LGPD na saúde: o que você precisa saber?

LGPD na saúde: o que você precisa saber?

Yasmim Mayumi Gestão da Clínica

Leia em 14 min.

Última atualização em 24/05/2022 por Daniel Amaral

A LGPD na saúde tem como objetivo garantir a privacidade dos dados dos pacientes, que são considerados informações pessoais e sensíveis, portanto, exigem ainda mais segurança.

O livro O que estão fazendo com seus dados da OAB (Ordem dos Advogados do Brasil) enfatiza como as instituições conseguem informações valiosas com nossos dados.

Se você tem a localização do celular ativada, por exemplo, o Google sabe todos os lugares que você visitou, quais são seus restaurantes favoritos, qual é o seu perfil de compra, quem são seus amigos, assim por diante.

Dê uma olhada em um trecho do livro citado anteriormente:

“Embora seja muito útil essa utilização quase que ininterrupta da internet, seus usuários tornaram-se vulneráveis às empresas que fornecem esse tipo de serviço, pois elas passaram a deter um número massivo de seus dados.”

Esse fato por si só já comprova a importância da lei nº 13.709/2018 (Lei Geral de Proteção de Dados), principalmente para a área da saúde, que trabalha com informações sigilosas.

Continue a leitura e descubra mais sobre a LGPD na saúde!

O que é a LGPD na saúde?

A LGPD regulamenta como os dados pessoais dos cidadãos devem ser tratados no Brasil. Na saúde, a lei nº 13.709 olha com ainda mais atenção os dados pessoais e sensíveis dos pacientes.

Baseada no GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia, a LGPD foi sancionada em 2018 e teve o início de sua vigência em agosto de 2020.

“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Seus principais fundamentos são:

  1. O respeito à privacidade;
  2. A autodeterminação informativa; 
  3. A liberdade de expressão, de informação, de comunicação e de opinião; 
  4. A inviabilidade da intimidade, da honra e da imagem; 
  5. O desenvolvimento econômico e tecnológico e a inovação; 
  6. A livre iniciativa, a livre concorrência e a defesa do consumidor
  7. Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A LGPD entra em vigor em três cenários:

  • Quando os dados pessoais são de pessoas localizadas no Brasil;
  • As informações são tratadas em território nacional;
  • ofertas de serviços ou bens para pessoas que estão no Brasil.

Ou seja, ela não entra em vigor quando as informações têm origem em outros países, casos de uso não comercial, segurança pública e fins acadêmicos e jornalísticos. 

É essencial lembrar que os dados pessoais são as informações que permitem a identificação de uma pessoa, como nome, endereço, CPF e dados sobre a saúde (chamados de dados pessoais sensíveis). 

O termo “tratamento de dados pessoais” se refere às ações realizadas com essas informações, seja coleta, transmissão, acesso, registro, comunicação, assim por diante. 

Os médicos, por exemplo, tratam diretamente os dados pessoais sensíveis dos pacientes apenas ao registrar no prontuário, seja ele de papel ou eletrônico.

Assista nosso vídeo sobre segurança de dados de pacientes para complementar seu estudo:

Como a LGPD funciona na prática?

Compreender a lei pode ser muito complexo sem entender a nomenclatura, por isso, separamos os termos que você deve conhecer para entender seu funcionamento:

  • Titular: pessoa física, dona dos dados pessoais. Na área da saúde, seria o paciente; 
  • Controlador: pessoa física ou jurídica, responsável por coletar os dados pessoais e controlar todo o tratamento dos dados (quem irá acessar, por quanto tempo, de quais formas), como o médico dono da clínica;
  • Operador: pessoa física ou jurídica que realiza o tratamento de dados e segue as diretrizes do controlador, como a equipe de colaboradores do consultório;
  • Encarregado: pessoa física ou jurídica, nomeada pelo controlador. É responsável pela comunicação entre o controlador e as autoridades, como a ANPD (Autoridade Nacional de Proteção de Dados), que fiscaliza o cumprimento da LGPD.

