LGPD: o que é e qual seu impacto na área da saúde?
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD já vinha sendo discutida no Brasil desde o ano de 2010, e o assunto proteção de dados ganhou destaque quando em 2016, a empresa Cambridge Analytica utilizou dados de usuários da rede social Facebook, tendo por finalidade realizar uma campanha política personalizada e mais precisa na eleição de Donald Trump.
Devido ao grande número de dados gerados constantemente, diversos países como o Japão, Estados Unidos, Argentina e membros da União Europeia acabaram criando legislações específicas que regulamentam a proteção de dados.
A LGPD muito se assemelha à GDPR (General Data Protection Regulation), Lei que regulamenta a proteção de dados de todos os países que pertencem à União Europeia. A LGPD demanda que empresas e órgãos públicos mudem a forma de coletar, armazenar e usar os dados das pessoas. Na área da saúde, o impacto pode ser grande para aqueles que não se adequarem à Lei.
Sobre a LGPD
Conforme o Art. 2º da LGPD, alguns dos fundamentos da disciplina da proteção de dados pessoais são o respeito à privacidade e a inviolabilidade da intimidade, da honra e da imagem. A Lei visa proteger três tipos de dados:
- Dado pessoal - informação relacionada a pessoa natural identificada ou identificável. Em outras palavras, são informações gerais relacionadas à vida da pessoa, como por exemplo endereço, data de nascimento, profissão, etc.
- Dado pessoal sensível - dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Ou seja, trata-se de informações que apresentam um caráter mais pessoal e privado sobre a vida íntima do usuário.
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Estes dados, por sua vez, são utilizados apenas em casos bem específicos.
O conjunto estruturado desses dados pessoais é chamado banco de dados, sendo o paciente o titular destes dados pessoais. Ele pode ser estabelecido em um ou vários locais, de forma eletrônica ou física. Isso significa que não somente os softwares devem se adequar à Lei: clínicas que ainda possuem prontuários em papel deverão se precaver para que estes dados não caiam em mãos erradas.
As clínicas que não se adequarem aos padrões impostos pela LGPD estarão sujeitas à punição que pode ser desde uma advertência, com indicação de prazo para adoção de medidas corretivas, até o pagamento de multas. Essas multas poderão ser simples, de até 2% do faturamento da clínica, mas podem alcançar o limite de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, ou em alguns casos mais graves, a clínica poderá ter suas atividades suspensas.
Quais são os principais problemas relacionados à segurança e privacidade em clínicas, consultórios, hospitais e ambientes de saúde?
Tanto para quem usa o prontuário em papel, quanto para quem já faz uso de software de gestão, existem problemas que envolvem a privacidade e segurança de dados dos pacientes. A primeira que podemos citar, é o fato de secretárias, administradores e profissionais fora da equipe de saúde terem acesso aos prontuários, o que é uma prática ilegal.
Profissionais de saúde podem solicitar à secretária alguma informação do paciente antes de iniciar o atendimento, mas quando se trata de um dado pessoal sensível (como uma informação sobre sua saúde, que pode ser encontrada em seu prontuário), torna-se uma prática ilícita. Nos casos em que ainda há a utilização do papel, ainda que a secretária apenas transporte o prontuário do paciente de uma sala para outra, já torna-se algo ilegal, pelo simples fato de estar com um documento em mãos que deve ser manuseado apenas pelo profissional de saúde.
Outra atividade corriqueira, é o fato de a secretária utilizar o carimbo do profissional de saúde e até mesmo assinar em seu nome quando ele não encontra-se na clínica ou está ocupado com outro paciente. Isso pode ocorrer em documentos como atestados, declarações de comparecimento, e até mesmo em prescrições de medicamentos, o que é totalmente proibido.
Ainda em relação às secretárias, outro ponto que muito se tem visto são as indicações de medicamentos via telefone feitas por elas. É importante lembrar que somente um profissional qualificado pode prescrever medicamentos e somente ele saberá qual a melhor opção para o paciente.
Com relação ao uso de softwares, existe um problema ligado ao login de usuários: em alguns casos, é utilizada apenas uma senha para várias pessoas acessarem o sistema. Algumas empresas de tecnologia fazem suas cobranças baseadas na quantidade de usuários cadastrados, e por esse motivo, em clínicas e hospitais é de costume uma mesma senha ser utilizada por mais de 10 enfermeiras, por exemplo.
Com o software da Ninsaúde, o Apolo, o cliente pode cadastrar quantos usuários e profissionais de saúde que ele desejar, evitando esse tipo de problema. Entretanto, é importante saber que ainda assim o usuário pode agir de forma errônea, por conta própria.
Antes de continuarmos, precisamos saber: você já utiliza um software médico seguro para realizar seus atendimentos? Convidamos você a conhecer o Ninsaúde Apolo, software online que pode ser utilizado em um tablet, smartphone ou da forma tradicional, em computadores. Saiba mais em nosso site apolo.app.
Quais medidas devem ser tomadas?
Para que os riscos sejam minimizados a fim de evitar penalidades, uma das primeiras medidas a se tomar, é abandonar o prontuário de papel. Por lei, os prontuários convencionais devem ser guardados por no mínimo vinte anos, contando a partir da data do último registro de atendimento do paciente.
Entretanto, um dos maiores problemas do papel, é que ele poderá sofrer alterações com o passar do tempo, tornando os documentos ilegíveis ou até mesmo acarretando em sua perda total, como em casos de enchentes, incêndios ou ciclones. A conservação de documentos em papel envolve três premissas: preservação, proteção e manutenção, e para mantê-los intactos é necessário protegê-los da ação de cinco tipos de agentes que podem danificá-los, sendo eles:
- Agentes físicos: luminosidade, temperatura e umidade são agentes que podem danificar facilmente seus prontuários feitos em papel. A luz é um dos fatores mais agravantes no processo de degradação dos materiais bibliográficos, enquanto a temperatura pode deteriorar o documento mesmo que as condições de conservação sejam boas, assim como a umidade em excesso, que pode facilmente danificá-lo.
