O que é LGPD: como essa lei impacta o setor de saúde e a entrega de valor

Você sabe o que é LGPD? A Lei Geral de Proteção de Dados determina as regras de coleta, armazenamento e utilização de dados dos usuários. Para as instituições de saúde, é uma mudança de paradigma, que requer mais cuidado com as informações existentes dos pacientes.

Apesar de afetar todos os setores de atuação, no caso da saúde, ela é ainda mais importante. Afinal, clínicas, hospitais, operadoras, laboratórios e consultórios mantêm bancos de dados com CPF, endereço, nome completo, histórico de saúde e plano de saúde com o qual o paciente está vinculado, se for o caso.

Diante desse cenário, o que fazer para evitar problemas? Quais são as punições para quem não sabe o que é LGPD e descumpre as regras? Quais são os principais pontos dessa lei?

Essas são as perguntas que vamos responder neste artigo. Que tal saber mais?

LGPD: o que é para a saúde?

A Lei Geral de Proteção dos Dados exige uma mudança na segurança dos dados de saúde por regular as atividades relacionadas às informações pessoais dos pacientes. Entre as questões específicas estão:

• os beneficiários são titulares dos seus dados e têm pleno direito sobre eles;
• há o direito de saber como as informações são tratadas pelas operadoras, assim como consultá-las e corrigi-las ou até se opor ao seu armazenamento.

A partir desse cenário, fica claro que é preciso viabilizar o monitoramento de pacientes com cuidado, a fim de evitar o desrespeito à legislação e ao direito dos cidadãos.

A LGPD foi sancionada em agosto de 2018 e é válida para todos os setores. No que se refere à saúde suplementar, é preciso ter uma atenção especial, já que o setor tem um banco de dados robusto e estratégico.

Para entender melhor essa lei e seu impacto na saúde, é preciso conhecer alguns conceitos importantes. São eles:

• dado pessoal: é uma informação que permite identificar de forma direta ou indireta um indivíduo que esteja vivo;
• dado pessoal sensível: é relativo à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicatos ou outros referentes à vida e à saúde sexual. Estão incluídos dados genéticos ou biométricos, quando vinculado a uma pessoa natural;
• titular do dado: é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. O titular pode fornecer seus dados para quem quiser, mas nunca perderá a condição de titular por se tratar de um direito personalíssimo;
• dado anonimizado: é um dado que, originalmente, era relativo a um indivíduo, mas passou por etapas que garantiram a desvinculação dele a essa pessoa. Se o dado for anonimizado, de maneira irreversível, a LGPD não se aplicará a ele;
• controlador do dado: é a pessoa natural ou jurídica de direito público ou privado que toma as decisões sobre o tratamento de dados pessoais;
• operador do dado: é a pessoa natural ou jurídica de direito público ou privado que realiza o tratamento de dados pessoais em nome do controlador.

Qual a relevância da LGPD para a área da saúde?

Segundo dados de junho de 2020 da Agência Nacional da Saúde Suplementar (ANS), existem 46,7 milhões de beneficiários de convênios médicos. Considerando o total de 209 milhões de habitantes no Brasil, o número representa 22,34%.

Por sua vez, o SUS tem um potencial de atendimento equivalente à população brasileira. Em ambos os contextos, a vantagem de saber o que é a LGPD é cuidar dos dados de forma responsável e respeitando a vontade dos pacientes.

Ao mesmo tempo, requer um cuidado maior, porque as repercussões na saúde são significativas. Elas podem ser resumidos à palavra consentimento. Basicamente, é a ideia de que o paciente deve aceitar tudo que será feito com os seus dados pessoais.

Aqui, torna-se necessário usar a tecnologia a seu favor e estabelecer regras de utilização dos dados. Para começar, o ideal é que a saúde seja baseada em valor. Ela está assentada em três pilares:

• desfechados do cuidado ao paciente que sejam de qualidade;
• máxima eficiência, ou seja, controle dos focos de desperdício;
• experiência positiva do paciente na sua jornada dentro da instituição de saúde.

Ainda é preciso lembrar de que uma experiência positiva não se restringe à satisfação. Ela também exige que o paciente tenha recebido tudo o que precisava naquela interação. É preciso estar claro que ele é o centro das atenções.

Por isso, o paciente deve estar totalmente informado dos procedimentos, dos riscos e do tempo que o tratamento leva. Nesse contexto, a proteção dos seus dados pessoais desempenha um papel essencial.

Apesar disso, existem desafios a considerar na área da saúde. Por exemplo, os dados podem ser compartilhados entre hospitais e operadoras de saúde a fim de aumentar a entrega de valor. Isso será possível? Algumas informações poderão ser trocadas, enquanto outras não?

Ainda há questionamentos sobre em que momento o consentimento é necessário. Por isso, a recomendação é criar manuais de orientação que preservem ao máximo essas informações. Além disso, é importante saber o que é LGPD e até contar com uma consultoria especializada, conforme o caso.

