Wiseplan

LGPD na Saúde

Uma das questões que mais gera preocupação para empresas e organizações do setor de saúde frente à LGPD, é a coleta e processamento de dados de saúde, classificados como “dados sensíveis”.

A lei dispõe que “dados sensíveis” são informações pessoais que devem ser coletadas com o consentimento de seus titulares e que precisam ser tratados de forma rigorosa, sigilosa e organizada por todos os tipos de empresas organizações, não importando o seu porte ou segmento, se privado ou público.

E mais, os dados sensíveis de pacientes só poderão ser coletados e armazenados em sistemas com a autorização dos mesmos. Isso vale tanto para prontuários que estão criados desde a vigência da nova lei, quanto para os dados que já estão no sistema. Isso quer dizer que as clínicas médicas terão de ir atrás dos pacientes já cadastrados no sistema para buscar esta autorização. Esta medida vale para toda transação de informação eletrônica ou física. Ou seja, dados registrados em papel, por exemplo, também precisarão da autorização.

O risco de desconformidade é extenso, visto que até clínicas pequenas, realizam diariamente diversas operações de compartilhamento de dados de saúde com operadoras de saúde, coletam e armazenam laudos de exames, solicitam a realização de procedimentos médicos, e compartilham exames de casos entre colegas médicos, para obtenção de segundas opiniões e/ou diagnósticos mais acurados.

As mudanças trazidas pela LGPD se aplicam a um vasto número de outras situações, tais como: telemedicina, cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar), SUS, intercâmbio de informações entre diferentes S-RES (como pedidos de exames de laboratórios), entre outros exemplos.

Tratar dados é assumir riscos e quanto mais dados pessoais a organização trata e quanto mais sensíveis são esses dados, maior é a responsabilidade. Por consequência, a cobrança também é maior, assim como as sanções em casos de erros e falhas.

O primeiro passo no processo de adequação à LGPD é o mapeamento completo dos dados contidos na empresa, também conhecido como “data mapping”. Este procedimento demonstrará se de fato algum dado sensível é ou não tratado pela empresa em desconformidade com a LGPD, bem como identificará se o tratamento do dado sensível é de fato necessário.

Sem o data mapping, não é possível identificar os riscos aos quais a empresa está exposta, como tratamento irregular, coleta desnecessária de dados sensíveis ou o uso de sistemas de armazenamento suscetíveis a invasões.

A partir daí, a segunda consistirá em uma análise crítica dos processos internos da organização através da elaboração de um diagnóstico.

O diagnóstico contém o resultado do levantamento dos riscos encontrados na organização e através dele, é feito um plano de ação com as descrições dos procedimentos que serão necessários para que se faça a implementação à LGPD, por exemplo:

  • Elaborar o Relatório de Impacto à Proteção de Dados (RIPD);
  • Criar políticas de privacidade de dados e tratamento de incidentes;
  • Aplicar a criptografia nos processos;
  • Adaptar os documentos internos e externos;
  • Criar canais de Comunicação;
  • Designar o Encarregado de Dados;
  • Treinar as equipes que tratam dados sensíveis;

Após isso, será necessário monitorar a adesão e os resultados dos processos definidos.

A não conformidade com a LGPD acarreta inúmeras consequências prejudiciais para as organizações, além das multas pesadas. O impacto se reflete em danos à reputação, responsabilidade por danos, custo de controle de danos e proibição de processamento de dados pessoais. E a atuação em caráter preventivo através da adequação, reduzirá os diversos riscos aqui discutidos.

Facebook
Pinterest
Twitter
LinkedIn

Uma resposta

Os comentários estão desabilitados.

Newsletter

Sign up for our newsletter to get updated information, promotion, or insight.

Latest Article

Tradutor