O impacto da COVID-19 e da LGPD na segurança dos dados em hospitais

LGPD na Saúde

Neste momento de enfrentamento da pandemia de COVID-19, a agilidade na conduta clínica tornou-se imprescindível para a melhora do quadro dos pacientes e para a otimização do tempo de atendimento, já que os recursos precisam ser extremamente maximizados, diminuindo a variabilidade do tratamento tanto em relação aos protocolos médicos, quanto em relação aos cuidados. Mas com tanta preocupação em agilizar o atendimento clínico, ainda podemos afirmar que as informações e dados pessoais estão seguros dentro das instituições de saúde?

Com a evolução das soluções tecnológicas, cada vez mais os hospitais têm investido em transformação digital e na segurança de seus sistemas para garantir um armazenamento seguro e eficaz dos dados de seus usuários. Além disso, a LGPD – Lei Geral de Proteção de Dados, aprovada em agosto de 2018, tem tido grande impacto na área da saúde devido ao caráter altamente sensível de suas informações, que, se manipuladas e afetadas erroneamente, podem impactar perigosamente a vida de milhares de pacientes.

Conceitos da LGPD e o impacto na saúde

Existe um longo histórico na área da saúde em relação à proteção dos dados de pacientes e a LGPD chega para consolidar uma série de iniciativas anteriores. A LGPD garante a proteção de todos os dados pessoais, ou seja, tudo aquilo que identifica uma pessoa: nome, idade, CPF, RG, endereço, CEP, entre outras informações. A Lei protege também os dados considerados sensíveis, os quais exigem uma proteção extra, que é tudo o que pode causar certo constrangimento ou algum tipo de perseguição, como filiação política, convicções religiosas, questões étnicas e informações de saúde.

Dentro dos conceitos da LGPD existem três categorias, sendo a primeira delas o titular ou a pessoa física, a qual é responsável por dizer o que autoriza ou não a ser feito com os seus dados. Para que o titular tenha total controle sobre os seus dados, a Lei exige que seja bem definido e esclarecido tudo o que é pretendido ser feito com aquelas informações, qual será o tratamento, com quem serão compartilhadas, com qual finalidade e durante quanto tempo, e o titular tem o direito de revogar isso a qualquer momento.

A segunda categoria é o agente controlador, aquele que toma a decisão final sobre o que será feito com a informação. Em uma situação, por exemplo, em que houver um tratamento de dado que não estava previsto, a decisão será tomada, com base nos consentimentos já passados pelo titular, por quem recebeu aquele dado, ou seja, o controlador. E por último, a terceira categoria, é o agente operador, o verdadeiro responsável pelo manuseio desses dados e se pode ou não ser terceirizado na empresa. No contexto da saúde, o titular é o paciente, o controlador é a instituição e o operador é o software de serviço ou algum outro agente que realiza o processamento dos dados.

A relação do COVID-19 e da LGPD com a segurança dos dados

A vigência da LGPD já foi prorrogada mais de uma vez, e a pandemia do COVID-19 acabou sendo conveniente para mais um adiamento. Dentro do processo de atendimento existem tratamentos de dados que são sensíveis e não têm relação com a questão assistencial. Ali estão todos os aspectos legais, que não são apenas relacionados ao opt-in, é preciso considerar que todos os aditivos contratuais com os fornecedores da instituição de saúde sejam adequados à LGPD, a companhia precisa ter certeza de que seus fornecedores também estão tratando de forma responsável as informações, os contratos de trabalho precisam ser aditivados, as pessoas precisam ser treinadas e por último, mas não menos importante, é necessária toda a proteção tecnológica. Porém, todo o esforço no processo de realizar o mapeamento de dados, compor as análises de risco, gerar planos de ação e efetivamente colocar as ações em andamento para que o processo seja minimamente seguro, com a chegada do COVID-19, ficou totalmente prejudicado, tanto em termos de investimento, quanto em organização.

