LGPD para Clínicas e Hospitais: será que é preciso se adequar?

A resposta para esta pergunta é um sonoro sim!

A Lei Geral de Proteção de Dados, de 2018, é aplicável a todas as pessoas físicas e jurídicas, cuja atividade requer a coleta de dados pessoais, seja em meio físico, digital de forma remota ou presencial.

No âmbito da lei são considerados dados pessoais qualquer informação que diga respeito a uma pessoa natural identificada ou identificável. Existe ainda, o conceito de dados pessoais sensíveis que dizem respeito a origem racial ou étnica, questões religiosas, posicionamento político, sindicalização, de caráter político, religioso, filosófico ou ainda, relacionado à saúde ou vida sexual, dados genéticos e biométricos.

Desta forma, quem atua na área de saúde, seja uma clínica, hospital ou um profissional liberal, inevitavelmente coleta dados dos pacientes. Por hipótese, um prontuário médico, contém informações clínicas, mas também registra dados pessoais. Estas características vão requerer dos gestores, médicos, enfermeiros e demais colaboradores uma preparação para lidar com a coleta dessas informações no âmbito da lei. Vamos ver algumas dúvidas comuns do segmento médico-hospitalar em relação ao assunto:

Ter um sistema de prontuário eletrônico é o suficiente para cumprimento da LGPD?

Ter um sistema de prontuário eletrônico não é o suficiente para se adequar à lei, na verdade a LGPD requer uma sistemática completa de conformidade em relação a proteção de dados, onde o registro de informações do paciente em um sistema de prontuário é apenas uma pequena parte da necessidade.

Os profissionais, médicos ou não, precisam de alguma informação específica sobre a LGPD?

Todos os profissionais de instituições médico-hospitalares, precisam de conhecimentos formais sobre a LGPD, de forma que sejam capazes de coletar, armazenar e descartar corretamente os dados, além de evitar comportamentos ou omissões que possam trazer penalidades para a empresa. Além do treinamento formal, a empresa precisa nomear um Encarregado de Proteção de Dados (Data Protection Officer), que será o responsável pelas tratativas relacionadas a proteção de dados pessoais.

O DPO de uma clínica ou hospital não precisa ser um especialista em tecnologia da informação, mas será o responsável por garantir os níveis de conformidade (compliance) tanto em âmbito interno como externo, de forma que os procedimentos dentro da organização e a legislação específica sobre o assunto, sejam executados e seguidos pelo corpo clínico, enfermeiros, auxiliares, pessoal administrativo e demais profissionais, sobretudo aqueles que são terceirizados.

Este profissional deve ter habilidades multidisciplinares dentro da clínica ou hospital, valendo-se do bom relacionamento com as diversas equipes, bem como acolhendo solicitações dos titulares dos dados e da ANPD – Agência Nacional de Proteção de Dados.

Como fica o TCLE – Termo de Consentimento Livre após a LGPD?

O TCLE registra os esclarecimentos dados a pacientes e responsáveis em relação a realização de procedimento, diagnósticos, terapias que serão realizados, dando clareza aos riscos potenciais de cada uma das abordagens, desta forma o TCLE acaba sendo um repositório de informações e, como o prontuário eletrônico, também precisa de adequações em relação a LGPD.

Com o advento da LGPD os procedimentos de inclusão, exclusão e alteração de dados no TCLE, passam a ser processos ainda mais críticos, requerendo novas abordagens para garantir a proteção de dados dos pacientes.

E o SAME – Serviço de Arquivo Médico e Estatística, precisará de adequações também?

O SAME objetiva guardar e resguardar as informações do paciente, de forma mais específica aquelas relacionadas ao prontuário médico, armazenando dados pessoais, evolução clínica, exames, procedimentos e demais informações do paciente, além de dar suporte na elaboração de relatórios para fins de gestão e ao movimento hospitalar de forma geral.

Por essas características, assim como o TCLE todos os procedimentos relacionados ao SAME precisaram sofrer adequações para atender a LGPD.

Informatizar e digitalizar o SAME é uma ação que ajuda na modernização e organização das informações, mas não é o suficiente para suprir todas as necessidades previstas na legislação.

Quais as penalidades que clínicas e hospitais estão sujeitos com a LGPD?

As clínicas e hospitais estão sujeitos a penalidades que variam em função do tipo e da gravidade da violação dos dados, podendo chegar a 2% do faturamento, limitado a R$ 50.000.000,00 por infração.

Além de penalidades financeiras a clínica ou hospital podem ficar impedidos de manusear os dados do paciente o que, em casos mais severos, pode inviabilizar as atividades.

Conclusão

Apresentamos algumas das muitas exigências e necessidades de adequação previstas pela LGPD para clínicas ou hospitais, este conjunto de providências que precisam ser tomadas, se configura como uma verdadeira jornada para que a LGPD seja devidamente implementada e se torne efetiva.

A R | FONSECA direito de negócios possui uma metodologia para clínica e hospitais que se apoia em 4 abordagens: (1) jurídica, (2) processos internos, (3) tecnologia da informação e (4) treinamento.