Os dados pessoais são separados em quatro categorias: 

  • Dados pessoais: qualquer informação que permita a identificação do titular, como RG, CPF, telefone, e-mail, localização e nome. 
  • Dados sensíveis: são pessoais e falam sobre origem racial ou étnica, religião, opinião política, informações sobre saúde, dado biométrico, entre outros. Eles devem ter uma proteção ainda mais rigorosa que os dados pessoais comuns; 
  • Dados anonimizados: informações que não permitem a identificação do titular, como estatísticas de uma pesquisa, sendo assim não protegidas pela LGPD;
  • Dados pseudo-anonimizados: são dados que podem identificar o titular, diferente dos dados anonimizados, caso uma informação adicional seja mantida de forma segura pelo controlador. No caso de uma pesquisa, por exemplo, ao invés de ser realizada de forma anônima, o controlador pode ter em um ambiente separado, as pessoas que responderam a pesquisa. A LGPD incentiva os dados pseudo-anonimizados porque eles são incluídos em sua proteção legal. 

Para tratar os dados pessoais e sensíveis, os profissionais de saúde devem seguir as bases legais da LGPD, como o consentimento e a transparência. 

Contexto histórico da LGPD no Brasil

O projeto de lei foi discutido ao longo de muitos anos no país, entretanto, em julho de 2018 a LGPD entrou em pauta no Senado em caráter de urgência, sendo sancionada no dia 14 de agosto pelo presidente.

A discussão foi acelerada após o caso das eleições dos Estados Unidos em 2016. 

A empresa Cambrigde Analytica, responsável pela campanha de Donald Trump, foi acusada de coletar dados privados de 87 milhões de usuários do Facebook para os interesses da campanha eleitoral.

O responsável pela rede social, Mark Zuckerberg, foi convocado ao Senado estadunidense e, na época, admitiu que o Facebook tinha falhas de segurança de dados.

Esse acontecimento foi similar ao vazamento de dados de pacientes com cadastro no Cartão Nacional de Saúde em 2017 no Brasil. 

120 milhões de usuários foram prejudicados e informações como nome, CPF, RG, dados de saúde, entre outros, supostamente foram enviados para uma empresa norte-americana.

Dê uma olhada nesta breve linha do tempo da LGPD no Brasil para entender mais sobre seu contexto histórico:

  • 2011Lei 12.527 de Acesso à Informação: lançada menos de um ano após o lançamento da Declaração Universal dos Direitos Humanos, a Lei de Acesso à Informação visa promover a transparência das informações de posse do poder público;
  • 2012Lei 12.737 Carolina Dieckmann: em 2011, um hacker invadiu o computador da atriz Carolina Dieckmann, roubou 36 fotos pessoais e exigiu R$ 10 mil para não publicar as fotos. A atriz se recusou a pagar e teve suas fotos divulgadas na internet. Em 2012, foi criada a Lei Carolina Dieckmann para criminalizar a invasão de aparelhos eletrônicos;
  • 2014Lei 12.965 Marco Civil da Internet: o Marco Civil reforça o direito à privacidade, mas ainda não garante a proteção de dados como a LGPD propõe atualmente;
  • 2018Lei 13.709 Proteção de Dados: a LGPD é sancionada e é prevista para entrar em vigor 18 meses após sua publicação, em fevereiro de 2020. Porém, com a autorização da criação da ANPD em 2019, o prazo de vigência aumenta para 24 meses (agosto de 2020). As multas e sanções da LGPD começam a valer a partir de 1º de agosto de 2021.

Baixe gratuitamente nosso eBook sobre LGPD na saúde para ter um conteúdo completo e acessível de qualquer lugar:

eBook Gratuito: LGPD na saúde, aprenda como seguir todas as exigências e se adequar!

Punições da LGPD

Os agentes de tratamento (controlador, operador e encarregado) que violarem as normas da LGPD podem responder legalmente à ANPD (Autoridade Nacional de Proteção de Dados). 

