LGPD para a Saúde: Hospitais, Clínicas, Laboratórios e Consultórios também precisam de adequação. Como é possível começar?

LGPD: Dados Pessoais vs. Dados Pessoais Sensíveis – O que são?

De forma resumida e simplificada, dados pessoais são quaisquer informações que permitam identificar uma pessoa, como nome, CPF, telefone, endereço ou e-mail, de forma direta (identificada) ou indireta (identificável).

Já os dados pessoais sensíveis, conforme definido pela LGPD, são aqueles que:

• Revelam origem racial ou étnica;
• Convicção religiosa, política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• Dados referentes à saúde ou à vida sexual;
• Dados genéticos e dados biométricos;

Por serem mais suscetíveis a discriminação e impactos negativos para os titulares, esses dados requerem um nível de proteção ainda mais elevado.

Exemplificadamente, qual impacto um indivíduo poderia ter em sua vida privada (comunidade, trabalho, família) se uma condição fosse, eventualmente, publicamente conhecida?

E é importante mencionar que, a lei abrange não somente pacientes, como também funcionários, colaboradores e qualquer outro indivíduo cujos dados pessoais sejam “tratados” por um CNPJ ou pessoa física estabelecida com a intenção de vender produtos ou serviços. Regularmente, o RH coleta dados pessoais sensíveis, por exemplo, na contratação e demissão de funcionários ao manipular informações pessoais acerca de filiação a sindicatos destes colaboradores.

LGPD e os Tratamentos de Dados por Médicos

A área da Saúde lida diariamente com dados pessoais sensíveis, como histórico médico, resultados de exames, prontuários eletrônicos, imagens diagnósticas e prescrições. Esses dados, por sua natureza, podem revelar condições de saúde, doenças crônicas e outras informações que, se vazadas ou utilizadas de forma inadequada, podem causar danos à vida privada aos pacientes. Portanto, é fundamental que todas as instituições de saúde implementem políticas rigorosas de segurança para proteger esses dados contra a manipulação indevida e a privacidade de cada pessoa envolvida no processo.

Outro aspecto crucial é o descarte consciente de materiais impressos contendo dados de saúde dos pacientes.

Prontuários em papel, exames impressos, “rascunhos” e documentos que não são mais necessários devem ser descartados de maneira segura, utilizando – por exemplo – trituradores ou serviços especializados em eliminação de documentos com dados sensíveis. O descarte inadequado pode expor informações confidenciais e comprometer a privacidade dos pacientes, resultando em potenciais penalidades e danos à reputação da instituição.

Outro ponto de atenção é o uso de ferramentas tecnológicas para compartilhamento de mensagens, fotos e vídeos por meio de soluções não projetadas para a segurança de dados de saúde, como o WhatsApp. Embora amplamente utilizado por profissionais de todas as áreas para a troca de informações, essas ferramentas não oferecem os níveis de segurança e rastreabilidade exigidos para o tratamento de dados pessoais sensíveis. O ideal é utilizar plataformas seguras, com criptografia, gestão de acessos e conformidade com as normas de proteção de dados, especialmente limitando o compartilhamento fora do contexto ou das pessoas relevantes à prestação do serviço médico.

Uso de imagens para fins acadêmicos e de pesquisa dentro da LGPD

O uso de imagens e dados para fins acadêmicos e de pesquisa é uma prática comum na área da saúde.

No entanto, é importante ter uma atenção especial para que esses dados sejam utilizados de forma ética e legal. Para qualquer uso de imagens ou informações dos pacientes, deve-se obter o consentimento explícito e informado, assegurando que esse consentimento seja livre e desimpedido. É importante que os objetivos do tratamento de dados sejam claramente informados, indicando todos os parceiros com eventual acesso aos dados, e, sempre que possível anonimizando dados de pacientes.

Não se pode, por exemplo, condicionar a realização de exames ou tratamentos à concessão desse consentimento, pois isso caracterizaria uma prática abusiva.

Além disso, o uso dessas informações para fins de marketing (ex. “Antes e Depois”de tratamentos) deve ser evitado, a menos que haja um consentimento específico e separado para essa finalidade. É importante evitar o compartilhamento de imagens e procedimentos em redes sociais, onde a identificação do paciente seja possível e visível: De forma identificada ou identificável.

Aplicativos Médicos, Serviços de Terceiros e o Risco de Privacidade

O setor da saúde tem sido um dos mais atingidos por ciberataques, ocupando o segundo lugar no ranking global de setores mais visados, conforme relatório da IBM Security X-Force. Em 2023, aproximadamente 20% dos ataques cibernéticos em todo o mundo tiveram como alvo hospitais, clínicas e laboratórios, com um aumento significativo de casos de ransomware. O vazamento de dados de pacientes e a interrupção de sistemas podem comprometer seriamente o atendimento médico e expor informações altamente sensíveis. Diante desse cenário, investir em cibersegurança, com medidas e controles rigorosos de acessos e monitoramento contínuo, tornou-se indispensável para garantir a proteção dessas informações e evitar prejuízos financeiros e reputacionais.

