Saúde, sistemas de informação e LGPD
A área de saúde será a mais atingida pela LGPD. A metodologia "Privacy by Design", Privacidade Desde a Concepção, deverá ser o norte para adaptação das aplicações, projetos, produtos e práticas comerciais, principalmente no que concerne os prontuários eletrônicos.
Como ficam os prontuários eletrônicos, dados dos pacientes em um ambiente de LGPD?
A nova Lei Geral de Proteção de Dados (LGPD) de nº 13.709/2018, que entrará em vigor a partir de agosto de 2020, traz um desafio de grandes proporções para o setor de saúde. Define no artigo 5º inciso II como dado pessoal sensível (cujo vazamento tem a maior gravidade): “...dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”
Então, como atender, por exemplo, a Resolução nº 1.821/2007 do CFM (que obriga o armazenamento dos prontuários médicos por 20 anos) e se resguardar de futuras e pesadas multas devido aos vazamentos de dados sensíveis? Essa pergunta deve estar deixando muitos gestores da área de saúde sem sono! Mas felizmente existem “remédios” para essa doença, no entanto, a cautela é necessária devido aos efeitos colaterais.
O que podemos evidenciar diz respeito a metodologia “Privacy by Design” (PbD), Privacidade Desde a Concepção. Nesta, a proteção de dados é incorporada desde a concepção das aplicações, projetos, produtos e práticas comerciais até ao fim de suas utilizações. A privacidade do titular dos dados deve ser garantida ao longo de todo o ciclo de vida de uma aplicação, incorporada e fortemente valorizada na cultura organizacional e obviamente em todos os sistemas por ela utilizados.
Um grande desafio para as áreas de TI, assim como para toda administração hospitalar, é a implantação de uma metodologia contrária a toda cultura de um país e ainda tendo como agravante, ser segura sem “engessar” as operações do dia-a-dia.
A metodologia é regida por 7 princípios básicos:
- Ser proativo e não reativo: antecipar possíveis falhas na privacidade e preveni-las. Como por exemplo: utilizar criptografias nos bancos de dados a fim de evitar vazamentos.
- Privacidade como configuração padrão: a garantia de que os dados pessoais tenham sempre a máxima proteção sem qualquer tipo de configuração adicional. Acionar um protetor de tela sempre que um dado pessoal for mostrado, de modo a evitar que pessoas não autorizadas vejam a informação é um bom exemplo desse princípio.
- Privacidade incorporada ao design: a privacidade deve ser o norte da arquitetura da aplicação e não um componente adicional. Esse princípio é importante para reduzir o esforço na garantia da privacidade, um bom exemplo de sua utilização é alertar ao operador sempre que acessar a um dado pessoal.
- Funcionalidade completa: apesar do foco na segurança dos dados, a funcionalidade do sistema deve atender os objetivos legítimos dos responsáveis pelo tratamento. A segurança não deve dificultar a operação da aplicação, mantendo a integridade referencial dos dados, velocidade e facilidade de operação. Evitar redigitações de senhas ou demoras excessivas nos acessos aos dados, são bons exemplos da aplicação desse princípio.
- Segurança de ponta a ponta: a segurança dos dados deve ser considerada desde sua coleta até seu descarte (quando possível for). Toda e qualquer consulta, alteração ou exclusão dos dados pessoais devem ter uma finalidade e/ou consentimento explícito do titular e serem registradas nos históricos das utilizações sistêmicas (logs).
- Visibilidade e transparência: conceder, sempre que for solicitado pelo titular dos dados, visibilidade quanto a finalidade da coleta e os tratamentos dados. Um dos princípios mais desafiadores da metodologia, pois as finalidades e os tratamentos são diversificados no atual cenário empresarial.
- Respeite a privacidade do usuário: os dados pessoais são de propriedade de seus titulares. Essa regra jamais deverá ser esquecida. É fundamental que seus interesses estejam em primeiro lugar sempre. Os controles devem ser fortes, notificando os titulares sempre com total clareza e presteza.
A incorporação/adequação dos princípios “PbD” é uma necessidade para qualquer organização do setor de saúde, principalmente pelo ao tratamento de dados sensíveis, é um dos mais afetados pela LGPD. Demanda tempo e vultuosos investimentos, tanto no que concerne à proteção da infraestrutura, quanto às alterações necessárias em suas aplicações.
Entretanto, os investimentos para a adequação à “LGPD” através da implementação da metodologia “PbD” não podem ser considerados apenas como uma forma de “evitar multas vultuosas”, mas principalmente como uma nova fórmula para agregar valor aos serviços prestados – argumento forte para envolver a alta gestão – trazendo consigo novos negócios.
Referências Bibliográficas
https://setorsaude.com.br/gustavo-artese-apresenta-pilares-que-possibilitam-o-correto-tratamento-de-dados-pessoais-na-saude/
https://www.pixeon.com/blog/guardar-os-exames-de-pacientes/
https://jus.com.br/artigos/69585/privacy-by-design-e-compliance-na-lgpd
https://cio.com.br/atencao-aos-principios-gerais-do-privacy-by-design/