Veja a seguir as principais punições da lei: 

  • Advertência: os agentes de tratamento receberão um prazo para corrigirem as infrações cometidas;
  • Multa simples: os agentes de tratamento podem receber uma multa de até 2% do faturamento da empresa/pessoa jurídica no ano anterior, e limitada no total de R$50.000.000,00 por infração;
  • Multa diária: obedece o mesmo limite de R$50.000.000,00;
  • Publicização da infração: transferência da gestão de serviços para o setor público não-estatal, ou seja, o Estado passa a ter direito sobre o privado, incluindo a autonomia administrativa e financeira da empresa;
  • Bloqueio dos dados pessoais do paciente ou responsável: devido a infração cometida, podendo ser desbloqueado até que a regularização seja feita; 
  • Eliminação dos dados pessoais do paciente ou responsável: referentes a infração cometida. 

É importante ressaltar que dados utilizados para fins não econômicos, jornalísticos e acadêmicos, assim como informações coletadas por agentes da segurança pública ou da defesa nacional, não estão sujeitos às punições da LGPD. 

As multas da LGPD podem ter um valor exorbitante por infração, e ações como publicização da infração podem manchar a imagem de um profissional de saúde para sempre. 

Por isso, reforçamos aqui a importância de se preparar para a LGPD e contar com a ajuda de especialistas e ferramentas seguras, desenvolvidas para a área da saúde, como os softwares médicos.

Leis de segurança de dados em outros países

A GDPR (General Data Protection Regulation) foi a primeira lei de regulamentação e proteção de dados, implementada pela União Europeia. 

Ela se tornou uma referência mundial por estabelecer que as empresas devem informar seus usuários sobre a finalidade da coleta de dados pessoais e como eles serão tratados.

A LGPD foi baseada na GDPR, portanto, apresenta muitos pontos em comuns, como a possibilidade de uma pessoa solicitar a exclusão de seus dados de um sistema quando quiser. 

O Estado da Califórnia, nos Estados, também criou uma lei inspirada na GDPR, a CCPA (Consumer Privacy Act), também conhecida como Lei de Privacidade dos Consumidores da Califórnia

Impactos da LGPD na saúde: o que muda?

Os médicos e demais profissionais de saúde sempre tiveram cuidado e atenção com as informações dos pacientes. Afinal, elas são essenciais para acompanhar a evolução do tratamento e chegar a um diagnóstico.

O que muda com a chegada da LGPD é a forma como os dados pessoais são tratados e o aumento da transparência por parte das instituições.

As informações dos pacientes são coletadas e armazenadas com suas autorizações e consentimentos. Por isso, o ideal é explicar como elas são guardadas, quem tem acesso e o nível de acessibilidade.

Um prontuário de papel, por exemplo, pode ser acessado por qualquer profissional e é facilmente perdido em acidentes como derramamento de líquidos. 

Um prontuário eletrônico centraliza os dados pessoais e sensíveis do paciente em um único local, é acessível de qualquer lugar e apenas por profissionais de saúde autorizados.

Ao explicar para o seu paciente como a segurança de dados funciona na sua clínica, é fundamental contar com ferramentas seguras, como um software médico que tenha o prontuário eletrônico.

Está interessado em obter essa ferramenta para sua clínica? Baixe nosso guia gratuito:

Conteúdo VIP: Guia DEFINITIVO para escolher um prontuário eletrônico

Para entender mais sobre as mudanças provocadas pela LGPD, leia a seguir quais são os direitos dos pacientes.

Direitos dos pacientes

Os direitos se referem aos titulares dos dados, seus pacientes. Entretanto, lembre-se que em casos de crianças ou adolescentes, como na pediatria, o titular passa a ser o responsável legal.

Veja a seguir quais são os direitos previstos na LGPD.

  • Confirmar que seus dados pessoais estão sendo acessados, armazenados e tratados;
  • Ter livre acesso aos dados de forma rápida e gratuita;
  • Corrigir dados incompletos, errados ou desatualizados;
  • Eliminar, bloquear ou anonimizar dados desnecessários, excessivos ou que não foram tratados da forma correta, segundo a LGPD;
  • Transferir suas informações para outro profissional ou fornecedor de serviço;
  • Saber quem teve acesso aos seus dados pessoais, como entidades públicas e privadas;
  • Ser esclarecido sobre os próximos passos, caso ele não concorde com o tratamento dos seus dados. Um paciente, por exemplo, pode não concordar com as informações sendo salvas em um prontuário de papel;
  • Revogar o consentimento dado anteriormente a qualquer momento;
  • Opor-se ao tratamento de informações realizado, caso não esteja em conformidade com a LGPD.