Punições para o descumprimento da lei

As sanções para as empresas que descumprirem a LGPD só serão praticadas a partir de 1º de agosto de 2021. A fiscalização será feita pela Autoridade Nacional de Proteção de Dados (ANPD).

No entanto, ainda não foram definidas as punições. A expectativa é que sejam aplicadas multas, que podem chegar a R$ 50 milhões por infração. Outras possibilidades são:

• ressarcimento integral do dano, quando existir;
• perda da função pública, no caso do funcionário que vazar os dados;
• suspensão dos direitos políticos de três a cinco anos;
• pagamento da multa civil, que pode ser de até 100 vezes o valor da remuneração recebida.

Como outros países lidam com leis semelhantes na área da saúde?

LGPD: o que é? Mais do que saber o conceito, vale a pena entender que ela é uma legislação brasileira inspirada pela General Data Protection Regulation (GDPR).

Essa legislação é válida para a maioria dos países da União Europeia e vale para qualquer organização que atue no país ou faça negócios com empresas e pessoas físicas desses locais. Segundo a GDPR, qualquer informação pessoal só pode ser trabalhada e coletada a partir da autorização do usuário.

Devido a essa legislação, o estado da Califórnia, nos Estados Unidos, também criou a sua lei. A chamada Lei de Privacidade dos Consumidores da Califórnia (CCPA) já vale em 2020 e tem as mesmas prerrogativas. 

Quais são os principais pontos da LGPD na saúde?

A LGPD impacta toda a área da saúde e ainda pode sofrer modificações pontuais, conforme a necessidade do setor. De toda forma, os principais aspectos a considerar são:

• coleta e armazenamento dos dados apenas com autorização dos pacientes. A medida é válida para novos prontuários e os já existentes;
• validade da lei para todas as operações de informação. Ou seja, vai além da parte eletrônica e inclui registros em papel e outros;
• aplicação das mudanças a um grande número de situações, como cobrança de serviços de saúde por Troca de Informações em Saúde Suplementar (TISS), intercâmbio de informações, telemedicina e SUS;
• validade para mensagens trocadas entre médicos e pacientes por WhatsApp, que devem ser criptografadas e ter caixas postais com mensagens persistentes e protegidas;
• definição de um responsável interno para a segurança da informação ou contratação de uma empresa responsável. Esse profissional também é conhecido como Encarregado de Proteção de Dados, ou Data Protection Officer (DPO);
• responsabilização do contratante em caso de falhas de terceiros;
• comunicação aos pacientes dos dados pessoais armazenados e qual finalidade eles terão. Essas informações também devem estar disponíveis para a ANPD;
• estabelecimento de criptografia para os dados pessoais dos pacientes, com consequente eliminação assim que cumprirem seu objetivo;
• consentimento do usuário em caso de detalhamento de dados clínicos para a operadora de saúde. A autorização só é desnecessária quando o envio de informações for relativa ao faturamento.

Todas essas questões são essenciais para a segurança do paciente. Como fica claro, existem muitos desafios, mas é possível superá-los para entregar um cuidado baseado em valor ainda maior para a população. Para isso, basta adotar boas práticas para se preparar para a LGPD. Veja quais são elas.

• revise sua política de privacidade e tratamento de dados para adaptá-la, se necessário. Reforce a segurança e garanta o uso da metodologia adequada;
• modifique o modelo de prontuário, evitando a utilização dos impressos;
• treine a equipe para que todos reconheçam a importância de suas ações no que se refere ao tratamento de dados;
• solicite consentimento formal para tratar os dados, explicando por que é necessário e qual tratamento será feito;
• conte com diferentes fontes de dados, como agendamento online, telefone, WhatsApp e mais;
• facilite o acesso aos dados pessoais para que o usuário tenha liberdade de fazer as modificações que achar necessárias;
• garanta a segurança dos dados por meio da tecnologia da informação. O ideal é adotar um sistema com criptografia de ponta a ponta.

Para favorecer que a instituição cumpra todas essas regras, o ideal é trabalhar com uma plataforma de governança clínica já estabelecida, construída com base nos códigos de doenças brasileiros e familiarizada com a configuração do sistema de saúde nacional.

Certifique-se d que a plataforma de governança clínica com a qual você trabalha conta com um Comitê de Compliance e um DPO, e esteja implantando os melhores procedimentos de segurança existentes. Desse modo, você tem confiança na proteção dos dados dos seus pacientes e pode entregar a eles um tratamento eficiente, seguro e baseado em valor.

Agora você já entendeu o que é LGPD e como ela interfere na saúde. Ao contar com as boas práticas, sua instituição de saúde estará preparada para atender às novas demandas da Lei Geral de Proteção de Dados.

Então, que tal saber mais sobre esse assunto e outros relevantes para o sistema de saúde? Assine a newsletter do DRG Brasil e conheça mais sobre as ações.