Devido à sua importância para a sociedade, a medicina é frequentemente sujeita a novas normas, leis e regulamentações. Um exemplo disso é a aplicação da Lei Geral de Proteção de Dados (LGPD) em clínicas e hospitais. As clínicas e hospitais que não cumprirem a nova legislação, terão que arcar com multas milionárias.
Lei Geral de Proteção de Dados
A LGPD visa o respeito à privacidade e à inviolabilidade da intimidade, honra e imagem de uma pessoa. Pela lei, qualquer informação relacionada a pessoa natural identificada ou identificável são considerados dados pessoais. Já os dados pessoais sensíveis são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Qualquer pessoa física ou jurídica que colete esses dados pessoais digital ou presencialmente se enquadra na Lei nº 13.709, de 14 de Agosto de 2018.
LGPD na medicina
Uma clínica ou hospital, tal como seus profissionais, coletam muitos dados pessoais de um paciente. O prontuário médico, por exemplo, vai muito além da patologia e tratamento, contendo inúmeros dados e informações sensíveis de uma única pessoa.
Portanto, já é entendível a tamanha importância do gestor, do médico e de toda equipe da clínica ou hospital quanto à atenção à LGPD e ao tratamento dessas informações.
Com base no que diz a LGPD, toda clínica médica e hospital deve nomear um Encarregado de Proteção de Dados, uma nova função que surge com a LGPD. Esse profissional ficará responsável, principalmente, por criar uma política pública de coleta de dados. Dessa forma, justificando a razão pela qual a organização médica coleta esses dados, onde eles são armazenados e por quanto tempo eles ficam armazenados.
Por fim, à questão do tópico, cabe ressaltar que a instituição médica que não se adequar à nova LGPD pode ser impossibilitada de promover suas atividades. Pois, terá, além das multas – que vão de 2% do faturamento anual até o limite de cinquenta milhões de reais – é possível que ocorra uma suspensão do direito de tratamento de qualquer dado pessoal durante 6 meses.
Passo a passo para implementar a LGPD na área da saúde
1. Conheça tudo sobre a lei
Parece óbvio, mas não é. Pesquise e leia o arquivo na íntegra. Caso tenha dúvidas, procure um especialista na área e tenha a certeza de que você entendeu tudo o que o documento determina.
2. Faça um mapeamento de todos os dados disponíveis na sua clínica e estude os riscos de vazamento ou de tratamento inadequado
Reúna todas as fontes de dados que sua clínica tem: dados de pacientes, colaboradores e fornecedores. A partir disso, avalie qual o ciclo de vida de cada um deles, as falhas no processo de tratamento e os riscos de vazamento.
3. Revise os seus documentos (internos e externos)
Os documentos oficiais que estabelecem normas e diretrizes para a sua clínica ou hospital devem ser revisados (pelo departamento jurídico ou por uma consultoria especializada, de preferência), garantindo que todos os tópicos estejam em conformidade com a nova lei. Não se esqueça de incluir nessa lista também os documentos digitais.
4. Garanta a transparência do seu negócio
As práticas adotadas pela sua empresa para assegurar que todos os processos estejam de acordo com a LGPD devem ser conhecidas por todos. Reúna tudo em um material, descrevendo o que deverá ser seguido por todo o time posteriormente à vigência. Avalie a possibilidade de criar um documento de perguntas frequentes, visando garantir o conhecimento por parte de toda a empresa e o esclarecimento de eventuais dúvidas.
E, caso algum processo sofra modificações consideráveis, avise o paciente por meio de uma comunicação clara e eficaz.
5. Tenha um comitê interno responsável pela LGPD
Reúna os profissionais diretamente envolvidos com dados (Jurídico, TI, Comercial, Vendas, Financeiro etc.) e recomende que eles façam parte de um Comitê de Compliance. A sugestão é definir pontos focais, de cada área, que ficarão responsáveis pelo assunto.
Se possível, contrate (ou eleja) um Data Protection Officer (DPO). O profissional com conhecimento técnico (jurídico e regulatório) que poderá conduzir todas as definições. Ele será o intermediador entre os titulares dos dados, a fiscalização e as empresas.
6. Valide as bases legais para os dados pessoais tratáveis
As fontes de dados que a sua clínica tem precisam ser validadas. Em outras palavras, esse é o momento de justificar para o governo o motivo de o seu negócio ter aqueles dados e com qual finalidade eles serão utilizados. Antes de entender essa tarefa como concluída, confira quais são os procedimentos corretos de validação para cada caso.
7. Defina uma forma de gerenciar pedidos de titulares e de órgãos reguladores
Isso servirá para estabelecer qual será o procedimento padrão para as solicitações dos seus clientes ou quando houver a fiscalização dos órgãos reguladores. Aqui, é importante registrar um documento com cada passo desse processo. O documento deve poder ser consultado a qualquer hora pelos profissionais envolvidos.
8. Ofereça treinamento para a equipe que lida diretamente com os dados
Verifique até mesmo a possibilidade de gravar pílulas de conteúdo em vídeo com as recomendações principais acerca da LGPD. O material pode ser disponibilizado para os colaboradores que tratam diretamente com dados como um jeito fácil de acesso às orientações imprescindíveis.