É importante ressaltar que a LGPD em si não protege efetivamente, mas as iniciativas para a conformidade sim. E olhando para o cenário atual, é possível visualizar o COVID-19 como um dos grandes responsáveis pela transformação digital dos últimos meses em diversas companhias, especialmente nos hospitais e instituições de saúde. Quando juntamos a LGPD e o COVID-19, não dá para ignorar o estrago que eles estão fazendo em relação à necessidade de revisão dos processos e sistemas de segurança. No cenário anterior havia uma segurança perimetral, em que todos estavam tranquilos porque controlavam o fluxo de dados, porém a pandemia do COVID-19 deu o último pontapé que faltava para começar a acontecer de fato a transformação digital nas instituições de saúde.

Como o COVID-19 acelera esse processo e traz ainda uma agilidade no atendimento clínico, é preciso muito mais atenção com a proteção dos dados pessoais. Em um primeiro momento muitas instituições acabaram se expondo para que o negócio continuasse funcionando da forma que fosse possível, talvez sem o planejamento e os cuidados necessários, ocasionando alguns riscos para seus sistemas. Em muitos casos, pela urgência da situação, esse esforço para a viabilização do atendimento foi feito sem as precauções necessárias para contemplar a questão da segurança dos dados. Portanto hoje, o que se vê, são uma série de estruturas hospitalares expostas de maneira inadequada.

Vale lembrar que a primeira pessoa a desmontar um sistema de segurança é o próprio usuário da instituição. Apesar das vulnerabilidades em alguns sistemas, a maioria dos incidentes acontece porque algum membro dentro do estabelecimento cometeu um erro, ou seja, uma falha humana. Por isso é tão importante a conscientização dentro do próprio hospital, sensibilizando os colaboradores sobre a criticidade do fator segurança dos dados e apresentando a todos as possíveis consequências de uma violação. As complicações devem ser reforçadas até mesmo com os médicos e enfermeiros, para que, na ânsia de ajudar um paciente, não venham a cometer erros ao preencher dados nas fichas ou exposição de informações, como compartilhamento de resultados de exames e prontuários no WhatsApp.

O que a LGPD muda na prática na área da saúde?

As mudanças da LGPD na saúde já começam nas etapas de atendimento, onde a questão do consentimento precisará ser muito mais explícita, já que é neste momento que o titular determina o que poderá ser feito com os seus dados. Além do desafio convencional que a LGPD trará a todas as instituições de seguir as melhores práticas e utilizar soluções tecnológicas de segurança de dados, na saúde um diferencial talvez esteja relacionado aos processos, definindo padrões e treinando os recursos humanos envolvidos em cada uma das etapas sobre a importância de zelar de forma mais rigorosa pelos dados, que sempre são sensíveis neste setor.

Os fabricantes de suporte à decisão clínica também têm se mobilizado para conseguir adequar os seus sistemas. Se pararmos para pensar, as instituições de saúde brasileiras tiveram um pouco de sorte com o atraso da vigência da Lei, porque como isso receberam uma série de soluções já adaptadas com as exigências da GDPR – General Data Protection Regulation, a LGPD europeia. Muitas soluções tecnológicas de segurança já passaram por alguma experiência com a GDPR, portanto já chegaram ao Brasil adequadas à LGPD antes mesmo de sua vigência. Hoje, os hospitais digitais estão muito mais protegidos, porque esses sistemas conseguem impor uma camada de segurança onde antes não existia.

Atualmente, a Digisystem dispõe de soluções que visam contribuir para que as instituições de saúde otimizem cada vez mais suas eficiências tecnológicas de segurança, especialmente quando elas estão integradas aos sistemas de gestão hospitalar, com o objetivo de melhorar o fluxo de trabalho clínico, reduzir o tempo de atendimento, promover a segurança assistencial e aproximar a relação com o paciente. Quer saber mais? Clique aqui e saiba como podemos ser o seu melhor parceiro na jornada da transformação digital.