LGPD Na Saúde

Adeque sua operação à LGPD e evite multas e sanções administrativas severas.

Hospitais que não se adequarem à Lei Geral de Proteção de dados podem receber multas que chegam a 50.000.000,00 (cinquenta milhões de reais) por infração.

Nossa equipe de advogados especialistas pode fornecer à sua organização orientação especializada para que você possa estar em conformidade com as regras estabelecidas pela LGPD.

Importância da LGPD em clínicas e hospitais

Com a aprovação e vigência da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, empresas públicas e privadas, independentemente do tamanho e segmento necessitaram se adequar à LGPD.

Aplica-se a LGPD, sempre que os dados tenham sido coletados e tratados no Brasil, se refiram a uma pessoa que esteja no país e que vise à oferta ou fornecimento de bens ou serviços nacionalmente. Ou seja, abrange praticamente todas as empresas!
Com a aprovação e vigência da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, empresas públicas e privadas, independentemente do tamanho e segmento necessitaram se adequar à LGPD.

Aplica-se a LGPD, sempre que os dados tenham sido coletados e tratados no Brasil, se refiram a uma pessoa que esteja no país e que vise à oferta ou fornecimento de bens ou serviços nacionalmente. Ou seja, abrange praticamente todas as empresas!

A Lei estabelece que deve haver cuidado e respeito com os dados para proteger a liberdade e privacidade dos pacientes. Sua empresa está preparada para isso?

A adequação à LGPD é um processo de melhoria contínua com foco no tratamento de dados pessoais, não existe data de validade por se tratar exatamente da introdução de uma cultura, comportamento e atitudes das pessoas no atendimento aos pacientes, colaboradores e terceiros em geral. Aplica-se a LGPD, sempre que os dados tenham sido coletados e tratados no Brasil, se refiram a uma pessoa que esteja no país e que vise à oferta ou fornecimento de bens ou serviços nacionalmente. Ou seja, abrange praticamente todas as empresas!

- Uma vez que a LGPD é aplicada, como tratar as informações que devem constar no PEP (Prontuário Eletrônico do Paciente)?

- Quais informações podem e devem ser compartilhadas?

- Para todos os casos, deve-se utilizar a base legal de tratamento do consentimento?

- As informações trocadas entre as unidades de saúde pelo protocolo TISS sofrerão alterações pelos Órgãos Reguladores?

- Como lidar com questões religiosas versus necessidade de tratamento invasivo?

- Por quanto tempo meus dados pessoais devem permanecer sob a guarda do Hospital?

- Como e em quais casos deve-se utilizar a Tutela da Saúde, Proteção à Vida e até mesmo Compartilhamento com a ADM Pública?

Para responder a todas essas questões, o mínimo que se espera é um completo mapeamento da coleta e uso dos dados pessoais nas diversas áreas do hospital e sistemas que utilizam, analisando como estão as cláusulas contratuais, os documentos, os acessos às informações sensíveis, o que pode e como pode ser compartilhado com convênios, laboratórios, médicos e outros profissionais da saúde.

Devemos sempre ter em mente que a adequação deve ser evidenciada de uma forma que possa demonstrar na prática o que foi feito para o hospital se adequar e de que forma a cultura da privacidade, com toda a segurança da informação, está sendo introduzida.

Riscos da não adequação

- Perda da credibilidade com pacientes, acompanhantes e convênios

- Desconformidade contratual (funcionários, prestadores de serviços, fornecedores etc)

- Exposição à denúncias junto à anpd sobre o tratamento indevido dos dados

- Vulnerabilidade e responsabilização civil sobre incidentes de segurança da informação

Sanções e multas previstas na LGPD

Advertência

Com indicação de prazo para adoção de medidas corretivas;

Eliminação dos dados

Pessoais a que se refere a infração;

Suspensão parcial do funcionamento do banco de dados

A que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

Suspensão do exercício da atividade de tratamento de dados

Pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

Multa diária

Observado o limite total a que se refere o item anterior;

Publicização da infração

Após devidamente apurada e confirmada a sua ocorrência;

Proibição parcial ou total do exercício de atividades

Relacionadas ao tratamento de dados.

Bloqueio dos dados pessoais

A que se refere a infração até a sua regularização;

Multa simples

De até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

Casos recentes de violação da lgpd na área da saúde

Caso Klara Castanho – violação dos dados pessoais dos pacientes de hospitais.

O lamentável caso de estupro sofrido pela atriz Klara Castanho foi cruelmente disseminado na internet e gerou diversos comentários maldosos e mensagens de ódio pelos famosos “haters”.

Após descobrir a gravidez, ela decidiu seguir com a gestação e entregar o bebê para adoção, ato legal e autorizado pelo artigo 19-A do Estatuto da Criança e do Adolescente. O caso foi exposto em texto do colunista Leo Dias, do Metrópoles, e pela apresentadora Antônia Fontenelle, em uma live.

Algo que chama a atenção nesse caso é a conduta de alguns dos profissionais da saúde que a atenderam. Essa situação não teria ocorrido se o hospital onde ela foi atendida não tivesse deixado vazar as informações, uma vez que, conforme noticiado amplamente pela mídia, uma das enfermeiras teria insinuado que vazaria essa informação para um colunista.Aplica-se a LGPD, sempre que os dados tenham sido coletados e tratados no Brasil, se refiram a uma pessoa que esteja no país e que vise à oferta ou fornecimento de bens ou serviços nacionalmente. Ou seja, abrange praticamente todas as empresas!

