Os dados de pacientes apenas poderão ser coletados e armazenados mediante a autorização dos titulares. Ou seja, os próprios pacientes. Isso se aplica tanto a prontuários criados anteriormente quanto para os que serão criados no futuro.
Os impactos da LGPD na área da saúde
No caso de prontuários existentes, será necessário requisitar o consentimento por parte do titular. Isso se aplica tanto aos dados registrados e armazenados digitalmente quanto para aqueles em documentos físicos.
As mudanças da LGPD na Área da Saúde se aplicam a um vasto número de situações, como telemedicina, cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar), SUS, intercâmbio de informações entre diferentes S-RES (como pedidos de exames de laboratórios), entre outros;
Mensagens trocadas entre médicos e pacientes via Whatsapp ainda poderão ser feitas, mas além da necessidade de serem criptografadas (o que esta rede social já faz), as caixas postais com mensagens persistentes também terão de ser protegidas, já que contêm identificação da pessoa.
Empresas terão de nomear um responsável interno para proteção dos dados ou terceirizar a gestão de segurança de informação, conforme as normas de contratação de parceiros de negócios, como a norma ISO 27.001 e ISO 27.799 (esta é especial para a área da saúde).
Se a empresa contratada para proteção dos dados dos pacientes não tiver um sistema realmente seguro e houver qualquer fator que mostre quebra deste protocolo, o contratante do serviço também é responsabilizado pelo ato.
Os pacientes terão o direito de saber quais dados deles constam no sistema e para que finalidade essas informações serão utilizadas. Estes dados também deverão estar disponíveis para a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que editará normas e fiscalizará procedimentos relacionados à segurança dos dados pessoais dos usuários.
Os dados pessoais dos pacientes, assim como todas as transmissões de informações no sistema, deverão ser criptografados e, depois de cumprirem o objetivo, devem ser apagados.
Como se adequar?
Novamente, o processo de adequação não segue um padrão. O primeiro passo é buscar uma consultoria especializada. Não adianta procurar advogados ou empresas de TI que prometem adequações parciais.
A adequação pode acontecer, sim, em etapas, mas requer especialistas com conhecimentos jurídicos, técnicos e com expertise na consultoria em si. Do contrário, sua empresa jamais estará adequada. As frentes técnicas e jurídicas são indispensáveis, mas a adequação vai muito além disso.
Como a RGM pode te ajudar?
A RGM oferece um framework de adequação que alcança sua empresa de ponta a ponta. Para isso, diagnosticamos a situação atual do seu negócio através de uma ferramenta gratuita, que você pode usar por conta própria – o Autodiagnóstico de LGPD.
Com isso em mãos, você escolhe o próximo passo. Entrar em contato conosco é a decisão mais sábia, visto que poderemos colaborar com a adequação do seu negócio e levantar outros pontos que demandam atenção.