LGPD na área da Saúde: como aplicar?
Publicado em 09.05.2022
Se você chegou até esse texto, muito provavelmente está buscando a solução para um grande mal que começa a se espalhar pelas grandes instituições de Saúde: os hackers.
Os motivos? Em sua grande parte, são desconhecidos, mas isso não significa que não há como cortar o mal pela raiz. É possível vencer essa luta, utilizar a LGPD na Saúde pode ser uma aliada contra esses ataques.
Quer saber como você pode se beneficiar da LGPD e ainda proteger seu hospital, clínica ou laboratório desses tipo de situação?
Neste artigo iremos te explicar os impactos do vazamento do ponto de vista jurídico e que tipo de medidas você pode tomar para se proteger de possíveis invasões.
Dados da Saúde são especiais na LGPD?
Pode parecer estranho ver a mídia fazer tanto alvoroço em torno de vazamento de dados de hospitais, clínicas e laboratórios. Afinal, esses são dados que dificilmente uma pessoa comum utilizaria em benefício próprio, não é mesmo?
Mas aí é que você se engana. Dados da Saúde não são como uma senha, um CPF ou um email para os fins da LGPD.
Primeiro, porque são dados imutáveis. Ou seja, no caso de vazamento, eles não podem ser alterados.
Afinal, é impossível alterar o diagnóstico de um paciente. Se uma pessoa é diagnosticada com câncer, esse dado vai constar em sua ficha e só pode ser alterado se o quadro do paciente apresentar sinais de melhora. Diferentemente de dados de cartão de crédito que podem ser bloqueados, por exemplo.
Segundo, é importante ter em mente que quando falamos em LGPD na Saúde, focamos no vazamento de dados pessoais que possuem um alto potencial de discriminação e dano à honra dos titulares de dados.
Dados de saúde são considerados dados sensíveis, assim como dados sobre raça e vida sexual dos indivíduos.
É por isso que a LGPD dispõe em seu art. 5º, II, que:
[…]
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Portanto, dados de saúde devem ser preservados e mantidos em segurança, de modo a evitar que alguém seja prejudicado e tenha sua intimidade ou vulnerabilidade expostas. Afinal, lidar com a Saúde é lidar com vidas.
E essa é uma preocupação que qualquer instituição da área precisa ter.
LGPD na Saúde só se aplica a informações que integram banco de dados?
Essa é uma pergunta muito frequente!
Principalmente com a COVID-19, muitas instituições de Saúde precisaram digitalizar seus dados. E como a tendência é que esses dados continuem a se digitalizar, cada vez mais, é comum querer saber se a LGPD na Saúde só se aplica para os casos de vazamento de dados digitais.
Podemos te responder com toda a certeza que não.
A Lei Geral de Proteção de Dados em seu art. 1º define que seu conteúdo engloba todos os tratamentos de dados pessoais independentemente se em ambiente digital ou físico.
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
E sabemos que a digitalização dos dados em Saúde é uma realidade em grandes hospitais e clínicas. Em negócios menores, por outro lado, ainda é comum armazenar os dados de pacientes em documentos volumosos, dentro de pastas, cadernos e folhas soltas que costumam ser compartilhados com várias pessoas.
Provavelmente você já teve contato, de forma física, com solicitações e resultados de exames, guia para medicamentos, prontuários, formulário de cadastro e avaliação.
Talvez, você possa revirar os olhos para esse modelo de armazenamento de dados mais tradicional. Afinal, os dados podem correr mais risco de serem violados e compartilhados com pessoas não autorizadas.
E ficar com a pulga atrás da orelha não é um problema, pois quando falamos de LGPD na Saúde nosso propósito é educar o cliente para que tenha mais segurança para tratar os dados de pacientes.
Vazamento de dados não é só coisa de hacker
Apesar de que notícias como “Site do Ministério da Saúde é invadido por Hackers Mais de Duas Vezes” e “Grupo Fleury é Alvo de Ataque Hacker” serem as mais chocantes e mais presentes nos jornais, o hacker não é o único responsável por vazamento de dados.
Os colaboradores podem também ser protagonistas desse tipo de situação.
O Ponemom Institute com apoio da IBM analisou, em estudo, diferentes setores da Economia e constatou-se que 51% dos vazamentos ocorrem devido a ataques, 25% por falha no sistema e 24% por erro humano (1).
Assim, é importante analisar esse outro lado dos problemas relacionados à proteção de dados, um olhar mais interno, investigando as políticas e processos da sua organização.
Dessa forma, é importante se certificar se seus colaboradores estão capacitados a lidar com os dados dos pacientes. Não só isso, é preciso prestar atenção na sua relação com fornecedores que também podem vazar dados sem querer.
Por isso, é importante tomar alguns cuidados, assim você terá poucos problemas com a LGPD na Saúde.
Cuidados para empresas e fornecedores da Saúde
1. Fornecedores da área de saúde
Para as empresas fornecedoras de ferramentas para clínicas e hospitais, o cuidado com a construção e manutenção da ferramenta é essencial.
Em alguns casos, um diretório aberto, uma credencial de acesso gerada erroneamente ou link compartilhado equivocadamente podem gerar danos incalculáveis. Se você se enquadra neste perfil, recomendamos que busque sobre o tema de privacy by design.
