Cuidados essenciais para adequação à LGPD nas instituições de saúde

Por Equipe Pixeon em 8 de dezembro de 2021

Em vigor desde agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) é a norma brasileira de proteção de dados e privacidade, e dispõe sobre as regras para o tratamento de dados pessoais. Por lidar com informações sobre a saúde de seus pacientes — dados que, por lei, devem ser armazenados por um prazo de vinte anos —, a questão se torna ainda mais sensível para as instituições de saúde. Estas devem garantir, portanto, a adequação à LGPD o mais rápido possível, não apenas para manter a credibilidade no mercado, como também para evitar multas e sanções que já estão sendo aplicadas às organizações que descumprirem a regulamentação.

Entenda a seguir os principais cuidados e medidas a serem realizadas para se adequar à LGPD. Ao final você também poderá fazer o download de um material exclusivo sobre o tema, elaborado pela Pixeon em parceria com a Microsoft. Confira!

Como está a adequação à LGPD no setor da saúde

A aprovação da LGPD atende uma antiga demanda por regulamentações para proteger o direito dos indivíduos à privacidade. Apesar do país ser um dos principais mercados de tecnologia do mundo, as leis que existiam até então não acompanhavam o crescimento tecnológico. Em virtude disso, as violações de dados se tornaram bastante comuns. A LGPD vai ao encontro desses problemas e estabelece requisitos para implementar controles de proteção a dados pessoais — além de instituir a Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável pela fiscalização e aplicação de penalidades e multas.

Mas mesmo com a lei em vigor desde 2020, grande parte das organizações enfrentam dificuldades de adequação. Os principais desafios são a instabilidade regulatória e a falta de orientações e apoio por parte da ANPD. Diante da pandemia e das adaptações que as instituições de saúde precisaram fazer rapidamente para oferecer modalidades de telemedicina — como a teleconsulta, por exemplo —, a adequação se tornou ainda mais desafiadora. Por isso, a implementação de medidas para estar em compliance na saúde ainda é considerada baixa.

A maioria das instituições não deu início a ações de adequação

Em 2021, apenas um terço das instituições de saúde afirmou ter uma política de segurança da informação definida, segundo a TIC Saúde 2021 — Pesquisa sobre o Uso de Tecnologias de Informação e Comunicação nos Estabelecimentos de Saúde Brasileiros: 21% das organizações públicas e quase quatro em cada dez instituições privadas.

A pesquisa também trouxe informações relevantes sobre o uso de ferramentas de segurança digital. A criptografia de arquivos e e-mails passou de 41%, em 2019, para 52%, e a criptografia da base de dados avançou de 36% para 48%. O certificado digital — tecnologia fundamental para garantir a integridade e autenticidade de documentos médicos, como prescrições eletrônicas de medicamentos — está sendo adotado por 50% das instituições.

Outras soluções, no entanto, tiveram crescimento pouco expressivo e não estão presentes nem na metade dos estabelecimentos pesquisados:

Proteção por senha de arquivos enviados ou recebidos: 48%;
Assinatura eletrônica: 37%;
Proteção contra vazamento de informações (DLP): 24%;
Duplo-fator de autenticação: 15%;
Biometria para acesso ao sistema eletrônico: 10%.

Quando o assunto são as medidas adotadas em relação à LGPD, vê-se que o setor da saúde ainda tem um longo caminho a percorrer. A maioria não deu início a nenhuma ação de adequação e menos da metade dos gestores afirmou ter implementado alguma das medidas investigadas pela TIC Saúde.

Veja os percentuais de adesão a cada uma das medidas:

Possui um responsável pela segurança de dados: 40%;
Disponibiliza canais de atendimento e interação com os titulares dos dados: 44%;
Publicou a política de privacidade em seu website ou na página da secretaria de saúde: 30%;
Fez um levantamento dos dados pessoais sob seu domínio e classificou suas finalidades e bases legais: 35%;
Promoveu campanha de conscientização interna sobre a LGPD: 41%;
Implementou um plano de resposta a incidentes de segurança de dados: 33%;
Executou processos para tornar os dados pessoais anônimos: 37%.

Processo de adequação à LGPD: 3 pilares fundamentais para as instituições de saúde

Os dados mostram que a compliance à LGPD ainda está longe do ideal. Mas os gestores precisam compreender a necessidade de implementação de uma cultura de proteção de dados para dar continuidade aos seus projetos de transformação digital e, assim, alcançar um outro patamar de modelo de gestão e cuidado ao paciente, pautado no conceito de saúde 5.0.

