Assim como em outras áreas, a LGPD na saúde trouxe inovações e incentiva a melhoria contínua na administração de dados. Entenda os principais pontos da lei.
A Lei Geral de Proteção de Dados Pessoais (LGPD) é a legislação criada para proteger os dados pessoais e a privacidade de seus cidadãos. Com essa premissa simples, porém valiosa, a LGPD chegou trazendo mudanças de hábitos e processos em praticamente todas as empresas do país. Na área da saúde, ela se torna também muito relevante, pois envolve a proteção de dados sensíveis, como diagnósticos ou tratamentos.
No entanto, a LGPD não é nenhum bicho de sete cabeças. Sua criação pode ser vista como uma maneira contundente de trazer mais transparência e segurança às informações geradas na área da saúde.
O que é LGPD
A LGPD (Lei nº 13.709/2018) está em vigência desde agosto de 2020. A legislação se fundamenta em diversos valores, como o respeito à privacidade, à inviolabilidade da intimidade, da honra e da imagem, à defesa do consumidor e aos direitos humanos de liberdade e dignidade das pessoas.
De maneira mais ampla, pode-se dizer que a LGPD torna as instituições de saúde, bem como seus fornecedores de hospedagem de dados, responsáveis pela administração segura e responsável dessas informações.
A lei também proíbe práticas já questionáveis e sem eficiência, como a compra de listas de ‘mailing’ para divulgar serviços, por exemplo. Portanto, ao usar o bom senso, boa parte da LGPD já passa a ser cumprida.
A LGPD na saúde
Na saúde, a LGPD exige o mesmo que se espera das demais instituições e empresas: respeito e cuidado com os dados e com a privacidade dos seus pacientes. Entretanto, ela ainda administra dados chamados de “sensíveis”, como são considerados os CIDs (Classificação Estatística Internacional de Doenças e Problemas Relacionados com a Saúde) ou a busca por tratamentos.
Portanto, além de outros dados sensíveis, como nome e CPF, que devem ser geridos com cuidado por todos os setores, ainda há o agravante de lidar com diagnósticos, atestados e trocas de informações entre profissionais e/ou instituições.
Pontos importantes para se cumprir a LGPD na saúde
Confira abaixo alguns dos principais pontos para as instituições de saúde se manterem dentro da LGPD.
Consentimento do paciente
Um dos cernes da lei é que o paciente deve estar ciente de quais dos seus dados estão sendo armazenados, sejam eles digitais ou impressos. O paciente também deve consentir caso esses dados precisem ser repassados entre instituições, como é o caso de exames que são enviados para clínicas, por exemplo.
Acesso justificado a dados
Outro ponto vital na LGPD é captar e armazenar dados que, de fato, possuem uma justificativa para tal. Portanto, todos os dados obtidos deverão ter um motivo pelo qual estão sendo solicitados. Um exemplo seriam os dados bancários. Se a instituição aceitar cartões de crédito, poderá armazenar a bandeira e os quatro últimos dígitos do cartão com o qual o serviço foi pago. Isso trará a garantia de recebimento caso o pagamento seja questionado posteriormente pelo dono do cartão.
Entretanto, saber em qual banco o paciente possui conta corrente, que também é um dado financeiro, não traz benefício algum para a instituição e, de acordo com a LGPD, não deve ser solicitado.
Permissão para acessar dados
Além da solicitação e armazenamento de dados, é importante restringir acessos a quem pode ou não visualizar esses dados. Para tanto, é fundamental o uso correto de logins, de modo que cada pessoa da equipe tenha um próprio. Na Dr. TIS, cada criação de um novo login exige um número de CPF que será vinculado à conta. No caso de alguma irregularidade, dúvida ou problema, basta conferir no registro de atividades quem foi o responsável pela ação.
Outra vantagem desse tipo de segmentação é garantir que cada profissional tenha acesso apenas ao que é, de fato, relevante. Assim, a empresa que contrata os serviços da Dr. TIS pode customizar níveis diferentes de hierarquia para cada uso. Esse tipo de segmentação pode ser feito, inclusive, entre médicos, já que em alguns casos o prontuário poderá ficar restrito a uma especialidade em específico.
Um exemplo comum é o que ocorre no login do paciente. Conforme exige a lei, ele também possuirá um login próprio, com o qual poderá verificar seus dados com transparência. Entretanto, ele não terá acesso ao seu prontuário, por exemplo, garantido a confidencialidade necessária na relação entre médicos e pacientes.
Tornar controlado o acesso aos dados vai além da LGPD. É o caso da troca facilitada de níveis hierárquicos de acesso às informações que um determinado login possui.
É o que ocorre, por exemplo, quando um funcionário é desligado e, por isso, tem o seu login cancelado. Além disso, caso alguma atividade suspeita esteja ocorrendo, como tentativas de invasão, estas ações poderão ser rapidamente bloqueadas, sem prejudicar o restante da operação.