Um bom caso para ilustrar essa situação é o da NextMotion, uma startup francesa que fornece soluções de gerenciamento de dados, informações médicas e operações estéticas.
A empresa possuía um banco de dados abertos nos servidores de nuvem da Amazon, o que possibilitou o acesso a mais de 900 mil arquivos individuais que continham documentos, informações de pagamento do paciente, imagens relacionadas a procedimentos cirúrgicos e, inclusive, fotos de nudez (2).
2. Empresas de Saúde
Já quando se trata de clínicas, laboratórios e hospitais, os cuidados com a LGPD na Saúde devem ser minuciosos.
Primeiro, precisam avaliar muito bem as ferramentas e fornecedores contratados, além de capacitar e monitorar o comportamento de seus profissionais. Se você se enquadra nesse perfil, foque em treinamentos, elaboração de políticas de boas práticas, controle de acessos, cláusulas de confidencialidade e proteção de dados.
Um exemplo para identificar más práticas de proteção de dados é o vazamento dos dados de Saúde da ex-primeira Dama, Marisa Letícia em 2017. Após a sua internação, foi identificado que uma médica compartilhou indevidamente o prontuário com seus colegas de faculdade por meio do WhatsApp (3).
Outro caso mais recente foi o de um paciente com suspeita de COVID-19 em Foz do Iguaçu. O indivíduo deu entrada na UPA do Município e teve seus dados pessoais compartilhados indevidamente via WhatsApp. Além disso, a suspeita de vírus foi descartada após a chegada dos exames e a Secretaria de Saúde local foi obrigada a lançar uma nota oficial sobre o caso (4).
É por conta desse tipo de acontecimento que gostamos de instruir nossos clientes a pensar na adequação à LGPD na Saúde como um ato processual, que envolve a transformação de toda uma cultura organizacional.
Até porque se alguém dentro do hospital, clínica ou laboratório incitou o vazamento, essa pessoa pode ser penalizada por suas atitudes.
De quem é a responsabilidade quando há vazamento de dados?
Em casos de vazamento de dados pessoais, além de questões cíveis, penais e da ética médica, a LGPD na Saúde e em geral prevê que a responsabilidade por incidentes de segurança da informação pode abranger todos os agentes envolvidos no tratamento dos dados pessoais.
Isso acontece porque a responsabilidade dos agentes é solidária.
Ou seja, tanto o responsável por supervisionar o tratamento dos dados quanto a pessoa que está à frente da operação podem ser penalizadas se a atividade que praticam causar dano patrimonial, moral, individual ou coletivo a alguém.
Dessa forma, o art.42, § 1º dispõe sobre as possibilidades de reparação dos danos causados:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
É importante lembrar que as sanções da LGPD já estão em vigor. Para saber mais sobre seu funcionamento na prática, você pode conferir nosso artigo sobre o tema.
Conclusão
Empresas da área de saúde precisam de um cuidado especial com os dados pessoais. Por isso, a adequação à LGPD é ainda mais urgente nesses casos, porque dados pessoais sensíveis estão em jogo aqui.
Como comentamos, as informações coletadas e tratadas nesse meio são valiosas. E, assim como pacientes e clientes buscam o melhor atendimento para sua Saúde, eles também buscam os lugares mais seguros para os próprios dados.
Por isso, o ecossistema da Saúde demanda atenção reforçada na segurança e proteção de dados, através de um projeto de adequação da Organização inteira à LGPD. Além de proteger sua empresa, isso garantirá:
- segurança de dados como um diferencial no mercado, aumentando poder competitivo;
- uma blindagem contra as sanções aplicadas pela ANPD.
Quer saber quanto risco está correndo? Responda ao nosso formulário gratuito e receba um diagnóstico feito pelos nossos especialistas. Nele, mediremos o grau de maturidade da sua empresa em relação à adequação à LGPD para que você esteja consciente do que precisa fazer.
REFERÊNCIAS:
- DIEB, Daniel. Alvo de hackers, dados sobre sua saúde valem mais que seu cartão de crédito. TILT UOL, 04 nov. 2019. Disponível em: < https://www.uol.com.br/tilt/noticias/redacao/2019/11/04/dados-sobre-sua-saude-valem-mais-que-os-do-seu-cartao-de-credito.htm>.
- DEMARTINI, Felipe. Vazamento expõe imagens íntimas e dados de pacientes de cirurgia plástica. CanalTech, 14 fev. 2020. Disponível em: <https://canaltech.com.br/seguranca/vazamento-expoe-imagens-intimas-e-dados-de-pacientes-de-cirurgia-plastica-160483/>.
- Médica do Sírio-Libanês vazou dados sigilosos do diagnóstico de Marisa Letícia. Agência O Globo, 02 de fev. 2017. Disponível em: <https://www.gazetadopovo.com.br/vida-publica/medica-do-sirio-libanes-vazou-dados-sigilosos-do-diagnostico-de-marisa-leticia-bsy251wt1f23nv4co1zrb24t8/>.
- Falsa suspeita sobre Coronavírus em Foz inunda as redes sociais. H2FOZ, 17 fev. 2020. Disponível em: <https://www.h2foz.com.br/sem-categoria/falsa-suspeita-sobre-coronavirus-em-foz-inunda-as-redes-sociais/>.
- BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>.