- Agentes químicos: a acidez do papel, quando encontrada em índices elevados pode diminuir seu tempo de vida, e ainda mais quando combinada a fatores como altas temperaturas e uma grande variação da umidade relativa do ar. A poluição atmosférica também é uma das principais causas da degradação química do papel. É importante saber que a tinta, um dos compostos mais importantes na documentação, também pode sofrer alterações com o passar do tempo.
- Agentes biológicos: insetos, fungos e roedores podem provocar graves danos a prontuários de papel. A maioria dos fungos produz pigmentos que mancham o papel, enquanto que os principais insetos causadores de avarias são as brocas e carunchos, traças, cupins e barata.
- Agentes ambientais: a má ventilação juntamente com a poeira propiciam o surgimento de agentes biológicos sobre materiais gráficos, o que pode resultar em sua danificação.
- Agentes humanos: além do fato de tais documentos poderem cair em mãos de pessoas não autorizadas, o seu manuseio inadequado, como por exemplo estar com as mãos sujas ou comendo enquanto os consulta, gordura e suor nas mãos, são alguns dos fatores de deterioração.
Agora que já sabemos quais os riscos de utilizar o prontuário em papel, vamos destacar a seguir algumas medidas cabíveis no que diz respeito aos prontuários eletrônicos.
Controle de acesso
Apesar de todos esses registros ficarem em posse do profissional de saúde em seu local de atendimento (clínica, consultório, hospital, etc.), tal documento pertence ao paciente, e o estabelecimento deve fornece-lo ao mesmo sempre que necessário, pois é garantido por lei que qualquer cidadão tem o direito ao acesso de todo e qualquer dado a seu respeito.
Sendo assim, o compartilhamento do prontuário ou cópias dele só podem ser fornecidas mediante autorização do paciente, portanto o software médico em que estarão armazenadas tais informações deverá conter um rígido controle de acesso.
O primeiro controle de acesso que um software deve ter, é por meio de senhas. Cada uma das pessoas que utilizar o software, deverá ter seu acesso controlado através de uma senha por usuário. No software Ninsaúde Apolo, além de uma senha e nome de usuário, é necessário que o indivíduo preencha o campo "conta", que diz respeito ao cadastro do estabelecimento junto à Ninsaúde, o que aumenta consideravelmente a segurança dos dados. Você pode saber mais sobre o assunto em nosso artigo onde falamos sobre a importância de senhas bem elaboradas.
Após habilitar o acesso desses usuários por meio de senhas, no Ninsaúde Apolo também é possível que o administrador do software limite as telas que determinados usuários irão utilizar. Essa ação evita não só que um usuário não autorizado visualize informações financeiras da clínica por exemplo, como também evita o acesso aos dados do paciente, que são restritos somente aos profissionais de saúde. Essa restrição de telas pode ser feita através de grupos de usuários.
Se tratando de profissionais de saúde, em alguns casos como na cirurgia bariátrica por exemplo (que é um tipo de procedimento médico que necessita ser acompanhado por uma equipe multiprofissional de saúde), cada profissional irá contribuir de alguma forma para a preparação e recuperação do paciente, portanto todos os envolvidos devem compartilhar informações médicas sobre o paciente.
Neste caso, o software pode habilitar a criação de grupos de profissionais, onde somente profissionais que estejam naquele grupo poderão ter acesso às informações do paciente em questão, desde que o mesmo tenha autorizado.
Criptografia de dados
A criptografia de dados é um processo que busca eliminar as chances de terceiros obterem acesso a dados. A criptografia de dados estáticos e móveis é de suma importância e difícil de ser implementada, por esse motivo já foi considerada um grande desafio tecnológico para algumas empresas, e continua sendo para outras.
Em relação à utilização de um software, a criptografia de dados pode estar presente em várias etapas: armazenamento de informações, comunicação interna, comunicação entre a aplicação e o servidor de dados, login de usuários e pagamentos online.
Nos softwares em nuvem (como o Ninsaúde Apolo), quando o URL da página da web começa com "https", isso indica que seus dados serão criptografados e transferidos por meio de um protocolo seguro. Também há a presença de um ícone de cadeado, geralmente no canto esquerdo do navegador, o que indica que suas informações permanecem privadas quando enviadas para esse site.
No Ninsaúde Apolo os dados são criptografados automaticamente antes da gravação no disco. Cada chave de criptografia é criptografada com um conjunto de chaves mestras. As políticas de chaves e criptografias são gerenciadas do mesmo modo, na mesma keystore, que os serviços de produção do Google. Nesse mesmo sentido, também há a criptografia em movimento. Os dados em movimento são criptografados com certificado SSL 2048 bits que muda suas chaves a cada três meses.
Outro detalhe é que trabalhamos com segurança ponta a ponta e criptografia de qualidade Grade A, que protege os dados em trânsito das principais vulnerabilidades da internet. Além disso, o Ninsaúde Apolo utiliza mais de 30 datacenters espalhados pela América do Sul, América do Norte, Europa, Ásia e Pacífico, e com essa distribuição, absorvemos ataques distribuídos. E para finalizar, nossa infraestrutura tem certificação de conformidade com diversos padrões e controles, além de passar por auditorias independentes de terceiros para testar a proteção, privacidade e segurança dos dados.
Agora que você já sabe como proteger os dados de seus pacientes com o Ninsaúde Apolo, sua clínica também poderá estar em maior segurança. Caso você ainda não seja um usuário do software, entre em contato através do site Apolo.app e saiba mais.