LGPD na Saúde: segurança de dados na jornada do paciente

Em vigor desde agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) é a norma brasileira que regula o tratamento de dados pessoais, impondo regras para empresas públicas e privadas.

Apesar dos avanços na adaptação à LGPD na área da saúde, ainda existem vulnerabilidades que precisam ser corrigidas, no que diz respeito às questões regulatórias, legais e a implementação de boas práticas para a manipulação segura dos dados dos pacientes.

Devido à natureza das informações, que dizem respeito à saúde de pessoas, e o tempo determinado para seu armazenamento (até vinte anos), essa questão se torna ainda mais crítica para as instituições de saúde.

Tecnologias como a Inteligência Artificial têm contribuído significativamente para a adaptação à LGPD no setor de saúde. A seguir, exploraremos o cenário atual, discutir os desafios, impactos e aplicações dessa legislação no setor.

LGPD na saúde: como está a proteção de dados no setor?

A segurança dos sistemas é importante, porém muitas instituições ainda carecem de processos de governança estruturados para aplicação e monitoramento da LGPD na saúde. Afinal, junto à implementação, têm-se os treinamentos e acompanhamentos. 

Segundo o relatório de fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), o setor de saúde está entre os cinco que mais recebem denúncias de violação à LGPD. Este número evidencia uma lacuna significativa na conformidade com a legislação. 

A título de informação, os dados referentes à saúde são considerados dados pessoais sensíveis.  Dessa forma, o tratamento e divulgação destes só pode ser realizado em situações específicas, como com o consentimento explícito do titular ou para cumprir obrigações legais e regulatórias.

Em sua essência, a Lei não veio para burocratizar ou dificultar a rotina das pessoas e empresas, mas sim, realçar o avanço tecnológico. O desafio está justamente em encontrar este equilíbrio entre a inovação e tecnologia, bem como as maneiras práticas de aplicação. 

Baixe o e-book: LGPD nas instituições de saúde – recomendações de segurança e compliance para soluções na nuvem

Quais mecanismos de proteção dados existem atualmente na saúde?

O setor possui regulamentações próprias a respeito da proteção de dados com a Resolução CFM n.º 1.821/2007 que dita o armazenamento do prontuário médico por até 20 anos, em materiais impressos, e permanentemente no caso de materiais digitais.

Portanto, a LGPD na saúde chega para mitigar possíveis problemas. Inicialmente, é preciso estabelecer um controle de autenticação rigoroso para o acesso aos sistemas de saúde.

Neste sentido, também é importante garantir a integridade da informação, ou seja, verificar qual a autoria e contexto em que o dado foi inserido.  Outro aspecto é a transparência sobre o armazenamento, transmissão dos dados e o uso da criptografia para essas tarefas.

Garantir que os eles permaneçam protegidos ao longo de seu ciclo de vida é essencial para evitar vazamentos e violações de privacidade. No futuro, espera-se que o uso dos algoritmos voltados para a segurança do paciente seja um destaque no desenvolvimento de tecnologias.

Com o apoio da Inteligência Artificial, os sistemas podem fornecer informações de alta qualidade aos profissionais da saúde, facilitando o suporte para tomada de decisões.

Quais são os impactos da LGPD na saúde?

A aprovação da LGPD atende uma antiga demanda por regulamentações para proteger o direito dos indivíduos à privacidade. Infelizmente, as violações de dados ainda são comuns aqui no país. 

Para se ter uma ideia, o Brasil  lidera o ranking de vazamento de dados em 2023, superando a Índia, Indonésia e Estados Unidos.  Nesse contexto, a LGPD surge para enfrentar este desafio ao estabelecer requisitos de proteção a dados pessoais.

Além disso, instituiu a Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável pela fiscalização e aplicação de penalidades e multas.

Por serem considerados dados pessoais sensíveis, o tratamento das informações na saúde é ainda mais rigoroso. Entre os impactos da lei está a necessidade de autorização do paciente para coleta e uso dos dados. 