A Lei Geral de Proteção de Dados Pessoais (LGPD), no inciso II, do artigo 5, define os dados referentes à saúde ou à vida sexual como sendo sensíveis, que só podem ser divulgados ou compartilhados com a permissão do titular que tem o direito à intimidade e à privacidade assegurados pelos incisos I, IV e VII dos artigos 2² e 17³, assim como pela Constituição Federal.

Obviamente, em qualquer procedimento médico é preciso que as informações de saúde do paciente sejam de conhecimento dos profissionais, porém esses mesmos dados devem, obrigatoriamente, permanecer em sigilo para preservar a liberdade e a privacidade do titular, o que não ocorreu.

Neste caso, o hospital é simultaneamente o controlador e o operador dos dados da paciente e sua responsabilização pelos vazamentos se enquadra no artigo 42, não importando se quem vazou os dados foi a enfermeira ou outro colaborador, pois o hospital os representa. Seguindo o inciso III do artigo 932 do Código Civil, o controlador é obrigado a comunicar a ANPD pelo incidente de segurança para que o caso seja analisado e as devidas multas sejam aplicadas.

No âmbito civil, a atriz, assim como qualquer outro paciente que tenha seus dados vazados, pode processar o hospital por danos morais e solicitar a reparação deles por meio de uma indenização.

Desta forma, fica evidente que estar em compliance com a LGPD é obrigatório para instituições na área da saúde, uma vez que tratam dados sensíveis cujo vazamento pode contribuir com a discriminação do paciente.

Receba Nossa Cartilha Exclusiva

Passo a passo para adequação

Deve haver um preparo e organização para atender aos requisitos das fiscalizações executadas pela ANPD e seus designados parceiros (Senacon, Ministério Público, Procon e outros). O que há de ser feito para estar em compliance:

PASSO 1

Mapeamento: é uma etapa inicial do processo de compliance e corresponde à fase de avaliação, em que é possível identificar os processos existentes na empresa, com a finalidade de corrigir falhas para se adequarem ao padrão.

PASSO 2

Elaboração e execução do plano de ação: a partir de um Código de Conduta, prossegue-se com a elaboração ou atualização da Política de Privacidade e de Gestão de Dados Pessoais, considerando os vários procedimentos, como fluxo, padrão de criptografia e guarda de logs. Nesta fase, as ações são colocadas em prática.

PASSO 3

Planejamento: é um plano de ação que corresponde ao ideal que deve ser seguido pela empresa. Nesta fase, a elaboração de um check list que auxilie na verificação prévia de qualquer contratação facilita saber se a outra parte também está em conformidade com as regras de proteção de dados pessoais.

PASSO 4

Análise legal e dos riscos: a elaboração da matriz de risco é feita com base no diagnóstico e no plano de ação. Neste plano devem ser inseridos os controles técnicos, documentais, procedimentais, previsão de treinamentos e campanhas de conscientização dos colaboradores, parceiros, fornecedores e clientes.

PASSO 5

Monitoramento: por fim, as ações são monitoradas para saber se está sendo praticado o devido cumprimento das normas e dificultando as ocorrências de riscos.

Cases e resultados

Adequação à LGPD no Hospital NASR FAIAD – NHF de Catalão – Goiás.

Dados estatísticos do projeto:

  • Fase de diagnóstico, análise de riscos, adequação legal e elaboração do plano de ação em apenas 3 meses;
  • 56 processos administrativos mapeados com 37 pontos focais de 28 áreas do hospital;
  • Mais de 427 participações em mais de 107 reuniões com as equipes;
  • 136 ações de mitigação do tipo administrativa, jurídica e tecnológica identificadas e incluídas no plano de ação.

  • Importância do projeto de adequação para as atividades do hospital:

  • Atendimento à legislação;
  • Mudança nas rotinas clínicas e de atendimento aos pacientes e seus acompanhantes;
  • Atualização na gestão de documentos e contratos;
  • Atualização de procedimentos e protocolos da segurança da informação.

  • Cases e resultados

    Sobre a atuação da consultoria, depoimento da DPO, Dra. Thayanne Magalhães, e do Diretor geral, Gilmar Pires:

    “A consultoria pelo escritório Simões & Landim está sendo de suma importância para o Hospital.

    Os dados pessoais estão ligados diretamente aos atendimentos na área da saúde. Isso porque os médicos e demais profissionais precisam coletar informações dos pacientes para estudar os casos, elaborar diagnósticos e propor tratamentos.

    Logo, a consultoria está sendo basilar, nos ensinado quais caminhos seguir para que os dados dos pacientes sejam preservados e não acessados por terceiros.

    A consultoria do escritório nos auxiliou a aplicar a LGPD na saúde de forma eficiente, conscientizando todos os setores sobre a importância da legislação. Através da assessoria, conhecemos os pormenores da lei, nos conscientizando em cibersegurança, segurança da informação, ampliando a cultura de proteção de dados…

    Foi realizado um trabalho minucioso que nos proporcionou enxergar que a proteção de dados não existe sem segurança da informação, logo podemos garantir a segurança dos dados dos pacientes/clientes, uma vez que adequamos a lei a nossa rotina.”

    Enviar Mensagem
    Estamos On-line
    Olá,
    Tudo bem? Agradecemos seu contato com a Simões Landim Advogados. Como podemos ajudar-lo?