3 principais vantagens da LGPD na saúde para médicos

A LGPD não se trata apenas de aumentar a segurança das informações. Ela também provoca mudanças positivas na área da saúde, principalmente para médicos empreendedores.

Dê uma olhada em seus principais benefícios:

1. Melhora na gestão da clínica

Vamos supor que você seja um médico que cuida de pacientes há mais de 10 anos. Quantas informações foram acumuladas ao longo do tempo? Será que todas elas ainda são necessárias?

Na Medicina, os prontuários dos pacientes devem ser guardados por pelo menos 20 anos a partir do último registro, o que para muitos médicos significa ter várias salas de arquivo apenas para armazená-los.

Com o uso do prontuário eletrônico, hoje as clínicas podem guardar mais dados médicos sem ocupar nenhum espaço físico, ao mesmo tempo que economizam recursos e aumentam a segurança de armazenamento.

A LGPD também orienta as instituições a eliminar informações desnecessárias, que não estão atualizadas ou não serão mais usadas. Portanto, seus registros ficarão mais organizados.

Conheça mais vantagens no nosso vídeo sobre LGPD:

2. Aumento do respaldo jurídico em relação à segurança dos dados

Como a Medicina lida diretamente com vidas, é sempre recomendado que os profissionais mantenham um registro atualizado no prontuário dos pacientes.

Afinal, qualquer acidente ou mal-entendido pode significar um grave problema para sua carreira.

A partir do momento que você conta com medidas de segurança de alta qualidade, como aquelas previstas na LGPD e presentes em softwares médicos, você aumenta seu respaldo jurídico.

Um prontuário eletrônico preocupado com a LGPD, por exemplo, impossibilita alteração das informações registradas durante a consulta após a finalização do atendimento.

Assim, você tem uma comprovação de que seus registros não podem ser alterados, uma ótima vantagem para sua segurança jurídica.

3. Relacionamento médico-paciente mais transparente 

Você consegue manter contato com os pacientes que não têm retorno marcado na clínica?

Criar um relacionamento próximo e duradouro com os pacientes é um desafio para os médicos que precisam realizar consultas e gerir uma empresa.

Com a chegada da LGPD, uma boa prática essencial é entrar em contato com os pacientes para avisar quais medidas de segurança serão implementadas e como a clínica garante a proteção das informações.

Esse simples contato vai assegurar mais transparência na relação médico-paciente, o que com certeza impacta diretamente na fidelização.

Como seguir a LGPD na saúde e garantir a segurança dos dados dos pacientes?

Entender como a LGPD na saúde funciona é um grande desafio, seguir suas normas com agilidade e precisão é um desafio ainda maior. Para te ajudar, separamos todos os passos que você precisa seguir:

1. Estude sobre a LGPD

O primeiro passo para começar qualquer mudança ou projeto é o estudo, e tenho certeza que você, melhor do que ninguém, sabe disso. 

Mesmo que você conte com a ajuda de advogados, é essencial conhecer os princípios básicos da lei, já que você vai lidar diretamente com os dados dos pacientes.

Após terminar seus estudos, continue acompanhando as notícias para verificar por quais mudanças a lei pode passar. 

Inscreva-se na nossa newsletter para não perder nenhuma novidade:

Cadastre-se na Newsletter do iClinic

2. Mapeie seu processo de tratamento de dados

Como os dados são coletados na sua clínica? Qual é o volume? Quem é o responsável por eles? Por qual razão legal eles serão armazenados? Até quando eles serão armazenados?

As respostas dessas perguntas devem estar “na ponta da língua”, porque isso significa que você sabe como os dados são tratados na sua empresa e conseguirá relatar para a Autoridade Nacional de Proteção de Dados.

Uma boa dica é criar um comitê de compliance com todos que tratam os dados para mapear como esse processo é feito.

O comitê servirá para deixar sua empresa em conformidade com as leis e normas dos órgãos regulamentadores.

3. Identifique os riscos de segurança

Após determinar toda a jornada dos dados pessoais, é hora de identificar quais aspectos apresentam riscos de infração, como risco à privacidade, consentimento, armazenamento seguro, fins legítimos, entre outros. 

