Quando o assunto é Lei Geral de Proteção de Dados e saúde, muitas dúvidas podem surgir. Afinal, até pouco tempo esse segmento não precisava se preocupar com a proteção de dados pessoais de forma tão específica, conforme define a LGPD.
As empresas e instituições públicas ou privadas com foco em cuidados com a saúde e estética, já buscavam fazer o tratamento desses dados de forma segura, mas não sob o risco de penalização.
Para ajudar a esclarecer as questões dos profissionais de saúde relacionadas à LGPD, pedimos a ajuda do advogado da Tahech, Lucas Balena, e respondemos algumas das principais perguntas nesse tira-dúvidas.
Vem conferir:
A LGPD se aplica a todos os estabelecimentos de saúde?
Sim! A LGPD se aplica a estabelecimentos de saúde, como: hospitais, clínicas médicas, clínicas de estética, consultórios médicos, operadoras de plano de saúde, laboratórios, farmácias e outros. Estabelecimentos de estética e cuidados do corpo, também estão enquadrados como estabelecimentos de saúde.
Devo me atentar somente aos dados online?
Não! É equivocado acreditar que a LGPD se restrinja apenas à coleta de dados online. Ter um sistema de prontuário eletrônico adequado a LGPD, por exemplo, é apenas um dos diversos passos exigidos pela implementação da nova lei.
As informações também são armazenadas e podem ser vazadas de um prontuário de papel, por exemplo.
Além disso, toda a equipe, não importa qual seja a função exercida, deve ser treinada e conscientizada sobre as determinações da LGPD.
Como os dados devem ser coletados e manuseados?
Os dados pessoais de um paciente só podem ser tratados mediante comunicação com o titular. Uma dica é que o titular dos dados assine um Termo de Consentimento Livre e Esclarecido (TCLE), com todas as devidas informações conforme orienta a LGPD.
Além disso, é necessário que a empresa esclareça para quê e por que os dados estão sendo coletados e armazenados, e se podem ser compartilhados com outras organizações. Se houver qualquer alteração no tratamento desses dados, como por exemplo a contratação de um serviço terceirizado, os pacientes devem ser informados.
Alguns passos importantes e que não podem ser deixados de lado durante a elaboração do TCLE é que a clínica ou hospital:
- Especifique o propósito de coletar esses dados;
- Informe se as informações serão compartilhadas com terceiros, assim como o motivo do compartilhamento;
- Esclareça e ofereça informações de um contato específico (DPO) para os pacientes em caso de dúvidas.
Qual é a penalização para o segmento de saúde?
As penalizações são as mesmas aplicadas em qualquer outra organização que faça o armazenamento e tratamento de dados aqui no Brasil. Elas poderão variar entre advertência, multa simples ou multa diária e, ainda, publicização, bloqueio, eliminação, suspensão e a proibição do tratamento de dados pelos infratores, a depender da gravidade da infração.
A Autoridade Nacional de Proteção de Dados (ANPD) é a responsável por fiscalizar a implementação e manutenção de programas para gerenciamento de dados de saúde, em cumprimento às determinações da Lei. No entanto, é importante frisar que o disposto na LGPD acerca das sanções não substitui a aplicação de outras sanções administrativas, civis ou penais definidas no Código Penal Brasileiro e no Código de Defesa do Consumidor
O que fazer em caso de incidentes de segurança envolvendo dados pessoais?
Um incidente com dados pessoais ocorre quando há destruição, perda, alteração, divulgação ou acesso não autorizado, de forma acidental ou ilícita, de dados. Isso pode acarretar em prejuízos tanto para o paciente como, também, para a organização, seja de forma financeira, comercial ou reputacional.
Em caso de incidentes, a LGPD determina que os agentes de tratamento dos dados pessoais adotem medidas de segurança, técnicas e administrativas, visando a minimização dos danos. Saiba quais são no infográfico a seguir:
A ANPD recomenda que os controladores realizem a comunicação mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.
Quais são os direitos dos pacientes previstos na LGPD?
- Estar ciente e consentir que seus dados pessoais sejam acessados, armazenados e tratados;
- Ter livre acesso aos dados de forma rápida e gratuita;
- Corrigir dados incompletos, errados ou desatualizados;
- Eliminar, bloquear ou anonimizar dados desnecessários, excessivos ou que não foram tratados da forma correta, segundo a LGPD;
- Transferir suas informações para outro profissional ou fornecedor de serviço;
- Saber quem teve acesso aos seus dados pessoais, como entidades públicas e privadas;
- Ser esclarecido sobre os próximos passos, caso ele não concorde com o tratamento dos seus dados. Um paciente, por exemplo, pode não concordar com as informações sendo salvas em um prontuário de papel;
- Revogar o consentimento dado anteriormente a qualquer momento;
- Opor-se ao tratamento de informações realizado, caso não esteja em conformidade com a LGPD.
Você tem dúvidas se a sua empresa está adequada à LGPD? Descubra já! Nós preparamos um questionário gratuito que te ajuda a medir o nível de conformidade da sua empresa.