Portanto, é preciso adotar políticas internas de conformidade de proteção de dados, o que não requer, de nenhuma forma, a limitação de atividades, apenas a adaptação de rotinas alinhadas ao uso de tecnologias de confiança.

Se você enfrenta dificuldades para adequar sua instituição à LGPD, veja quais são os pilares fundamentais para a saúde e o que fazer para ter sucesso nesse desafio.

Entenda mais sobre o futuro da saúde no material >> Saúde 5.0: vantagens, aplicações e tecnologias essenciais.

1. Orientar sobre a importância dos dados para a instituição

Quando o assunto é LGPD, é natural que muitos profissionais que não lidam diretamente com dados pensem que a lei não vai atingi-los. Por tratar da coleta, armazenamento, compartilhamento e tratamento dos dados, é comum relacionar a norma com a área de TI — principalmente quando todo esse processo é realizado por meio de softwares.

No entanto, todos os profissionais da instituição são responsáveis pelos dados e devem ser conscientizados disso. A LGPD não deve permanecer apenas no âmbito jurídico e de TI: todos os profissionais precisam entender a importância das informações, os riscos que o vazamento de um dado pode causar e aprender a cuidar melhor desses dados.

Infelizmente, a maioria das pessoas não tem uma cultura de cuidado com as informações. Enviam dados sensíveis por e-mails pessoais, aplicativos de mensagem, deixam documentos expostos em mesas etc. Essas atitudes são comuns e as pessoas não percebem os riscos que oferecem. Mas isso é apenas uma questão de acesso à informação e conhecimento. A sua instituição deve investir e proporcionar treinamentos para os colaboradores e envolver as equipes no processo de adequação à lei.

Leia também: As maiores preocupações em compliance na saúde com empresas de tecnologia.

2. Definir políticas transparentes para os pacientes

A política de consentimento é um documento que o paciente deve assinar ou validar para comprovar que permite que seus dados sejam utilizados. Em geral, essas políticas são longas, com termos técnicos e informações que mais confundem o dono do dado do que informam.

A instituição de saúde deve desenvolver uma política de consentimento transparente. O que isso quer dizer? Informar exatamente como os dados serão utilizados, por quanto tempo e por quê.

A LGPD determina que as empresas não devem armazenar os dados dos usuários por um tempo além do necessário. Na área da saúde, por exemplo, a Lei nº 3.268 determina que o prontuário médico do paciente deve ser armazenado por 20 anos.

Transmitir a informação de forma clara e direta vai garantir que o paciente leia a política de consentimento e entenda antes de concordar. Além disso, vai proteger a instituição de problemas no futuro.

3. Utilizar ferramentas de controle e notificação que garantam a proteção dos dados

As ferramentas de controle de uso dos dados vão proporcionar maior segurança para a instituição. Por meio desses recursos, é possível identificar onde estão os dados — em repouso, tráfego, em bancos de dados etc. — além de determinar quais são as permissões de acesso de cada usuário.

Os recursos de permissionamento evitam que profissionais de outros setores, por exemplo, tenham acesso àquelas informações. Isso deve ser feito a partir da classificação do dado, ou seja, seu nível de sensibilidade. A partir disso, é possível definir quem terá acesso aos dados confidenciais ou extremamente confidenciais.

Sistemas de proteção contam também com recursos que criam camadas de proteção. Ou seja, o invasor terá que lidar com uma série de bloqueios para conseguir chegar até o dado. Enquanto isso, a instituição tem tempo para agir e inibir o ataque ou acesso.

O principal ponto que as instituições devem considerar antes de contratar uma ferramenta de controle é que não é o ambiente em si que precisa ser controlado. Os acessos dos usuários é que precisam ser controlados e rastreados, pois os colaboradores podem acessar as informações da instituição de qualquer lugar. A segurança do usuário precisa ser garantida.

Por outro lado, não adianta implementar as melhores ferramentas se não é possível auditar como esses recursos estão atuando. As ferramentas contratadas devem fornecer à instituição de saúde relatórios que comprovem como estão atuando para proteger as suas informações.

Saiba como reduzir custos eliminando o papel no eBook >> Paperless na saúde: tecnologias para eliminar o papel.

Pixeon lança e-Book especial sobre a LGPD nas instituições de saúde

Pensando nesses três pilares e nas demais mudanças proporcionadas pela LGPD nas instituições de saúde, a Pixeon, em parceria com a Microsoft, elaborou um e-Book especial sobre o tema. Nele você poderá saber mais detalhes sobre a lei, e ainda: