A partir de maio 2021 do próximo ano, após medida provisória aprovada pelo governo, entrará em vigor no país a chamada Lei Geral de Proteção de Dados – mais conhecida como LGPD – que vem para atualizar as diretrizes do Marco Civil da Internet, aprovado em 2014. O objetivo da nova lei é tornar mais rigorosa a proteção e a privacidade de nossos dados pessoais em quaisquer canais (físicos ou digitais, por exemplo), afetando setores importantes como o da saúde.
Na prática, as novas medidas colocam em xeque a prática de comercialização e/ou uso de informações pessoais sem o consentimento do consumidor. Caso não seja cumprida, as empresas poderão ser advertidas e até penalizadas a pagar multas que equivalem a 2% do faturamento das empresas, limitando-se ao teto de até R$ 50 milhões de reais por infração cometida.
Além disso, passa a existir a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por fiscalizar as empresas quanto ao cumprimento da lei de proteção e privacidade de dados. Para isso, a ANPD terá permissão de solicitar às instituições, a qualquer momento, relatórios de riscos de privacidade e demais documentos que certifiquem de que as organizações estão de acordo com a LGPD.
O que a Lei irá englobar como dados pessoais?
A LGPD considera como dado pessoal toda informação relacionada a uma pessoa física que a identifique, como seu número de CPF. Existem ainda os dados anônimos, que não podem ser identificados.
No entanto, o principal ponto de atenção está nos chamados dados pessoais sensíveis, ou seja, quaisquer dados sobre:
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político;
- Dados referente à saúde ou à vida sexual da pessoa;
- Dado genético ou biométrico, quando vinculado a uma pessoa natural;
Isso afeta diretamente as instituições de saúde porque, no caso de clínicas, laboratórios ou hospitais, elas são as principais empresas que trabalham com dados sensíveis. Portanto, elas deverão reforçar o cuidado na hora de organizar e, principalmente, utilizar informações coletadas de seus pacientes.
De que forma a LGDP impacta na área da saúde?
A LGPD impactará diretamente o setor de saúde, uma vez que o paciente passa a ter direito sobre os dados fornecidos às instituições de saúde. Além disso, haverá desafios envolvendo a garantia do cumprimento da Lei, principalmente, nas fiscalizações feitas pela ANPD, principalmente nos que seguem abaixo:
Criar uma cultura organizacional pautada na segurança de dados
Mais do que nunca, as empresas atuantes no setor deverão fortalecer, entre os funcionários, uma cultura de segurança e proteção de dados dos pacientes. Esse rigor se deve, principalmente, porque agora os pacientes serão protagonistas de seus dados e eles terão o direito de retificar, restringir ou excluir o acesso às informações pessoais, além de cobrar das empresas uma explicação sobre para quais finalidades os seus dados estão sendo utilizados.
Se considerarmos que a cadeia de saúde envolve, muitas vezes, empresas terceirizadas, será necessário investir em recursos para reforçar a cibersegurança dos sistemas que armazenam esses dados, inclusive para prevenção de potenciais ataques de sequestro de dados – também conhecidos como ransomware.
Em alguns casos, será preciso criar um Comitê de Segurança, que fique responsável por garantir essa fiscalização de ponta a ponta do processo. Em outros, será interessante envolver os profissionais responsáveis pelos processos de fiscalização, a exemplo de um farmacêutico responsável, para garantir a eficácia na proteção destas informações.
Adaptação de softwares e tecnologias de AI
Além de capacitar e engajar as equipes quanto à importância da aplicação da LGPD na saúde, outro ponto crucial que as instituições terão de tocar é nas configurações de seus softwares para que o uso dos dados passe pela aprovação prévia dos pacientes.
No caso de tecnologias que envolvam inteligência artificial (AI), uma adaptação no aprendizado da máquina (machine learning) terá de ser feita para que as informações processadas sejam, antes de mais nada, vigiadas para que se mantenham em sigilo e, principalmente, bem explicadas aos pacientes.
Conquistar a confiança do paciente
Agora que o paciente assume a posição de detentor de suas informações, é preciso que as instituições sejam transparentes em esclarecer como seus dados são utilizados, desde a coleta até a análise, para que ele enxergue valor no processo e, assim, sinta-se confortável em compartilhar tais dados.
Essa mesma lógica vale, inclusive, para liberação de dados feita de forma remota. Na prática, a probabilidade é que as empresas brasileiras enfrentem dilemas semelhantes aos das instituições europeias, que tiveram de recentemente se adequar a RGDPR (Regulamento Geral sobre a Proteção de Dados).
Para se ter uma ideia, um levantamento da Future Health Index, nos Estados Unidos, indicou que apesar de 57% dos pacientes utilizarem algum dispositivo de atendimento para monitorar indicadores de saúde, somente 33% deles compartilham essas informações com seu médico.
Conciliar as novas regras com as atuais normas regulatórias
Por já terem uma série de normas a se seguir, as empresas de saúde terão de avaliar com cautela como a LGPD pode ser cumprida sem, por outro lado, deixar de lado determinações da ANVISA ou de demais órgão reguladores. Por exemplo, existe uma Lei que determina que um prontuário médico pode ser guardado por até 20 anos, tempo superior ao estipulado na LGPD.
Isso significa que as equipes jurídica e de segurança de dados terão de trabalhar juntas para que nenhuma lei seja descumprida.
Quais próximos passos?
A LGPD foi sancionada em agosto de 2018 e, desde esta data, as empresas receberam um prazo de 18 meses para se organizarem quanto ao entendimento da Lei e, principalmente, ao cumprimento de suas normas.
Caso a sua empresa esteja passando por este momento, o mais aconselhável é investir em tempo e em recursos de Inteligência Clínica para vistoriar cada etapa vigente hoje na coleta, armazenamento e processamento dos dados de seus pacientes para identificar gargalos e, dessa forma, criar estratégias para mitigá-los ou eliminá-los.
Se for necessário, pode ser interessante contratar assessorias especializadas em mapear esses processos para que possam ajudar sua empresa a ficar em conformidade com as premissas estabelecidas pela LGPD.