Se você identifica que os profissionais da recepção têm acesso fácil ao prontuário dos pacientes, por exemplo, esse é um grande risco de tratamento por se tratarem de informações sensíveis e sigilosas.

4. Elabore o relatório de impacto

O relatório de impacto é um documento, normalmente elaborado pelo controlador, em que todo o processo de tratamento de dados pessoais está detalhadamente descrito. 

O relatório deve incluir: 

  • Descrição das operações de tratamento de dados: mostrar de forma clara como as informações são coletadas, armazenadas e utilizadas;
  • Mapeamento de riscos de tratamento: apresentar quais são os possíveis riscos de tratamento, e quais medidas de segurança serão tomadas para precavê-los;
  • Descrição das medidas de segurança adotadas: de forma geral, também é necessário mostrar todas as medidas preventivas que irão garantir a proteção dos dados pessoais.

5. Treine sua equipe para a LGPD

Como os profissionais da recepção coletam os dados dos pacientes? Eles passam informações sigilosas por WhatsApp? Deixam senhas anotadas em bilhetes?

Para garantir que as informações armazenadas na clínica estão seguras, é preciso educar a equipe de colaboradores sobre o que é a LGPD e como proteger seus dados.

Imagine que um recepcionista tenha recebido um e-mail falso de uma pessoa mal-intencionada. Ao clicar em um link desconhecido, infectou o computador da clínica.

Como o software médico estava instalado no computador, os dados foram roubados e perdidos completamente.

Infelizmente esse cenário é muito comum na área da saúde. Por isso, é fundamental dizer aos colaboradores para sempre verificarem as fontes das informações, e-mails e mensagens.

Ao mostrar a importância da LGPD e da segurança das informações, tenho certeza que sua equipe vai usar esse conhecimento em suas vidas pessoais.

Compartilhe este vídeo com os colaboradores para começar o treinamento:

6. Nomeie um DPO (Encarregado)

DPO (Data Protection Officer), em português, Encarregado pela Proteção de Dados, é a ponte de comunicação entre seu consultório e os órgãos regularizadores, como a Agência Nacional de Proteção de Dados. 

Suas responsabilidades são:

  • Atender aos titulares (pacientes, responsáveis legais pelos dados) e prestar esclarecimentos sobre o tratamento de dados, assim como tomar novas medidas de segurança, caso seja necessário;
  • Atender a Autoridade Nacional de Proteção de Dados e realizar alterações no tratamento de dados, quando exigido, além de comunicar qualquer infração cometida;
  • Assegurar que os dados estão sendo tratados da forma correta

O encarregado também deve executar demais tarefas que o controlador (responsável por coletar e tratar os dados) ache necessário e ter conhecimento jurídico sobre proteção de dados. 

Se ninguém da sua equipe possui especialização, provavelmente será necessário terceirizar esse serviço por meio de um especialista, como um advogado.

7. Utilize apenas plataformas que seguem a LGPD

Ao coletar e armazenar dados sensíveis, é essencial utilizar apenas plataformas que são desenvolvidas exclusivamente para a área da saúde

Imagine que ao realizar um atendimento a distância, você tenha utilizado o Skype e anotado as informações no chat. 

Qualquer pessoa que tem acesso ao seu dispositivo ou qualquer invasão pode fazer com que a gravação da consulta e as informações sejam vistas por terceiros, e pior, compartilhadas na internet. 

Por isso, a solução ideal para os profissionais de saúde são os softwares médicos armazenados na nuvem

Além de terem funcionalidades como prontuário eletrônico, agenda médica, prescrição, Teleconsulta e controle financeiro, eles garantem que seus dados não sejam perdidos ou compartilhados com terceiros.

Vários passos são necessários para seguir a LGPD na saúde, não concorda? 

Principais dúvidas sobre a LGPD na saúde

Você aprendeu o que é a LGPD, como ela funciona, quais são seus impactos e como segui-la. Para garantir que nenhuma dúvida ficou para trás, vamos esclarecer as dúvidas mais recorrentes sobre o assunto.

1. O que é tratamento irregular?

O tratamento irregular é caracterizado pela ausência da segurança necessária exigida pela LGPD.

