LGPD Perguntas e Respostas

Perguntas e Respostas - LGPD na Saúde

A LGPD é a lei que visa a proteção dos dados pessoais (como por exemplo, dados de pacientes, de clientes, de seus colaboradores), inclusive nos meios digitais, quando realizado por uma pessoa natural, também chamada de pessoa física (como por exemplo, um médico, um dentista, um psicólogo, enfermeiro) ou por pessoa jurídica de direito privado (como um consultório, uma clínica, hospital, uma farmácia ou operadora de plano de saúde) ou por uma pessoa de direito público (a administração pública, empresas públicas, planos de saúde de autogestão de natureza pública).

Assim, a LGPD visa proteger dados de pessoas naturais (pessoas físicas), que podem ser:

– Pacientes;

– Colaboradores;

– Empregados;

– Terceirizados.

Quando o dado pessoal das pessoas acima for tratado por:

– Outra pessoa natural (pessoa física): médico, dentista, psicólogo, enfermeiro, farmacêutico;

– Ou por uma pessoa jurídica de direito público ou privado: como um consultório, clínica, hospital, operadora de plano de saúde, farmácia, etc.

Assim, as empresas e os profissionais da saúde devem se adequar a LGPD, de modo a ter implantado seu processo de governança de dados tanto em meio físico, ou eletrônico, visto a LGPD já estar em vigor e provocando o surgimento de ações judiciais, pelo uso indevido de dados, ou uso em desconformidade com a lei. E a partir de agosto de 2021, ainda será possível a aplicação das sansões administrativas impostas pela Autoridade Nacional de Proteção de Dados – ANPD, como a suspensão do exercício das atividades à multa, que pode chegar a R$ 50 milhões.

A LGPD se aplica a todos aqueles que realizarem tratamento de dados, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que os tratamentos sejam realizados em território nacional.

 

Abrange também todas as empresas estabelecidas em território nacional, bem como as organizações com sede no exterior que ofereçam produtos/serviços para pessoas localizadas no Brasil ou tenham operações no País envolvendo tratamento de dados.

 

Sim! A LGPD não diz respeito a site da internet, ou a uma simples política de aviso de uso de Cookies, para o pleno funcionamento dos sites da internet, para isto já existe o Marco Civil da Internet.

A LGPD é uma lei que cuida da proteção de dados pessoais, cuja proteção deve se dar em qualquer meio, tanto de forma física (em papel) como em meio eletrônico (por meio de sites internet, apps, software).

Sim! Muitos profissionais da área da saúde mantém os dados de seus clientes e pacientes apenas fichas e prontuários em papel o que já é considerado tratamento de dado, sendo necessário seguir a LGPD.

A LGPD se preocupa com os dados das pessoas e, se você mantém fichas, prontuários em papel, está obrigado a seguir as normas impostas pela LGPD, bem como está sujeito as multas da ANPD, se não respeitar às regras de proteção de dados.

Dado pessoal é toda informação relacionada a pessoa natural (pessoa física) que possa vir a ser identificada.

Por exemplo, se em sua atividade você mantém dados do tipo CPF, nome, endereço isso já se constitui um dado pessoal.

O dado sensível todo aquele referente à saúde, à vida sexual, dado genético ou biométrico, bem como o que diz respeito a sua origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político.

Verifica-se que o profissional da área da saúde não só lida com dados pessoais, como nome, CPF, endereço, telefone. Como também trata com dados sensíveis, que são os relacionados a saúde de seus pacientes, com a sua referência sexual, com dados genéticos, o que faz com que o tratamento de dado venha a ser ainda mais cuidadoso e requeira muito mais sigilo.

Tratamento de dado é toda operação realizada com dados pessoais, ou dados pessoais sensíveis, que envolvam a sua coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle a informação, modificação, comunicação, transferência, difusão ou extração.

Desta forma, o tratamento de dado são todos os procedimentos que envolvam o dado pessoal desde a origem até a sua eliminação.

A LGPD define alguns personagens responsáveis pelo dado pessoal:

– Controlador: É a pessoa que compete as decisões a respeito do tratamento dos dados pessoais. Por exemplo, a clínica, o médico, o dentista, a farmácia, a operadora de plano de saúde;

– Operador: É a empresa ou o profissional diretamente responsável pelo tratamento dos dados pessoais.