Os apps e sistemas médicos também precisam de uma atenção especial: Nos últimos anos, houve uma proliferação de aplicativos voltados para a telemedicina, análises e acompanhamento de saúde, laudos digitais, comunicação entre laboratórios e médicos e etc. Esses apps facilitam o compartilhamento de informações e mapeamento da evolução do paciente mas também abrem potenciais vulnerabilidades que necessitam ser tratadas. É necessário que times jurídicos, de privacidade e de TI, avaliem seus controles para garantir que apps e sistemas possuam políticas adequadas de proteção de dados e cibersegurança.

Na escolha de fornecedores de serviço, como empresas de entrega de laudos, apps proprietários ou “whitelabel”, é imprescindível realizar uma avaliação detalhada de seus termos de serviço, políticas de privacidade, certificações tecnológicas e medidas de segurança operacionais. Muitos desses aplicativos realizam transferências internacionais de dados, o que exige cuidados adicionais para garantir que as informações dos pacientes estejam protegidas conforme as normas da LGPD. Instituições de saúde devem ter especial atenção ao selecionar provedores de serviço, garantindo que estejam em conformidade com os padrões regulatórios e que protejam devidamente os dados coletados.

O “mix” entre dados pessoais sensíveis e é algo para que as equipes se debrucem para avaliações detalhadas e sejam criteriosas na escolha de seus terceiros (operadores).

A área da Saúde deve escolher fornecedores que garantam conformidade com a legislação brasileira e adotem medidas técnicas e organizacionais robustas para a proteção dos dados. Além disso, é recomendável que a instituição conte com um profissional especializado – ou uma equipe – para realizar essa avaliação antes da contratação de qualquer serviço digital ou complementar à prática médica.

Investimentos em treinamentos para a conformidade com a LGPD

Falhas humanas continuam sendo uma das principais causas de vazamento de dados no setor da saúde. Estudos apontam que aproximadamente 80% dos incidentes de segurança envolvem erro humano, seja por falta de treinamento, práticas inadequadas no manuseio de informações ou descuidos na configuração de sistemas. Esses erros podem levar à exposição indevida de dados sensíveis, facilitando ataques cibernéticos e violações de privacidade. Investir na capacitação contínua dos profissionais e na implementação de processos de segurança eficazes é essencial para mitigar esses riscos.

Treinar colaboradores sobre as boas práticas de privacidade, suas normas internas e proteção de dados é fundamental para garantir a conformidade com a LGPD. Desde a recepção até os profissionais da saúde, todos devem compreender a importância da segurança da informação e as consequências de uma eventual violação de dados. Isso inclui orientações sobre sigilo, boas práticas no manuseio de documentos e uso adequado de ferramentas digitais.

A Importância do DPO para a medicina

A presença de um Data Protection Officer (DPO) é essencial para hospitais, laboratórios, clínicas e consultórios médicos. Esse profissional garante a adequação à LGPD, orienta sobre as melhores práticas de privacidade e atua na gestão de incidentes de segurança. Uma alternativa viável para muitas organizações é o serviço de DPO-as-a-Service, onde equipes multidisciplinares, compostas por especialistas em TI, cibersegurança e direito, trabalham para garantir a conformidade legal e a segurança dos dados.

Esse modelo de DPO “como serviço” permite que instituições de diversos portes tenham acesso a conhecimento especializado sem a necessidade de manter uma equipe interna dedicada. Desde o consultório com apenas um médico até hospitais com milhares de profissionais. Para os pequenos, o DPO pode, ainda, ajudar na escolha das melhores ferramentas e suportar com consultoria em tecnologia.

O DPO sempre deve ter um papel proativo e consultivo, estando acessível a todo e qualquer colaborador.

O DPO é um profissional necessário para toda e qualquer organização, independente de segmento, com exceções aos Agentes de Pequeno Porte.

Como a Macher Tecnologia pode sua prática médica na adequação à LGPD?

A Macher Tecnologia oferece soluções completas para ajudar hospitais, clínicas médicas, consultórios e laboratórios a se adequarem à LGPD. Com uma abordagem personalizada, auxiliamos na revisão de processos, implementação de medidas de segurança, treinamentos especializados e gestão de riscos.

Para empresas maiores, contamos com parcerias globais para implementação e gestão de ferramentas de cibersegurança, SOC e NOC, monitorando proativamente sua infraestrutura tecnológica.

Oferecemos consultoria especializada (“hands-on”), auditorias internas de processos, avaliação de terceiros, treinamentos e serviços de DPO-as-a-Service para garantir que sua escola esteja em conformidade e protegida contra riscos relacionados à privacidade. Entre em contato conosco e descubra como podemos ajudar sua instituição a se adequar à LGPD com segurança e eficiência, protegendo a segurança e a privacidade dos dados dos seus pacientes, sua reputação e assegurando a conformidade legal.

Converse com nossos consultores agora!