LGPD no setor da saúde
Lidando com um volume imenso de dados pessoais diariamente, o setor da saúde é um dos mais impactados pela LGPD (Lei Geral de Proteção de Dados). A lei estabelece princípios e regras para o tratamento de dados pessoais no Brasil realizado por pessoa natural ou por pessoa jurídica de direito público ou privado.
Ou seja, a LGPD afeta diretamente a rotina de profissionais, planos de saúde, clínicas e hospitais públicos e privados.
Para se ter uma ideia do tamanho do impacto, a ANS (Agência Nacional de Saúde Suplementar) contabilizava, em dezembro de 2020, mais de 47 milhões de beneficiários de planos privados de saúde no Brasil. Isso sem falar no SUS (Sistema Único de Saúde), que abarca dados de praticamente toda a população.
O grande desafio para o setor reside em como tratar e proteger esses dados de forma adequada e aderente à LGPD.
Confira neste artigo!
Baixe o nosso e-book sobre LGPD na Saúde!
Nossos especialistas prepararam um material completo e gratuito sobre LGPD no setor da saúde. Confira!
O que é dado pessoal, dado pessoal sensível e tratamento de dados
Os dados pessoais são a base da LGPD e também de outras leis e normas de privacidade e proteção, como a GDPR (General Data Protection Regulation), na Europa, e a CCPA (California Consumer Privacy Act), na Califórnia, nos EUA.
Dado pessoal é qualquer informação que identifique ou que permita identificar uma pessoa (como nome, CPF, e-mail, idade, foto ou profissão). Fragmentos de informação que, juntos, permitam identificar uma pessoa física também são dados pessoais.
Dentro do conjunto de dados pessoais, há ainda o dado pessoal sensível, que leva esse nome porque pode ser relacionado a situações de vulnerabilidade e discriminação, exigindo um regime jurídico diferenciado e mais reforçado.
Na definição adotada pela LGPD, dados pessoais sensíveis são dados relativos a:
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
- Dado referente à saúde ou à vida sexual;
- Dado genético ou biométrico.
Já o tratamento de dados é qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso, classificação e descarte. Importante destacar que a LGPD regula tanto o tratamento de dados realizado em meio virtual quanto físico.
Dados pessoais no setor da saúde
Só pela definição de dado pessoal e de dado pessoal sensível, mencionada acima, já dá para perceber como a adequação à LGPD na área da saúde é um assunto inadiável.
Afinal, de maneira geral, o setor trata tanto dados pessoais “comuns” quanto dados sensíveis, que estão submetidos a normas específicas dentro da LGPD. Qualquer dado referente à saúde, por exemplo, já é considerado um dado sensível.
Além disso, clínicas e hospitais muitas vezes coletam uma ampla gama de dados, que pode ir do nome à convicção religiosa, dependendo do atendimento a ser realizado. Sem falar nos dados dos seus próprios colaboradores e parceiros.
Quanto mais dados coletados e quanto mais sensíveis são esses dados, maior o risco e a responsabilidade da organização. Por isso, é essencial incorporar a proteção de dados à cultura organizacional, treinando a equipe e adequando processos.
Bases legais da LGPD
Um dos pontos mais importantes da LGPD diz respeito às hipóteses de tratamento, ou comumente conhecidas como “bases legais”. Basicamente, para justificar o tratamento de dados pessoais as organizações devem se enquadrar em algumas hipóteses, que são chamadas de bases legais da LGPD.
Bases legais gerais
Para o tratamento de dados pessoais “comuns” (dados que não sejam sensíveis), são dez bases legais previstas:
- Consentimento (ou seja, autorização do titular do dado);
- Cumprimento de obrigação legal ou regulatória;
- Execução de políticas públicas pela administração pública;
- Estudos por órgão de pesquisa;
- Execução de contrato e procedimentos preliminares;
- Exercício regular de direitos em processo;
- Proteção da vida ou incolumidade física;
- Tutela da saúde;
- Interesse legítimo;
- Proteção do crédito.
Já o tratamento de dados pessoais sensíveis, como informações sobre a saúde do titular, devem seguir uma outra série de bases legais.