Na prática, a nova legislação exige mudanças nas instituições de saúde, como a troca ou adaptação dos sistemas usados para garantir a segurança das informações coletadas.

Esses softwares devem ser programados conforme às disposições da LGPD.  Além dos aspectos técnicos, também há uma mudança de cultura. Os profissionais precisam ter um conhecimento aprofundado sobre o tema para evitar que cometam erros, como compartilhar dados do paciente com outros familiares, sem autorização prévia. 

Por outro lado, os próprios médicos também observam modificações na rotina com a preocupação adicional com o armazenamento, uso e tratamento dos dados. 

Contudo, mesmo com a lei em vigor desde 2020, grande parte das organizações enfrentam dificuldades de adequação, como comentamos anteriormente. Os principais aspectos que dificultam a implementação são a instabilidade regulatória e a falta de orientações e apoio por parte da ANPD. 

Diante da pandemia e das adaptações que as instituições de saúde precisaram fazer rapidamente para oferecer modalidades de telemedicina, a adequação se tornou ainda mais desafiadora.

Além disso, a implementação de medidas para estar em compliance na saúde ainda é baixa.

Boas práticas para aplicação da LGPD na saúde

A aplicação da LGPD no setor de saúde vai além da implementação de uma política de privacidade. Ela abrange diversas questões, incluindo o treinamento de equipes, a melhoria da infraestrutura tecnológica e o alinhamento com outras práticas regulatórias do setor.

O Conselho Federal de Medicina (CFM) estabelece regras específicas e éticas sobre o prontuário médico, as quais justificam a necessidade de armazenar dados médicos.

No entanto, diferenciam-se das exigências da LGPD, que possuem um caráter regulatório próprio. Outra questão importante é a segurança dos sistemas e dispositivos utilizados no ambiente hospitalar.

É preciso garantir que essas tecnologias atendam aos requisitos da LGPD, oferecendo a segurança necessária para a proteção dos dados dos pacientes.  Entre os recursos adequados está a criptografia, especialmente importante quando há transferências entre servidores e dispositivos.

Esse é um dos momentos em que podem ocorrer intercepções e vazamento de dados. No caso de sistemas em nuvem, é importante garantir que os acordos de serviços incluam cláusulas específicas sobre segurança e conformidade com a LGPD.

Práticas como backup regular, autenticação em dois fatores e atualização dos softwares são outras recomendações indispensáveis.  

Para quem realiza pesquisas clínicas, existem regras específicas sobre a autorização do uso de dados pelos participantes.

Compreender essas diferenças auxilia na conformidade com a LGPD, sem comprometer as práticas já estabelecidas no setor.

Desafios da implementação da LGPD no setor de saúde ao longo do tempo

Um dos principais desafios se relaciona a cultura presente nas instituições de saúde. Uma visão conservadora e uma mentalidade desassociada às tecnologias e novas legislações podem prejudicar o avanço. 

Muitas vezes, as orientações sobre a aplicação operacional da LGPD podem ser vagas ou genéricas, dificultando a implementação prática.

Assim, fica evidente a necessidade de um acompanhamento profissional. É interessante contar com o auxílio de um advogado especialista em proteção de dados e uma equipe de TI para adequar questões técnicas e jurídicas. 

Por outro lado, os diferentes cenários e até mesmo as variadas nomenclaturas que se usam em cada instituição podem dificultar o entendimento e a clareza sobre como lidar com os dados.

De modo geral, o setor da saúde não conta com uma padronização dos dados e processos.

Aplicações da LGPD na área da saúde

As medidas de proteção exigidas pela LGPD diminuem o risco de vazamentos e acessos não autorizados aos dados de saúde dos pacientes.

Na rotina hospitalar, é preciso aplicar uma abordagem técnica, administrativa e educativa. Ou seja, o uso de sistemas adequados e seguros é um ponto-chave da adequação da LGPD, mas também é preciso contar com:

• Políticas de privacidade e segurança;
• Documentação dos consentimentos obtidos;
• Realização de auditorias internas.

