LGPD é a sigla para a Lei Geral de Proteção de Dados – também conhecida como Lei nº 13.709/2018. Refere-se a um regulamento que mudou a forma na qual empresas e instituições obtêm dados, sejam dados de pacientes, funcionários ou stakeholders em geral, já sabia disso?
Se você busca saber mais sobre a LGPD, além das mudanças que essa lei trouxe para o segmento da saúde, basta continuar a leitura!
O que é LGPD? Qual a relação com os dados pessoais?
Existem várias leis e regulamentações no Brasil, mas poucas falam sobre a coleta ou tratamento de dados pessoais, principalmente no âmbito online.
E como consequência, vários problemas voltados ao vazamento de dados pessoais têm ocorrido, sempre pelo:
Uso indevido de dados;
Falhas na privacidade do sistema; ou
Falta de segurança no âmbito online/físico.
Tendo isso em vista, como garantir que uma unidade de saúde esteja segura?
Ao mencionar a palavra segurança, muitos lembram da Avaliação ONA e até mesmo das 6 Metas Internacionais de Segurança do Paciente, que são:
Contudo, fora as metas de segurança do paciente... E quando falamos na segurança da informação? Sua instituição se garante nos cuidados com os dados pessoais dos pacientes?
A LGPD é uma lei que foi regulamentada pensando nessas questões! Busca assegurar a execução de boas práticas ao utilizar dados, tratá-los, e compartilhar informações - sejam eles dados externos, provenientes de pacientes, ou internos, vindos de colaboradores.
Os formulários de cadastro e dados pessoais dos colaboradores, por exemplo, precisam estar inclusos no seu Planejamento de Segurança da Informação. Mas antes disso é importante pensar no fluxo de informação da sua unidade, uma ação que incluirá análises sobre todos os processos que ocorrem no local: desde o atendimento até uma consulta e prestação de serviços.
Para pensar neste fluxo, visualize os processos que ocorrem no seu local de trabalho e pergunte: quais dados são recebidos na recepção? O que é feito com eles? Quem os recebe? Onde ficam registrados? Quem tem acesso?
É imprescindível pensar nos dados pessoais de pacientes e colaboradores, assim como nos processos e pessoas que geram os documentos, mensagens ou informações para outros departamentos. Não se limite aos dados físicos de formulários, mas também àqueles que estão dispostos em sistemas e softwares.
Para se adequar diante da LGPD, essas são apenas algumas das atitudes que os Gestores devem colocar em pauta nas organizações a fim de evitar riscos futuros. E quando falamos em riscos ou ameaças, é possível evitá-los! Sabe como?
Temos 2 dicas iniciais: para se prevenir, não esqueça de considerar a Matriz SWOT no planejamento estratégico e, quanto à segurança da informação, uma boa ideia seria elaborar a Matriz de Riscos:
- Matriz SWOT: mostra as forças, fraquezas, ameaças e oportunidades do seu negócio. Antes de preenchê-la é ideal ter em mente que as forças e fraquezas são itens internos, enquanto as duas restantes são referentes a ocorrências externas.
- Matriz de Riscos: analisa a probabilidade de algo ocorrer e o impacto que isso teria em sua empresa. Exemplo: a probabilidade de ocorrer um temporal e danificar os servidores da equipe de TI; as chances do sistema de ERP ser hackeado e acontecer um vazamento de dados no hospital, para pessoas com más intenções, etc.
De volta à LGPD: como começo a busca pela segurança da informação?
O primeiro passo para se adequar à Lei Geral de Proteção de Dados é criar iniciativas de sensibilização sobre Segurança da Informação. Com essa ação o intuito será incentivar a elaboração de métodos que garantam integridade, confiabilidade e disponibilidade dos ativos de informações que envolvem seu local de trabalho.
Em outras palavras, os vazamentos de dados estão fora de cogitação no âmbito da saúde, haja vista que podem prejudicar a reputação da empresa em que ocorreu, gerar insatisfação nos clientes, afetando o índice NPS do seu local de trabalho, dentre outros malefícios. Desse modo, para que saiba como se adequar à LGPD, iremos apresentar um passo-a-passo com o básico da LGPD para sua unidade de saúde.
*Obs.: os passos a seguir foram mencionados em nossa Live sobre LGPD, com participação de Natanrry e Lucas Marques.
Passo 1: mapeie os dados da sua unidade de saúde
Para mapear os dados e saber de onde eles vêm torna-se essencial fazer o mapeamento de fluxo de valor e dos processos que ocorrem na sua unidade de saúde. Somente desse modo será possível visualizar as atividades que são executadas no local.
Ao realizar o mapeamento, poderá visualizar o momento em que os dados pessoais do paciente são coletados - seja para colocar no prontuário ou identificá-lo - e depois armazenados, quando ficarão disponíveis no sistema para fins de registro e/ou acompanhamento.