Encarregado: Também chamado de DPO. É a pessoa física ou jurídica que faz a intermediação entre o titular dos dados, com a ANPD. Que tem a atribuição de receber as reclamações dos titulares, prestar esclarecimentos, receber comunicações da ANPD, orientar os funcionários e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Geralmente quem desempenha a atividade de Encarregado é quem tem conhecimento jurídico, não só com relação a LGPD como nas demais leis que as empresas e profissionais de saúde devem atender.

– Titular: É a pessoa natural (pessoa física) quem se referem os dados pessoais que são objeto do tratamento. São os clientes, os pacientes, os colaboradores, funcionários, terceirizados.

– Autoridade Nacional de Proteção de Dados (ANPD): é o órgão que possui a função de fiscalizar e editar normas sobre o tratamento de dados pessoais por pessoas físicas e jurídicas;

A implantação de LGPD é um trabalho multidisciplinar, sendo realizado por profissionais e especialistas de diversas áreas, como advogados especialistas em Proteção de Dados, advogados especialistas em Direito Médico e da Saúde, em Direito do Trabalho, especialistas em análise de sistemas, em RH e compliance e governança clínica.

Bem como a implantação depende da cooperação do profissional da saúde e, de sua equipe para o conhecimento profundo de seu trabalho.

Você sendo pessoa física ou jurídica da área de saúde que irá tratar dados pessoais e sensíveis de pacientes, clientes e colaboradores deverá:

– Iniciar o processo de compliance e governança de dados, levantando todo o ciclo de vida dos dados, da origem até o seu descarte;

– Implantar um sistema de governança de dados com relação aos dados dos colaboradores e parceiros;

– Realizar levantamento da matriz de riscos de dados, com indicação de prioridades a serem adotadas para o correto tratamento de dados;

– Adotar políticas de dados para sistemas online e aplicativos;

– Adotar política de obtenção de consentimento para tratamento de dados de seus titulares, por meio de contratos reformulados para o atendimento da LGPD;

– Adorar uma política de tratamento de dados para todos os documentos médicos, como os Termos de Consentimento, Prontuários, Receituários, etc;

– Viabilizar o cumprimento de solicitações de direito dos titulares;

– Definir quem será o Encarregado / DPO, se uma pessoa da equipe interna, ou um escritório jurídico especializado em LGPD.

 

Caso o profissional de saúde, o consultório, a clínica, o hospital, a farmácia, a operadora de planos de saúde não se adaptar a LGPD pode:

– Responder processos judiciais, com a reparação por danos morais;

– Por parte da ANPD:

– Receber sansões administrativas, como advertência;

– Multa de 2% do faturamento do último exercício a um máximo de R$ 50 milhões de reais;

– Multa diária com o limite de R$ 50 milhões de reais;

– Ter a infração tornada pública, o que certamente abalaria a imagem do profissional e da empresa;

– O bloqueio dos dados pessoais até sua regularização;

– A eliminação total dos dados pessoais;

– A suspensão parcial do funcionamento do banco de dados do profissional e da empresa (seja ele físico ou eletrônico) pelo período máximo de 6 meses, prorrogável por mais 6 meses, até ocorrer a regularização da atividade;

– A suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de 6 meses, prorrogável por mais 6 meses;

– A proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (ou seja, a paralização das atividades profissionais).

A dpoMed é formada por uma equipe multidisciplinar integrada por advogados, profissionais da saúde, analistas de sistemas, analistas de RH, dentre outros profissionais focados na implementação, análise de riscos, consultoria e prestação de serviços de Encarregado de Dados (DPO).

Oferecemos as seguintes soluções:

– Análise prévia da atividade do serviço de saúde;

– Análise de riscos de dados;

– Treinamento de pessoal para adequação a LGPD;

– Adequação de contratos com pacientes, fornecedores, distribuidores, colaboradores e terceirizados;

– Adequação de Termos de Consentimento Livre e Informado às regras dos Conselhos (medicina, odontologia…) com atenção a LGPD;

– Elaboração de Política de Privacidade;

– Auditoria de conformidade com LGPD;

– Consultoria e Assessoria jurídica a Lei Geral de Proteção de Dados;

– Defesa Administrativa perante a Autoridade Nacional de Proteção de Dados – ANPD;

– Consultoria e Assessoria pós-implementação (Reanálise de conformidade com a LGPD);

– Política de Segurança da informação;

– Serviço de terceirização DPO – Encarregado de dados;

– Tratamento de requisição de dados do Titular;

– Seguro de dados.

Notícias