A LGPD chegou, e com ela, clínicas, consultórios e hospitais precisam se adequar às exigências da lei o quanto antes. Mas, o que muda, exatamente?
Buscamos informações sobre a LGPD na área da saúde e seus impactos para trazer a você algumas dicas do que será preciso mudar e, também, de como fazer isso sem causar um turbilhão de novos processos no seu negócio.
Vamos aprender?
O que você precisa saber sobre a adequação à LGPD
A adequação à LGPD requer o aconselhamento por especialistas no assunto. Não dá para simplesmente assumir que algumas mudanças serão suficientes para levar à adequação, porque não é assim que as coisas funcionam.
Além disso, quando você tenta promover essas alterações nos processos de trabalho sem a ajuda certa, corre um risco sério de comprometer as atividades desempenhadas, sem qualquer garantia de estar adequado. Existem frentes de adequação: técnica, jurídica e operacional. A extensão das adequações depende da complexidade do negócio, além do seu porte.
Portanto, antes de iniciar o processo de adequação, busque uma consultoria especializada. Isso te ajudará a seguir o melhor caminho.
O que muda com a LGPD na saúde?
Agora, sim! Vamos entender as mudanças principais em empresas da área da saúde com o advento da LGPD.
Os dados de pacientes apenas poderão ser coletados e armazenados mediante a autorização dos titulares. Ou seja, os próprios pacientes. Isso se aplica tanto a prontuários criados anteriormente quanto para os que serão criados no futuro.
No caso de prontuários existentes, será necessário requisitar o consentimento por parte do titular. Isso se aplica tanto aos dados registrados e armazenados digitalmente quanto para aqueles em documentos físicos.
As mudanças da LGPD na Área da Saúde se aplicam a um vasto número de situações, como telemedicina, cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar), SUS, intercâmbio de informações entre diferentes S-RES (como pedidos de exames de laboratórios), entre outros.
Comunicação com o paciente
Mensagens trocadas entre médicos e pacientes via Whatsapp ainda poderão ser feitas, mas além da necessidade de serem criptografadas (o que esta rede social já faz), as caixas postais com mensagens persistentes também terão de ser protegidas, já que contêm identificação da pessoa.
Elegendo um DPO
Empresas terão de nomear um responsável interno para proteção dos dados ou terceirizar a gestão de segurança de informação, conforme as normas de contratação de parceiros de negócios, como a norma ISO 27.001 e ISO 27.799 (esta é especial para a área da saúde).
Proteção de Dados
Se a empresa contratada para proteção dos dados dos pacientes não tiver um sistema realmente seguro e houver qualquer fator que mostre quebra deste protocolo, o contratante do serviço também é responsabilizado pelo ato.
Titularidade sobre os Dados
Os pacientes terão o direito de saber quais dados deles constam no sistema e para que finalidade essas informações serão utilizadas. Estes dados também deverão estar disponíveis para a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que editará normas e fiscalizará procedimentos relacionados à segurança dos dados pessoais dos usuários.
Os dados pessoais dos pacientes, assim como todas as transmissões de informações no sistema, deverão ser criptografados e, depois de cumprirem o objetivo, devem ser apagados.
E agora? Por onde começar?
Vale destacar que não existe um padrão no processo de adequação. Cada negócio possui suas próprias particularidades. É preciso analisar os softwares utilizados, as políticas de trabalho e os processos operacionais para, então, diagnosticar os pontos de atenção e trabalhar em correções. Tudo isso, além de, claro, designar um DPO com expertise para responder pela empresa e fazer a ponte com a autoridade responsável, a ANPD.