Como Implementar a LGPD na Prática Médica?
Surgiu a necessidade de sair da teoria e implantar a LGPD na prática em sua carreira de radiologista?
Sendo assim, você está iniciando um processo de adequação importante, que todos os profissionais que lidam com dados pessoais precisam fazer.
Decerto que a evolução tecnológica que ocorreu nas últimas décadas trouxe muitos benefícios à nova sociedade. Contudo, essa mesma evolução também criou novos desafios, um deles se refere à segurança do enorme volume de dados que passaram a ficar disponíveis na rede.
Nesse sentido, a criação da LGPD (Lei Geral de Processamentos de Dados Pessoais) se tornou necessária em função do impressionante aumento nas transações online entre empresas e pessoas naturais. Por sua vez, esse aumento nas relações comerciais pela internet gerou um tráfego de informações pessoais que ficou difícil de controlar.
Embora implementar a LGPD não seja uma atividade própria ao radiologista (a menos que ele participe também da administração da instituição médica), conhecer e aplicar o processo vai ajudá-lo a se defender de possíveis problemas decorrentes da não obediência à citada lei.
Para facilitar o seu trabalho de implementar a LGPD na prática, reunimos nesse post as informações que são consideradas indispensáveis para realizar essa tarefa.
O que é a LGPD
Em primeiro lugar, evidentemente, é preciso conhecer a lei – você pode acessar aqui. Nesse site do Governo Federal você pode conhecer os fundamentos, bem como os objetivos e as penalidades da lei. Assim, nesse artigo falaremos apenas de alguns pontos essenciais ou que tenham relação com a LGPD na prática médica, além de algumas dicas importantes de como implementá-la.
A LGPD trata apenas da segurança de dados pessoais das pessoas naturais, que são, de modo mais simples, as pessoas físicas. Assim, qualquer pessoa jurídica que disponha de dados de pessoas físicas está obrigada ao cumprimento da lei.
No caso de uma clínica médica ou mesmo um consultório particular, são armazenados tanto os dados pessoais (nome, endereço, CPF) quanto os denominados dados sensíveis, que incluem informações de saúde, além de dados como etnia ou preferências políticas e religiosas, entre outros.
Além disso, dados financeiros, como número do cartão de crédito do paciente, também ficam no banco de dados. Por isso, é um ato de responsabilidade e respeito com o paciente seguir a LGPD na prática médica. Veremos em seguida as providências que são indispensáveis para realizar essa ação.
A implementação da LGPD na prática médica
O conjunto de medidas que determinam como a instituição trata os dados pessoais armazenados em seu banco de dados recebe, geralmente, o nome de Política de Privacidade.
O Conselho Federal de Medicina (CFM), diante de muitos pedidos da categoria, criou uma cartilha com instruções sobre a obrigação dos médicos se adequarem à LGPD, embora não trate de como fazer isso.
Para implementar um novo método de trabalho com sucesso, é preciso tomar consciência da necessidade desse método. Isso deve ser feito com toda a equipe, seja de uma clínica, de um hospital ou consultório particular. Desse modo, é necessário que haja, de preferência, um treinamento explicando a importância de preservar a segurança do banco de dados.
Para exemplificar, na implementação da LGPD, esse treinamento tem como objetivo fazer com que um recepcionista não vacile ao responder uma possível indagação de um paciente sobre a política de segurança de dados da instituição.
Os personagens principais
É preciso considerar que a lei não foi criada exclusivamente para a área médica. Por isso, as regras se aplicam a todas as pessoas jurídicas que precisam armazenar dados pessoais.
Esse fator pode criar uma certa dificuldade para um médico que atenda em seu consultório ou clínicas de pequeno porte, por exemplo. Sendo assim, todos precisam conhecer os personagens do processo.