Bases legais para dados pessoais sensíveis
Bases legais para dados sensíveis:
- Consentimento do titular ou responsável legal;
Ou, sem fornecimento do titular, nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Exercício regular de direitos;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Tutela da saúde;
- Garantia da prevenção à fraude e à segurança do titular.
Como as bases legais da LGPD se aplicam ao setor da saúde
Como vimos, a própria LGPD previu duas bases legais para o tratamento de dados, sensíveis ou não, diretamente ligadas à atuação do setor de saúde.
Uma delas é a proteção da vida ou incolumidade física. Nestes casos, deve ser verificada se há a necessidade do tratamento dos dados para a proteção da vida ou da incolumidade física do titular ou mesmo de terceiro.
A outra é a tutela da saúde, que ampara, exclusivamente, o tratamento de dados em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Assim, médicos, farmacêuticos, enfermeiros, fisioterapeutas, educadores físicos, psicólogos, nutricionistas, dentre outros, estarão legitimados para efetuar o tratamento de dados, desde que o tratamento tenha por finalidade a tutela da saúde.
Apesar dessas duas bases legais específicas, elas não são as únicas opções para justificar o tratamento de dados no setor de saúde.
A escolha da base legal deve ser feita com base em uma análise jurídica cautelosa, que levará em conta a atuação específica da organização, os dados coletados e a finalidade do tratamento. Clínicas, hospitais e planos de saúde, por exemplo, podem vir a se enquadrar em bases legais diferentes.
Dependendo do caso, o tratamento de dados pode se justificar para garantir o cumprimento de uma obrigação legal, por exemplo. Em outros, pode ser necessário garantir o consentimento explícito do titular de dados.
Precisa se adequar à LGPD?
Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.
Principais pontos de atenção para a LGPD na saúde
Toda empresa deve atender aos critérios básicos da LGPD: ater-se aos princípios da lei, enquadrar-se em uma base legal, garantir a segurança dos dados e respeitar os direitos dos titulares.
No entanto, cada setor enfrenta também desafios específicos. Clínicas, profissionais de saúde, hospitais e planos de saúde, por exemplo, devem ter atenção a alguns pontos extras quando se fala de LGPD e proteção de dados.
Compartilhamento de dados
Um dos pontos mais importantes diz respeito ao compartilhamento de dados. A LGPD deixa claro, em seu artigo 11, que é proibido compartilhar dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto:
- Nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;
- Para a portabilidade de dados quando solicitada pelo titular;
- Para transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde.
Seleção de riscos em planos de saúde
A LGPD também proíbe os planos privados de saúde de tratar dados de saúde para “a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários”.
Segurança da Informação
Atualmente entidades do setor de saúde são um dos alvos preferidos de hackers, como pode ser evidenciado na mídia. Os ataques mais comuns são ataques ransomware, em que os criminosos sequestram e criptografam dados em troca de pagamento de resgate. Caso o resgate não seja pago, os dados podem ser perdidos definitivamente ou expostos e vendidos na internet.
Não à toa, a LGPD coloca a segurança dos dados como um requisito de conformidade. Assim, a Segurança da Informação passa a ser componente essencial da adequação. Por isso, é preciso reforçar sistemas, treinar equipes e restringir ao máximo quem pode ter acesso aos dados.
As medidas de segurança da informação podem ser de natureza física, técnica ou mesmo organizacional e devem ser aplicadas em todas as etapas do tratamento de dados na organização, incluindo, por exemplo:
- Agendamento de consultas;
- Prontuário impresso ou eletrônico;
- Telemedicina;
- Acesso online a exames, receitas e diagnósticos;
- Conversas entre profissionais da saúde e pacientes por aplicativos de mensagem.
É fundamental que os colaboradores estejam conscientes da sua responsabilidade nesses processos e que a entidade forneça as medidas de segurança adequadas.
Adeque-se à LGPD com a consultoria da Get Privacy
Na Get Privacy, nós oferecemos uma consultoria de LGPD completa para o setor de saúde, entendendo os riscos e a complexidade do setor. Contamos com uma equipe multidisciplinar especializada em proteção de dados para atender às suas demandas.
Comece já sua adequação à LGPD
A Get Privacy conta com uma equipe multidisciplinar especializada em proteção de dados para guiar seu programa de conformidade.
CONFIRA
OUTROS POSTS