Dentro do mapeamento de dados, é importante:
Entender os processos aos quais fazem parte;
Conhecer o fluxo/jornada dos dados na sua unidade de saúde;
Mapear seus ativos, como sistemas e softwares onde estão os dados;
Elaborar uma matriz de risco;
Criar um plano de ação e política de segurança no local de trabalho.
Esses dois últimos tópicos podem ser considerados como novos passos, após o mapeamento de dados. O essencial é encerrar com a elaboração de um plano de ação, como falaremos a seguir.
Passo 2: crie um plano de ação e políticas de segurança
O plano de ação irá garantir a boa execução das iniciativas de segurança no local, assim como a elaboração das políticas de segurança e POPs (procedimentos operacionais padrões) para assegurar uma boa aderência às ações voltadas para LGPD.
Ao criá-lo, lembre-se de pensar na sua equipe interna (colaboradores) e na parte externa (terceiros, fornecedores e clientes). Uma boa opção é aplicar o Ciclo PDCA para executar o plano de ação, as quatro fases desse ciclo são: planejar, executar, checar e agir. Mas além do PDCA, certas questões devem ser feitas ao elaborar as políticas de segurança:
Haverá restrições de acesso na sua unidade?
Se ocorrer um incidente, qual o processo para reportá-lo?
Também vale destacar que, no geral, algumas instituições contratam um DPO (Data Protection Officer – ou “Encarregado”) para cuidar das questões de segurança da informação no local, sendo ele um dos responsáveis pelo processo de adequação do ambiente à LGPD.
O Encarregado irá reportar aos clientes sobre o uso de seus dados pessoais (caso seja requisitado) e avisar as autoridades, quando necessário, sobre como estão de acordo com a lei. No caso da área da saúde a decisão por esse profissional irá depender do Gestores, porte da empresa e o que diz a lei – é essencial consultá-la.
Controlador x Operador x Encarregado
Quando falamos em cuidados com dados, sejam de dados sensíveis ou não, é importante entender os papéis do controlador de dados, operador e encarregado - também conhecido como DPO. Segundo a Lei nº 13.709/2018, Art 5º, essa é a definição para cada um desses profissionais:
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Fora esses três profissionais, existe também o Titular. No caso das instituições de saúde, o titular é o paciente/cliente na maioria das ocasiões, refere-se à “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.
Agora que você tem esses conceitos em vista, vale destacar os momentos em que é permitido fazer o tratamento de dados. E para isso existem as bases legais que regulam a LGPD.
Bases legais para o tratamento de dados
Existem 10 bases legais que possibilitam o tratamento dos dados pessoais:
Consentimento do titular (paciente)
Legítimo interesse do controlador de dados
Cumprimento de obrigação legal ou regulatória
Execução de políticas públicas
Realização de estudos por órgãos de pesquisa
Execução contratual
Exercício de direito em processo judicial
Proteção da vida
Tutela da saúde e
Proteção do crédito
Na internet, por exemplo, muitos sites tem pop-ups para os usuários aceitarem os cookies do site. Essa é uma das opções para cumprir com a base legal do consentimento.
Contanto que sua instituição se encaixe em uma dessas bases, será possível coletar e tratar dados de seus clientes. Mas é preciso de atenção: lembre-se que a justificativa para o tratamento de dados precisa existir por meio de uma dessas bases, para o fim de comprovar que não ocorre o uso indevido de dados em sua unidade de saúde.
Conclusão
Com a LGDP (Lei nº 13.709/2018) foi especificado como devemos tratar e utilizar dados nos dias atuais – sejam os dados obtidos por meio da coleta de e-mails em formulários, como de outras maneiras, através do aceite de cookies na internet, algoritmos personalizados, etc.
Os profissionais de marketing, por exemplo, já sabem que não podemos coletar dados de quem acessa um site sem o consentimento da pessoa que navegou nesse endereço. O mesmo vale para outras áreas e profissionais. Inclusive, quanto aos profissionais que atuam na área da saúde, é necessário ter ainda mais cuidado ao coletar e tratar dados, sejam de potenciais clientes ou colaboradores.
E um outro ponto a se destacar é que, apesar da LGPD ter o foco no mundo online, não se restringe a ele – ou seja, é preciso pensar nas bases legais para o tratamento de dados, além de estabelecer políticas de privacidade voltadas à Segurança da Informação, independentemente da sua empresa ter presença online ou não. Afinal, os dados de pacientes requerem cuidados tanto nos locais físicos como virtuais.
Se você não sabe como começar - seja no mapeamento de processos ou na organização da sua unidade de saúde, a Gestão Dorsal pode ajudar! Atuamos no fronte das empresas com serviços que vão desde a Gestão Plena do negócio (outsourcing gerencial), até Gestão Financeira, de Processos e da Qualidade. Para saber como podemos te ajudar, envie uma mensagem: contato@gestaodorsal.com
E se você gostou desse artigo, o que acha de compartilhar nas redes sociais? :D