Existem três personagens que a LGPD criou para facilitar o tratamento de dados, bem como a fiscalização em uma instituição. São eles:
- A Autoridade Nacional de Proteção de Dados (ANPD), que é o órgão regulador e fiscalizador;
- O titular, significando o cliente (no caso de médicos, o paciente), bem como qualquer pessoa natural cujos dados necessitem estar no sistema. Em outras palavras, os donos dos dados;
- Os agentes de tratamento de dados, que são as pessoas, físicas ou jurídicas, que têm acesso aos dados. Esses se dividem em mais três categorias: operadores, controladores e encarregados. É importante conhecer a função de cada um ao estudar a LGPD.
Como resultado da exigência desses personagens pela LGPD, eles precisam ser definidos claramente para efeito de fiscalização, ou no caso da necessidade de se responsabilizar alguém, caso ocorra uma denúncia de violação da lei.
O consentimento do uso de dados
Outro ponto importante na implementação da LGPD na prática é o de que os dados aos quais a lei se refere incluem, ainda, os dados dos próprios funcionários da empresa, e não apenas os de seus clientes. Para ambos os casos, assim como para garantir a segurança da própria instituição, é necessário criar um termo de consentimento. Ademais, esse termo deve fazer parte da política de privacidade.
Conforme manda a lei, o termo de consentimento de uso de dados deve ser transparente, deixando bem explícito as possíveis necessidades, não apenas do uso dos dados, mas também dos prováveis compartilhamentos desses dados.
Por exemplo, se a instituição utiliza os dados em algum tipo de publicidade, o titular precisa consentir. Além disso, se houver a necessidade de enviar um exame para outro profissional ou clínica, essa informação precisa constar no termo de consentimento.
Portanto, informações ambíguas ou genéricas serão consideradas nulas no caso de um processo judicial. Normalmente, algumas empresas incluem situações que nem serão necessárias, por precaução.
A classificação e o tratamento dos dados
Esse é, provavelmente, o procedimento mais complicado para implementar a LGPD na prática, principalmente em grandes instituições. Com efeito, em alguns casos, a depender da quantidade de dados, é necessário usar um sistema de informação próprio. A contratação de um profissional de tecnologia da informação (TI) também é comum.
Como muitos dados podem ter vindo de fontes externas, e não do próprio titular, é preciso identificar essas fontes, verificando se houve a assinatura de um termo de consentimento.
Em uma clínica de pequeno porte ou consultório, essa classificação inclui separar em planilhas, por exemplo, as diversas categorias de dados, bem como a fonte que os originou. A forma de implantar a LGPD na prática pode até variar entre as instituições, mas o objetivo deve ser o mesmo: proteger o banco de dados.
Sendo assim, é preciso definir exatamente quem pode acessar as informações. Até a manutenção de um equipamento precisa ser acompanhada, uma vez que um técnico de informática não tem que ser, necessariamente, uma pessoa autorizada a acessar os dados.
Certamente que o processo de adaptação a um novo sistema não é tarefa fácil. Ainda mais quando esse sistema é uma lei que estabelece severas punições aos infratores. Ademais, existe o risco de processos de indenização e penalidades pelo CFM, no caso de médicos.
Esse texto, embora a impossibilidade de explorar todos os pontos devido à complexidade da lei, deixou claro as principais providências necessárias à implementação da LGPD na prática. Decerto que existem muitas outras que podem vir em decorrência das que foram aqui expostas.
Por isso, conforme a situação, muitas instituições médicas preferem contratar especialistas em proteção de dados e na elaboração de uma Política de Privacidade bem planejada.
Essa política deve atender completamente às exigências da LGPD, uma tarefa que exige tempo e conhecimento. Mesmo assim, com o conhecimento dessas informações já é possível ir adiantando o processo. Afinal, todas elas são indispensáveis à execução dessa implementação. Por fim, a decisão de implementar a LGPD na prática deve ser considerada não apenas como uma obrigação legal, mas também como uma ação preventiva de proteção de dados, tanto dos pacientes quanto da instituição.
