Cinco razões para implementar a LGPD em laboratórios médicos, clínicas e hospitais

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em pleno vigor no dia 1° de agosto de 2021, trazendo, desde então, a possibilidade de sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados. A despeito do que alguns possam ainda pensar, a aplicação da LGPD também alcança setores de atividades tradicionais, como o setor da saúde, atingindo laboratórios médicos, clínicas e hospitais.

As penalidades previstas na LGPD, a serem aplicadas pela ANPD, variam de advertência a multa em valores que podem chegar a 50 milhões de reais, incluindo, em casos mais sérios, eliminação compulsória do banco de dados e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além disso, é importante destacar que não apenas a ANPD exercerá a fiscalização do cumprimento da lei; outras instituições e órgãos de controle como os PROCON’s e os MP’s também poderão investigar se os laboratórios, clínicas e hospitais estão tratando dados de acordo com a LGPD.  

Por estes motivos, nós do time de LGPD do FIRLAN Advogados apresentamos cinco DICAS para a implementação da cultura de excelência na Proteção de Dados Pessoais:

1. Laboratórios médicos, clínicas e hospitais tratam um grande volume de dados pessoais, sobretudo dados pessoais sensíveis

Oferecer serviços na área de saúde implica no uso e tratamento de um grande volume de dados pessoais de pacientes, médicos e enfermeiros. Em especial, sobre os pacientes, o tratamento de dados pessoais sobre a saúde são indispensáveis ao próprio funcionamento do setor de saúde.

Ocorre que a LGPD impõe uma maior diligência no tratamento de dados pessoais que são considerados por lei como sensíveis, entre eles, destacam-se os dados referentes à saúde e a vida sexual da pessoa, os quais serão inevitáveis objetos de tratamento pelo setor.

Portanto, para garantir a segurança de dados necessária, a gestão hospitalar, clínica e laboratorial deve mapear os processos de armazenamento, processamento e transferência de dados pessoais em todos os meios, incluindo físicos e digitais.

É com base neste mapeamento de processos e procedimentos que serão definidos os mecanismos tecnológicos e de engenharia social necessários ao controle e salvaguarda dos dados. 

Todo processo clínico ou hospitalar que envolve o tratamento de dados pessoais deve ser mapeado, entendido e, caso haja necessidade, alterado. Estes pequenos passos ajudam na identificação dos riscos e a melhor forma para mitigá-los.

2. Implementação de um processo de gestão de consentimento e base legal para tratamento de dados

Embora a LGPD preveja expressamente em seu texto legal a possibilidade do tratamento de dados pessoais sem consentimento, com base na proteção da vida ou da incolumidade física do titular ou de terceiro (Art. 7º, inciso VII para os dados pessoais em geral; Art. 11, inciso II, alínea “e” para os dados pessoais sensíveis), a base legal no consentimento expresso ainda é a mais segura para o melhor tratamento de dados pessoais e mitigação de incidentes.

Neste sentido, é recomendável que, na gestão de clínicas e hospitais, assim como nos laboratórios, se ofereça mecanismos para que o indivíduo possa autorizar, negar ou revogar o consentimento para o tratamento de seus dados a qualquer momento. Importante lembrar que, mesmo que exista o permissivo legal de tratamento de dados pessoais sem consentimento para fins de proteção da vida e da saúde, a relação que se constrói entre paciente e instituição médica costuma ser uma relação de consumo, o que demanda, não apenas em respeito à LGPD, mas também por força do Código de Defesa do Consumidor, uma maior transparência o possível com o paciente-consumidor sobre os tratamentos de seus dados pessoais.

Portanto, a implementação do processo de gestão de consentimento deve trazer objetividade e clareza, com a informação da finalidade do tratamento de dados de maneira explícita.

3. O setor de saúde, especialmente o setor médico, é a maior vítima em potencial de agentes maliciosos que desejam obter dados pessoais 

Como comentado anteriormente, o setor de saúde trata não só um grande volume de dados pessoais em sentido amplo, mas tratam em especial de dados pessoais sobre saúde e, eventualmente, vida sexual das pessoas.

Dados pessoais sensíveis, tais como os citados acima, como explicado na própria LGPD, se referem a determinadas informações de uma pessoa que, se alcançam os “olhos” ou “ouvidos” de terceiros que não deveriam delas saber, há um risco muito claro de ter um prejuízo significativo na vida da pessoa vítima do vazamento.   

Pensando no ponto de vista da clínica, do hospital ou do laboratório, caso se torne do conhecimento do público que informações, por exemplo, sobre pacientes soropositivos foram vazados a partir de alguma falha de segurança destas organizações, o prejuízo à credibilidade do negócio, para além do prejuízo financeiro (aplicação de multa), pode ser incomensurável. Assim, é indispensável que se adotem as melhores práticas de proteção de dados na gestão das organizações que cuidam de dados de saúde de pessoas.

4. Garantia de continuidade dos negócios

A gestão da clínica, do hospital ou do laboratório deve garantir a implementação e o sucesso de processos que possibilitem a guarda e a recuperação de dados, fazendo-se cópias de segurança em caráter periódico. Deve, ainda, contar com infraestrutura sólida de segurança de danos e plano de mitigação de riscos, prevenindo-se de casos de incidentes.

Implementação de protocolos de acesso lógico, backups de segurança e controle de redundância são algumas das medidas necessárias para a garantia da continuidade dos negócios de uma organização do setor médico.

5. Introduzir na cultura organizacional a conscientização sobre a necessidade de um tratamento de dados pessoais em compliance com a LGPD

Compliance parece ser a palavra de ordem para a sobrevivência no mercado competitivo do século 21, e este não deve estar restrito aos donos ou às “cabeças” do negócio: devem alcançar a todos da organização.

Dito isto, deve-se entender que, de nada adianta a adoção de modelo de procedimento organizado, se os colaboradores da empresa não entenderem a necessidade e a importância da proteção à privacidade e aos dados pessoais.

Os colaboradores devem entender que estamos em mundo conectado e precisam ter a noção da importância da segurança da informação, sobretudo quando se lida diuturnamente com dados pessoais que expõem condições de saúde da pessoa do paciente.

 Para estimular os colaboradores a aderir a esta cultura da privacidade, o ideal é usar exemplos práticos que lidem não só com as suas rotinas de serviços, mas que extrapolam as paredes das clínicas e hospitais. Como por exemplo, alertar que a exposição dos próprios colaboradores de seus dados pessoais nas redes sociais incorre em riscos, pois estes podem também ser vítimas de incidentes de dados como vazamentos ou qualquer outro tipo de uso desvirtuado.

Lembramos que estas 5 razões ou motivos são apenas dicas para o início da jornada de adequação da organização à LGPD. 

Para uma adequação completa e segura, é de suma importância a procura por profissionais qualificados e que tratem a proteção de dados como uma necessidade de uma cultura organizacional de excelência.