPO) definido e atuante;
• Colaboradores capacitados;
• Plano de Contingência Eficiente;
• Processos corporativos mais seguros com controles de acesso;
• Compartilhamentos seguros de dados e desde que previamente autorizados;
• Obtenção e armazenagem dos Termos de Consentimento por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Apesar de ainda dar brechas para que gestores e empresas se adequem às novas exigências, vale lembrar que a lei já está em vigor. É de extrema importância que os protocolos sejam executados com excelência. E em caso de descumprimento, a instituição poderá arcar com multas de até 2% sobre o lucro institucional, podendo chegar a até R$50 milhões.  

A importância da informação para soluções de questões clínicas 

As informações advindas dos dados do paciente são a base da pesquisa médica, em busca do tratamento adequado. Por isso, a coleta de dados pessoais e sensíveis é fundamental para o sucesso de qualquer tratamento, desde a fase de prevenção até a fase de diagnóstico do paciente.     

Uma pesquisa da Universidade Federal de Santa Catarina (UFSC), com residentes do seu Hospital Universitário, mostra a importância dos dados para o tratamento, na qual os médicos faziam suas pesquisas para a resolução de questões clínicas.  (SAVI, Maria e SILVA, Edna. 2011)

Segundo a resposta dos entrevistados, 73,68% dos residentes buscavam respostas de questões clínicas para tratamento, outros 21,05% para questões relacionadas a diagnósticos e 5,26% para a prevenção. (SAVI, Maria e SILVA, Edna. 2011)

As informações sobre a saúde do paciente são valiosas no mercado ilegal e podem ser negociadas na deep web. Isso acaba abrindo margem para que ocorram ataques e invasões de banco de dados hospitalares, partindo de hackers em busca do “tesouro”. 

O motivo do grande valor desses dados é que eles não são alterados com frequência, o valor dessas informações é estimado a partir da quantidade de registros e sua qualidade. Além disso, as informações clínicas do paciente são valiosas para vários tipos de crimes, o que aumenta o risco de lidar com esse tipo de  dado. 

Riscos de não seguir os protocolos de segurança de dados

A alta demanda de informações para a conclusão de casos clínicos contribui para o elevado índice de dados na instituição, o que demanda os devidos cuidados institucionais. 

Considerando que as principais causas de vazamento de dados de saúde são ataques (54%),  falha no sistema (25%) e erro humano (24%), a clínica, o ambulatório e/ou hospital devem prezar pela proteção desses dados e garantir a confidencialidade do paciente. 

Porém, a ameaça de vazamento de dados hospitalares vem ocorrendo de forma alarmante. 

Como nada é sagrado no domínio do roubo de dados, o grupo denominado Anonymous fez uma série de ataques ao Hospital Infantil de Boston como um ato de “hacktivismo”. 

Embora o objetivo do ataque fosse buscar retaliação contra o hospital por manter uma paciente contra a vontade de seus pais, ele mostra o quão vulnerável a segurança dos dados de saúde pode ser para um grupo de hackers determinados.

No Brasil, já houve casos de vazamentos em várias instituições, inclusive no próprio SUS – Sistema Único de Saúde, que sofreu a invasão de dados de 2,4 milhões de usuários que foram expostos na internet. (UOL, 2019)

Outro fator alarmante em relação à segurança dos dados dos pacientes é o vazamento de dados de dentro para fora, onde tais informações são vazadas por alguém da equipe. Afinal, ainda é comum entre médicos a prática inadequada de troca de informação sobre pacientes em canais híbridos  – como e-mail, whatsapp e/ou chats de redes sociais. 

Ainda assim, mesmo diante de constantes ameaças, a falta de cuidado com a confidencialidade dos dados de saúde se reflete nas políticas de muitas instituições.

Segundo pesquisa da TIC Saúde, apenas 23% das organizações de saúde possuem um documento com as diretrizes de proteção.

Além disso, a pesquisa aponta ainda que apenas 19% dos hospitais sem internação possuem uma política de segurança de dados. Entre as instituições com internação e mais de 50 leitos, pouco mais da metade (52%) cumpre com as diretrizes de proteção estipuladas em lei.