Nesse contexto, criar programas de treinamento e capacitação para os profissionais torna as legislações e suas regras conhecidas por toda a equipe e aumenta o nível de conformidade.

Assim, todos estão cientes de como agir em casos de ameaças à segurança dos dados, bem como, saberão o que fazer para protegê-los. 

No que diz respeito às auditorias, elas devem  ser aplicadas com periodicidade para avaliar a conformidade com a LGPD e identificar possíveis vulnerabilidades.

Dentro das diversas práticas que condizem com a LGPD na saúde, aqui estão outras aplicações viáveis: 

• Proteção de dados pessoais sensíveis; 
• Consentimento informado;
• Treinamento de funcionários;
• Gerenciamento de incidentes;
• Revisão e atualização de políticas;
• Auditoria e monitoramento;
• Interoperabilidade segura;
• Documentação e transparência;
• Adoção de certificações e normas internacionais.

É válido destacar que uma certificação internacional confere notoriedade e vantagem competitiva às instituições de saúde.

A ISO 27799 é uma delas, pois se trata de uma norma que fornece diretrizes para a proteção de informações de saúde em sistemas de informação e pode contribuir para a criação de uma base técnica e operacional para adequar a LGPD.

Penalidades do não cumprimento da LGPD nas instituições de saúde

As instituições de saúde podem ser multadas, e, em casos graves, as operações de tratamento de dados pessoais podem ser suspensas até que a conformidade com a LGPD seja restabelecida.

As penalidades ocorrem caso haja descumprimento das regras. Por exemplo, a LGPD proíbe a comunicação ou o uso compartilhado de dados pessoais sensíveis com o intuito de obter vantagem econômica. 

A exceção acontece em casos específicos, como prestação de serviços de saúde, assistência farmacêutica e assistência à saúde, incluindo serviços auxiliares de diagnóstico e terapia. 

Também é vedado que operadoras de planos de saúde utilizem os dados de saúde para a seleção de riscos na contratação de qualquer modalidade de plano e/ou exclusão de beneficiários. 

Quando se trata de estudos em saúde pública, a lei determina que os dados devem ser tratados exclusivamente no órgão responsável e utilizados estritamente para fins de pesquisa. Em complemento, é obrigatório que os dados sejam mantidos em ambiente controlado e seguro. 

Empresas que se apoiam em sistemas defasados, seja com desempenho lento, interface desatualizada ou controle de acesso frágil, têm riscos maiores de vazamento de dados, portanto, é sempre importante ter atenção às tecnologias.

Caso receba uma suspensão de operação, será preciso retomar ao papel para seguir com as atividades, uma situação nada prática para a rotina hospitalar. 

Outro cenário é a responsabilização civil, que obriga a indenizar os titulares de dados pelos danos materiais e morais causados pela infração. Além das questões legais, o não cumprimento da LGPD na saúde pode afetar a reputação da empresa.

Baixe agora: [Infográfico] Como a tecnologia garante a segurança do paciente?

Como garantir a segurança de dados de pacientes na saúde?

A segurança dos dados de saúde é um compromisso contínuo com a privacidade dos pacientes.

Vimos que envolve implementar medidas como a criptografia de dados, controles de acesso rigorosos, uso de sistemas em nuvem, contratação de profissionais especializados, treinamentos às equipes e monitoramento dos processos internos inerentes à proteção de dados.

As instituições de saúde precisam estar sempre atualizadas sobre as melhores práticas de segurança da informação e implementar as medidas necessárias para proteger os dados de seus pacientes.

Iniciativas como a certificação de sistemas de gestão da segurança da informação (SGSI), de acordo com normas internacionais como a ISO/IEC 27001, podem ajudar a implementar e manter práticas robustas de proteção de dados. 

Para saber mais sobre o tema, assista o podcast sobre LGPD na Saúde: investindo em segurança de dados para uma jornada do paciente mais protegida e confiável.