Mitos e verdades sobre a LGPD na saúde

Com a Lei Geral de Proteção de Dados (LGPD) batendo na porta das empresas brasileiras, ainda são muitas as dúvidas a respeito da nova regulamentação. Há poucos meses da data prevista para a lei entrar em vigor, é comum surgirem questionamentos e preocupações, especialmente por parte das instituições de saúde, área que será particularmente afetada por conta do caráter altamente sensível de suas informações. Conheça os principais mitos e verdades sobre a LGPD na área da saúde e saiba como preparar a sua entidade.

A LGPD é exatamente igual a regulamentação europeia GDPR (General Data Protection Regulation).

MITO. Embora sejam legislações com a mesma finalidade e bastante semelhantes, a LGPD e GDPR possuem diferenças, como o tratamento de dados sensíveis, consentimento de menores de idade, relações entre controlador e operador, entre outros.

Os dados do paciente recolhidos e armazenados pela instituição de saúde não poderão ser compartilhados de nenhuma forma.

MITO. Os dados poderão interoperar caso seja essencial para o atendimento do paciente ou desde que haja consentimento expresso para isso.

Após a utilização das informações sensíveis por parte da organização de saúde, o mesmo deve apagar de seu banco de dados todos os registros que contenham esse conteúdo. O objetivo é impedir a divulgação desses dados após a passagem do paciente pela instituição.

MITO. Existem resoluções como a n. 1821/07 do Conselho Federal de Medicina que estabelecem que os documentos médicos devem ser arquivados por período não inferior a 20 (vinte) anos após o último atendimento. Ou seja, ainda que o titular requeira a exclusão de suas informações junto à instituição de saúde, esta solicitação não poderá ser atendida de imediato.

O paciente poderá ter acesso ampliado às informações disponíveis nos hospitais, clínicas e operadoras de planos de saúde, além de poder requerer correções e exclusão de dados armazenados.

VERDADE. O prontuário é do paciente, ou seja, ele sempre teve esta prerrogativa de solicitar seu prontuário junto à instituição de saúde, resguardadas as previsões legais de arquivamento pela instituição.

O não cumprimento da legislação resultará em punição toda vez que houver irregularidades.

VERDADE. Haverá uma sanção por descumprimento da legislação, no entanto, existem diversas sanções estabelecidas pela lei que estão descritas em seu artigo 52 e que não necessariamente representam multa, tais como advertência, bloqueio dos dados pessoais e até a eliminação das informações.

Já existem ações judiciais sendo processadas e multas sendo aplicadas hoje relacionadas aos requisitos da LGPD.

MITO. Existem ações judiciais com base no código de defesa do consumidor, marco civil da internet e outras resoluções. A Lei Geral de Proteção de Dados ainda não está em vigor e, embora já se saiba de iniciativas jurídicas com base na lei, as sanções aplicadas atualmente nestas ações ainda estão baseadas em legislação ou regulamentação anterior.

Todas as organizações de saúde deverão adotar novas tecnologias para adequar-se à LGPD.

VERDADE. A corrida entre as tecnologias voltadas à proteção de dados e os criminosos cibernéticos está cada vez mais acirrada. Por isso, a adoção das soluções mais modernas de segurança minimiza riscos de invasão e vazamento de informações. No entanto, a LGPD demanda projetos de ações multidisciplinares e apenas a tecnologia não será suficiente para a implementação de um bom Programa de Proteção de Dados. A análise dos processos e o trabalho de conscientização junto aos colaboradores em relação à importância de uma cultura de proteção de dados será tão importante quanto a tecnologia aplicada.

As instituições que ainda não se adequaram aos novos requisitos da LGPD não conseguirão finalizar o processo até a lei entrar em vigor, em agosto de 2020.

MITO. É importante considerar que dentro de um mesmo segmento, as instituições estão em diferentes níveis de maturidade. Além disso, a capacidades de investimento e de mobilização também é um diferencial quanto ao prazo de adequação, ainda que este seja um processo contínuo. Este processo de adequação passa pelas fases de assessment, mapeamento de dados, planos de adequação, formação do comitê da LGPD, conscientização quanto à cultura de proteção de dados e implementação do Programa de Proteção de Dados. O tempo para cada instituição depende de todas essas variáveis, mas com as ferramentas corretas, é possível adequar-se.

A Digisystem está capacitada para auxiliar as instituições em todas as fases do projeto de adequação à LGPD, desde o primeiro assessment para análise de risco até a condução da instituição no desenvolvimento e implementação do Programa de Proteção de Dados. Mesmo antes da aprovação da Lei Geral de Proteção de Dados, a Digisystem já auxiliava as instituições no mapeamento, análise e melhoria dos seus processos bem como na proteção dos sistemas computacionais. A proteção de dados sempre foi uma preocupação e o que a LGPD traz de novo são regras para o tratamento das informações e as modalidades de sanção para aqueles que descumprirem a Lei. Clique aqui e saiba como a Digisystem pode ajudar a sua instituição nesta jornada.