A LGPD contribui para que a segurança desses dados seja prezada, afinal estamos caminhando para uma nova era da saúde, onde a utilização de informações será ainda maior. Por isso,  a gestão hospitalar deve seguir sérios protocolos para seguir com a confidencialidade dos dados, sejam eles digitais ou analógicos. 

Quais aspectos considerar ao contratar um Sistema de Telemedicina 

A segurança e o tratamento correto das documentações do usuário já era tema da Lei n° 13.787 (Lei do Prontuário Eletrônico) desde 2018. Com a chegada da LGPD, ficou estabelecido que os sistemas devem armazenar os dados pessoais e sensíveis com segurança. 

Para alcançar esse objetivo, indica-se a utilização de softwares com controle de acesso e proteção criptográfica. 

Ao todo, o sistema responsável pelo detenimento dos dados deve apresentar ferramentas de proteção que cooperem com o cumprimento dos protocolos de segurança de dados anteriormente citados. Dentre eles, destacam-se:

• Chaves de acesso 

A chave de acesso é basicamente um dado que permite o acesso a um sistema de alimentação ininterrupta (UPS).  

Na prática, ela permite que sua empresa acesse o sistema UPS, que mantém as informações que você e seus clientes precisam para enviar, rastrear ou faturar dados.

Uma chave de acesso é necessária para acessar todas as versões HTML e XML disponíveis da interface de programação de aplicativo (API). Ou seja, sem a chave de acesso, o indivíduo não é capaz de fazer a integração entre sistemas. 

Isso diminui a chance de um invasor obter acesso às credenciais dos pacientes (e depois vencer a criptografia).

• Centralização e interoperabilidade de dados

Centralizar a gestão e o controle dos dados institucionais aumenta a segurança do processo, reduz o prazo de entrega do serviço, impacta na produtividade da equipe e tende a aumentar a qualidade do serviço oferecido pela solução.

• Criptografia

A criptografia é uma das principais maneiras de manter os dados do software protegidos.

Essa tecnologia codifica todas as informações produzidas na plataforma, evitando que indivíduos sem permissão tenham acesso a elas. 

Dito isso, é imprescindível a utilização de um sistema que caiba todos esses fatores protetivos para a garantia de um cuidado digno, que respeite as medidas de segurança de dados nos cuidados de saúde.

Conheça o Sistema de Gestão e Telelaudo da Neomed

O apoio para seguir os protocolos de proteção de dados está mais perto do que você imagina. Com plataformas da Neomed, seja ele o Sistema de Gestão e Telelaudo ou o Kardia – hub para acelerar diagnósticos de doenças cardiovasculares – o asseguramento das informações do paciente é garantido por chave de acesso, controle do gestor e criptografia de ponta a ponta. 

Agregada ao Telelaudo, o Sistema oferece um corpo clínico altamente capacitado e à disposição da sua operação, preparado para devolver os laudos de exames em, no máximo, 24 horas. 

Os produtos da Neo armazenam os exames e promovem uma melhor gestão da operação, através de dashboards inteligentes e conexões com outros sistemas. Uma solução de ponta a ponta, hospedada em nuvem, sem instalações, robusta, segura e adaptada às normas de segurança dos dados de saúde. 

Por isso, não espere pelas multas da LGPD! Adeque a sua proteção de dados com a Neomed e experimente a segurança de saber que cada laudo enviado pela sua instituição está protegido contra violações. Fale com um especialista e peça o projeto piloto da sua clínica ou hospital.

---

Referências bibliográficas

SAVI, M. G. M; SILVA, E. L. D. O uso da informação e a prática clínica de médicos residentes . Perspectivas em Ciência da Informação, Santa Catarina, v. 16, n. 3, p. 232-254, jul./2011. Disponível em: https://www.scielo.br/j/pci/a/pRQcQGQHwTQNHXsmhbSbGWm/?format=pdf&lang=pt. Acesso em: 13 out. 2021.