Desde agosto de 2021 a LGPD (Lei Geral de Proteção de Dados) está em vigor e determina como empresas dos mais variados setores devem armazenar dados de indivíduos e clientes em qualquer tipo de suporte, desde o papel até o eletrônico.
Para as clínicas e instituições médicas, a LGPD é aplicada por meio da Lei 13.787 de dezembro de 2018, que regulamenta a utilização dos Prontuários Eletrônicos do Paciente (PEP).
Dessa forma, todos os dados de pacientes gerados em um atendimento médico devem estar em conformidade com o que prevê a LGPD.
Seguir a legislação é responsabilidade das clínicas e instituições, por outro lado, fornecedores, sistemas e outros ativos utilizados nas clínicas também devem estar em acordo com a lei, sob risco de penalização dos envolvidos.
Se você ainda não tem certeza se a sua clínica está seguindo o que determina a lei ou se a plataforma contratada para armazenar dados e realizar processos cumpre com as determinações, acompanhe o artigo.
Explico tudo que você precisa saber sobre este assunto de extrema importância para as empresas.
Como a LGPD afeta as instituições médicas?
Há alguns anos estamos acostumados com a ideia de que empresas como Facebook, Google, Instagram, e-commerces, lojas super varejistas, entre outros serviços online têm acesso a dezenas de informações sobre os clientes e visitantes online.
Por este motivo, é natural nos perguntarmos de que maneira as clínicas e instituições médicas devem ser submetidas à LGPD, e a verdade é que estas instituições precisam de ainda mais cuidado do que se imagina.
Empresas do setor de saúde armazenam dezenas de informações dos pacientes: desde dados do cadastro geral, como nome, idade, telefone, endereço, estado civil, etc, até informações sensíveis como histórico médico, doenças, tratamentos realizados, uso de medicamentos controlados, entre outros.
Desta forma, a LGPD trouxe mudanças que causaram impacto imediato na maneira de armazenar, gerenciar e compartilhar as informações coletadas no atendimento médico
Tais registros agora são submetidos a uma legislação robusta, independentemente se ficam armazenadas em um servidor nacional ou internacional – como é o caso de muitas plataformas utilizadas.
De acordo com a LGPD, quais dados dos pacientes precisam ser tratados?
As mudanças causadas pela LGPD trazem mais clareza aos indivíduos sobre como seus dados serão tratados, proibindo práticas que podem ameaçar, expor ou gerar troca de informações entre instituições não autorizadas.
Devido a sua importância, a plataforma LGPD Brasil traz todas as informações e diretrizes para cada setor, sendo que para o setor de saúde os dados considerados sensíveis são:
- Dados pessoais e dados sensíveis: os dados pessoais se resumem em informações gerais sobre a vida do paciente que são registrados desde sua entrada, como nome, endereço, número de telefone, CPF, RG, entre outros. Os dados sensíveis são: orientação sexual, filiação, origem étnica, religião, características físicas, entre outros.
- Dados registrados no prontuário digital: o histórico de saúde de um paciente também faz parte do tratamento de dados, personalização de tratamentos e medicamentos, pois as plataformas de tecnologias de apoio ao profissional de saúde também utilizam dados pessoais dos pacientes.
- Sistemas de monitoramento do paciente: como foco na medicina preventiva, esses sistemas também utilizam as informações pessoais e dados sensíveis de seus pacientes. No setor da saúde, as informações de Big Data costumam ser analisadas para ajudar na compreensão quanto ao desenvolvimento de doenças, planejar medidas para contenção de epidemias, no desenvolvimento de práticas quanto à prevenção e melhora no atendimento ao paciente.
Na prática, as clínicas devem explicar ao titular os detalhes sobre a finalidade da coleta dos dados e sobre a forma como será utilizado e armazenado.
Para pessoas menores de 18 anos, os responsáveis legais devem autorizar o uso das informações.
Além das penalidades financeiras às quais as empresas ficam sujeitas, instituições que não estiverem em conformidade com a LGPD podem receber uma suspensão do direito de coletar qualquer tipo de dado dos pacientes, causando a interrupção das atividades e do funcionamento da clínica.
Por que o prontuário eletrônico precisa estar adequado?
De forma objetiva, pode-se dizer que a LGPD definiu que cada indivíduo é o único proprietário das informações pessoais que dizem respeito a ele, de modo que o registro e o armazenamento dessas informações devem ser feitas mediante autorização expressa pela pessoa que está fornecendo os dados.
Para as clínicas, os dados registrados nos prontuários representam mais do que informações simples que qualquer pessoa pode ter acesso. Tratam-se de informações sensíveis, compartilhadas pelos pacientes quando os mesmos estavam em busca de tratamentos de saúde.
Quais dados de um paciente precisam ser tratados?
De acordo com a LGPD, dados considerados sensíveis são:
- Nome, apelido, número do cartão de identificação
- Idade, estado civil, raça, religião e orientação sexual
- Informação de patrimônio, doenças crônicas, dados médicos e hospitalares
- Endereço residencial, email, endereço IP e cookies
Por fim, clínicas precisam estar atentas ao fato de que não basta fazer adequações no sistema utilizado na instituição.
As plataformas usadas para guardar e compartilhar informações devem fornecer segurança e impedir o acesso de pessoas não autorizadas aos dados registrados por meio da tecnologia de criptografia de dados.
Um desafio que foi solucionado com bastante antecedência pela Rdicom, que, por meio de sistemas como o PACS e do armazenamento na nuvem, oferece um ambiente seguro e em conformidade com a LGPD a todas as clínicas e instituições que utilizam o serviço.