Trocas de informações criptografadas
As medidas de segurança dos dados já eram fundamentais e, agora, devem ter ainda mais importância. Um exemplo de como aprimorar essa questão é buscar um fornecedor que coleta, armazena e transporta os dados de maneira criptografada. São ajustes que aumentam a segurança em todo o processo.
Nos serviços oferecidos pela Dr. TIS, por exemplo, todas as informações são criptografadas. Isso ocorre, inclusive, durante o transporte desses dados, o que nem sempre é oferecido pelo restante do mercado.
Servidor em nuvem: segurança em qualquer lugar
Ainda no âmbito que trata sobre a segurança digital como um todo – e, ainda, auxilia as instituições a seguirem as normas da LGPD – está a segurança dos dados em nuvem. Na Dr. TIS, além desses dados serem completamente criptografados, há outras proteções envolvidas.
Primeiramente, por se tratar de um uso em nuvem, o armazenamento não se dá no local físico da instituição. Então, caso algo ocorra com o espaço da instituição de saúde, como um desastre natural ou roubo, as informações seguirão seguras e bem preservadas.
Na Dr. TIS há também um constante trabalho para garantir que os servidores não sejam invadidos ou percam a sua conexão. Para tanto, investimos em servidores que sejam redundantes, ou seja, capazes de seguir funcionando mesmo que algo deixe de funcionar em alguma parte deles.
Como consequência, os dados ficam ainda mais seguros e aumenta exponencialmente a garantia que nenhuma informação seja perdida ou vazada, conforme pede a LGPD.
Como escolher um fornecedor para ajudar a sua empresa a ficar em dia com a LGPD
Serviços como os de telemedicina e telerradiologia devem estar alinhados a todas as demandas legais, éticas e estruturais que envolvem oferecer um serviço de saúde. Mas nem sempre é fácil confirmar que a empresa possui, de fato, essas preocupações em seu dia a dia.
Uma boa dica é buscar pelas certificações do fornecedor. Elas são uma ótima chancela para garantir que o fornecedor está fazendo a sua parte e auxiliando a instituição a cumprir com a LGPD.
Confira algumas credenciais que são importantes quando se trata de cumprir com a LGPD e garantir a segurança dos dados coletados:
SBIS (Sociedade Brasileira de Informática em Saúde): O Processo de Certificação de S-RES SBIS visa, por meio de uma lista extensa de requisitos, avaliar e atestar aspectos de qualidade de Sistemas de Registro Eletrônico de Saúde (S-RES), incluindo funcionalidades, estrutura, conteúdo, segurança da informação, aderência a legislações, etc.
Certificação da Anvisa (Agência Nacional de Vigilância Sanitária): Registra, altera, revalida e cancela a regularidade de produtos médicos. São passíveis de certificação os produtos para a saúde, produtos ou dispositivos médicos (medical devices), como equipamentos, materiais de uso em saúde e os produtos de diagnóstico de uso in vitro.
Parceira AWS: A Rede de parceiros da AWS (APN) é a comunidade global de parceiros que utilizam a Amazon Web Services para criar soluções e serviços para clientes. Esses parceiros da AWS estão estrategicamente posicionados para ajudar as empresas a eliminarem riscos e criarem aplicativos robustos.
Certificado CFM (Conselho Federal de Medicina): Estabelece normas técnicas sobre a digitalização e o uso dos sistemas informatizados para guarda e manuseio dos documentos dos prontuários dos pacientes. Assim, autorizam a eliminação do papel e a troca de informação identificada em saúde.
Sistema Tier: Tem como objetivo comparar a funcionalidade, a capacidade e a disponibilidade dos data centers disponíveis no mercado. Quanto maior o nível, maior a redundância da infraestrutura e menor a probabilidade de paradas em caso de crise. As exigências de classificação neste sistema são específicas e diversas, e vão de I até IV. O Tier IV, categoria que a Dr. TIS se enquadra, significa que o data center oferecido pela empresa possui alta tolerância a falhas.
O que quer dizer que nossos servidores são completamente redundantes com relação aos circuitos elétricos e a problemas de arrefecimento e de rede. Esta arquitetura permite ultrapassar qualquer cenário de incidentes técnicos sem jamais interromper a disponibilidade dos servidores no local.
A Dr. TIS possui todas essas credenciais e segue em constante inovação, para garantir as melhores práticas do mercado, além do cumprimento da lei.
Conclusão
A LGPD é uma lei inovadora, que busca trazer maior transparência e ética para a coleta, uso e armazenamento de dados. Longe de ser uma inimiga, a legislação já vigente pode ser vista como uma maneira de melhorar processos, aumentar a segurança e de agir de modo correto ao lidar com informações tão pessoais e relevantes como temos na área da saúde.
Com a sua chegada, a LGPD transformou o que era tido apenas como ‘bom senso’ em questões práticas e legais.
Sendo assim, contar com parceiros e fornecedores engajados nessa causa, além de facilitar os processos, pode evitar muitas dores de cabeça desnecessárias. É um investimento que, sem dúvidas, vale a pena se manter na lista orçamentária.