A Lei Geral de Proteção de Dados tem gerado muitas dúvidas e questionamentos em todos os setores, mas, especialmente na saúde, em que os dados são considerados sensíveis, isto é, contém informações que podem gerar a discriminação do seu titular, a preocupação para estar estritamente de acordo com a legislação tem sido bem maior.
Hospitais, clínicas médicas, clínicas odontológicas, clínicas de exames laboratoriais e de imagem estão envoltas com cadastros, envio de amostras para laboratórios, checagem de dados do plano de saúde, placas de identificação nos quartos, troca de fichas de pacientes, laudos de exames, debate de diagnósticos etc.
E nesses ambientes é comum encontrar computadores desbloqueados, sem a necessidade de login e senha de acesso, sistemas desatualizados, sem antivírus, redes wi-fi abertas, servidores de e-mail desprotegidos e até mesmo equipes que compartilham informações de pacientes e médicos livremente, sem qualquer tipo de criptografia. Também não é incomum profissionais que já foram desligados da instituição continuarem como usuários ativos dos sistemas, com acesso aos prontuários médicos.
Há notícias de diversos incidentes envolvendo hospitais e clínica médicas, tais como sequestro de dados, manipulação de resultado de exames, vazamento de prontuários, compartilhamento indevido de dados de saúde para fins comerciais, para dificultar a contratação de plano de saúde em razão de doenças pré-existentes ou alavancar os preços dos planos.
Um dos casos de ampla divulgação na mídia ocorreu em Singapura, no qual o maior grupo de saúde, o SingHealth, sofreu ataques em busca de dados pessoais do primeiro-ministro Lee Hsien Loong e junto, informações pessoais sensíveis de aproximadamente 1,5 milhão de pacientes foram furtadas.
Quais medidas tomar para se adequar?
Não há motivos para pânico, pois o dever de sigilo quanto aos dados pessoais não é algo novo na área da saúde, uma vez que o Conselho Federal de Medicina possui regras rígidas sobre manuseio e armazenamento de prontuário de paciente.
A Lei Geral de Proteção de Dados vem ao encontro do dever de sigilo já presente na área da saúde, de forma a preservar os dados pessoais dos pacientes armazenados nos bancos de dados das diversas instituições do sistema de saúde.
Neste contexto, as instituições de saúde deverão se adequar a fim de se prevenirem em relação às sanções por vazamentos de dados de pacientes, ataques hackers e falha humana decorrente da atuação de seus funcionários que tiverem acesso aos dados de pacientes.
Abaixo listamos alguns pontos importantes a serem observados:
- Fazer uma identificação de todos os dados coletados e armazenados pela instituição;
- Levantamento de pacientes (novos e antigos), colaboradores, prestadores de serviços, parceiros, sócios. É necessário que essas informações sejam categorizadas e monitoradas;
- Revisar as regras de privacidade para que fique muito bem definido quem poderá acessar, controlar, processar e transferir os dados;
- Revisar os termos de consentimento assinados pelo paciente e informa-lo para que, quando e por quem os seus dados foram utilizados, bem como a possibilidade de solicitar a exclusão desses dados;
- Investir em proteção física e virtual – as informações necessitam ser armazenadas em ambientes comprovadamente seguros e controlados;
- Implantar soluções de proteção e segurança, com redes criptografadas e softwares de monitoramento;
- Atenção com a hospedagem desses dados em servidores estrangeiros, em países que não possuam qualquer regulamentação sobre a segurança da informação;
- Para uso de inteligência artificial terá que explicar ao paciente o que exatamente será feito com seus dados e como será o auxílio da IA no tratamento.
Nossa área de Relações e Negócios Digitais fica à disposição para auxiliar pessoas físicas e jurídicas a resguardar seus direitos e estabelecer programas de Compliance Digital.