Ao infringir alguma diretriz ou recomendação, você pode receber uma advertência, até mesmo uma multa, pelo tratamento irregular dos dados dos seus pacientes. 

Você pode responder legalmente por um tratamento irregular mesmo quando não está mais tratando os dados de um paciente, desde que se prove que esse tratamento foi realizado de forma errada.

2. O que é incidente de segurança?

O incidente de segurança pode significar qualquer risco ou dano no tratamento dos dados dos titulares, e o profissional de saúde deve tomar algumas providências, como:

  • Reportar o incidente à Autoridade Nacional de Proteção de Dados;
  • Detalhar como e quando ele aconteceu;
  • Notificar os titulares;
  • Executar todas as medidas de segurança necessárias para reverter ou diminuir o incidente;
  • Caso o incidente não seja reportado imediatamente, apresentar a justificativa da demora;
  • Responder a qualquer punição legal da LGPD.

3. O que é a ANPD?

A ANPD é um dos órgãos regularizadores federais, e está vinculada diretamente à presidência da república. 

Ela é composta por um conselho diretor (formado por 5 membros), indicados pelo Conselho Nacional de Proteção de Dados e Privacidade (composto por 23 membros), por uma Corregedoria e uma Ouvidoria. 

A Autoridade Nacional de Proteção de Dados também tem seu próprio órgão de aconselhamento jurídico, que funciona como um consultor para que as empresas consigam adotar as melhores medidas de segurança.

Entre as principais responsabilidades da ANPD, podemos citar: 

  • Editar as diretrizes sobre a proteção de dados pessoais, quando necessário;
  • Pedir informações, a qualquer momento, aos agentes de tratamento de dados pessoais;
  • Fiscalizar e aplicar sanções caso ocorra algum tratamento irregular ou incidente relacionado à segurança;
  • Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países;
  • Editar as diretrizes para facilitar a adequação à LGPD para as pequenas empresas.

4. Os dados criptografados são anonimizados?

Não! 

A criptografia impede acesso de terceiros, enquanto a anonimização é um processo no qual um dado pessoal é adicionado a um conjunto de dados, de forma que não é mais possível identificar uma pessoa

Portanto, a criptografia é apenas uma medida de segurança necessária para a proteção dos dados pessoais, mas não torna nenhuma informação anônima.

5. Trabalho sozinho e não tenho recepcionista, como faço?

Se você trabalha sozinho e é o único que coleta, armazena e lida com os dados pessoais dos pacientes, você pode desempenhar o papel de mais de um agente de tratamento de dados. 

Em uma única clínica uma mesma pessoa pode desempenhar diferentes papéis na LGPD, principalmente no caso dos médicos empreendedores, que cuidam dos pacientes e fazem a gestão do negócio. 

Porém, como comentamos anteriormente, o encarregado, também conhecido como DPO, deve ter um bom conhecimento sobre a LGPD e o direito médico. 

Além de que vários processos, como o próprio mapeamento de tratamento de dados, devem ser feitos de forma completa e detalhada. 

Por isso, é importante contar com a ajuda de profissionais especializados, especialmente quando você é o único responsável pelo tratamento de dados dos pacientes.

Ao longo do conteúdo nós enfatizamos a importância de atualizar seu conhecimento e contar com a ajuda de ferramentas seguras que vão te ajudar a seguir a LGPD na saúde.

Se você ainda não tem um sistema médico na nuvem e está em dúvida se deve ou não contratá-lo, baixe gratuitamente nossa checklist:

Checklist Grátis: Descubra se seu consultório está precisando de um Sistema em Nuvem. Clique aqui e baixe nossa checklist!

Tenho certeza que esse material vai te ajudar a descobrir se um software médico de qualidade é a solução ideal para sua clínica.

Espero que este conteúdo tenha te ajudado a entender mais sobre a LGPD. Não deixe de olhar outros artigos que temos no blog! 🙂


Sobre o autor

Yasmim Mayumi

Especialista em Marketing de Conteúdo, atua como analista de conteúdo há mais de 3 anos na iClinic. Graduanda em Letras - Licenciatura em Inglês e Português na Barão de Mauá em Ribeirão Preto.