LGPD em Laboratórios Clínicos

outubro 14 2020

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em agosto de 2020. Ela é uma medida que garante mais controle de informações pessoais do cidadão. Isso porque as empresas devem ser transparentes ao utilizarem ou tratarem os dados pessoais que são coletados por elas. 

Mas o que é essa lei e como ela afeta a área da saúde?

O QUE É A LGPD?

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) foi aprovada em função de regular atividades de tratamentos de dados pessoais. Além disso, alterou alguns artigos do Marco Civil da Internet. As normas instituídas levam quaisquer agentes e controladores a serem totalmente transparente quanto ao uso dos dados das pessoas. O que também se aplica em meios digitais. Isso faz com que o cidadão tenha mais controle de seus dados, preservando a sua privacidade, honra e imagem.  

Apesar de ser aprovada em 2018, a Lei entrou em vigor apenas em 2020. Mesmo assim, por conta da pandemia, a vigência das sanções que podem ser aplicadas passou para 1º de agosto de 2021. 

O órgão responsável pelas fiscalizações e penalidades é a Autoridade Nacional de Proteção de Dados, a ANPD. 

O que e quais são os dados pessoais?

Os dados pessoais são os que podem identificar uma pessoa, como números de RG e CPF, características pessoais, dados genéticos, qualificação pessoal. Tudo o que relaciona à pessoa  natural identificável. Mas não são os únicos. 

  • Dados sensíveis: qualquer dado pessoal referente à origem racial ou étnica, religião, política, filiação a sindicato ou organização religiosa, filosófico ou político, saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Dado anonimizado: dados que não podem ser associados a algum indivíduo específico.

Quando pode ser feito o tratamento de dados?

Só há possibilidade do tratamento de dados em casos específicos. Segundo a Agência Senado, são eles:

  • Quando há o consentimento do titular;
  • Para cumprir obrigações legais ou regulatórias pelo agente de tratamento;
  • Caso de tratamento e uso compartilhamento de dados necessários à execução pública através da administração pública;
  • Realização de estudos por órgão de pesquisa, com a anonimização dos dados;
  • Para segurança física ou proteção de vida do titular dos dados ou de terceiro;
  • Para execução de contrato ou preliminares relacionadas a um contrato, em que o titular faz parte, a pedido do próprio titular;
  • Caso de pleitos em processos judiciais, arbitrais ou  administrativos;
  • Para proteção de crédito, seguindo o Código de Defesa do Consumidor;
  • Para tutela da saúde, com procedimento realizado por profissionais da área da saúde ou entidades sanitárias.

Penalidades 

As sanções a quem infringir a lei podem ser em diversas formas. Quem analisa os casos e aplica a penalidade é a ANPD.  Podem ser:

  • advertência, indicando o prazo para adoção das medidas coletivas;
  • multa simples – de até 2% do faturamento, limitada a 50 milhões de reais por infração; 
  • multa  diária – seguindo o mesmo limite da  multa simples 
  • suspensão parcial ou total de funcionamento de banco de dados ou do exercício de atividade de tratamento de dados até a regularização pelo controlador;
  • bloqueio ou eliminação dos dados pessoais que se referem a infração, até regularização;
  • publicização da infração após ser apurada e confirmada.

LGPD NA SAÚDE[/vc_column_text]

A Lei foi vinculada a quebra de privacidade decorrente do aumento do acesso à internet, principalmente via celular. Além disso, casos com o vazamento de dados de usuários do Facebook nas eleições dos EUA, em 2016, fomentaram a necessidade dessa política. 

É comum pensar que empresas de telefonia podem ser os mais afetados. Mas, qualquer empresa que lida com dados pessoais deve ter ciência da Lei e se adequar às medidas. Sendo assim, hospitais, clínicas e laboratórios precisam entendê-la e se sujeitarem a ela. 

Cada paciente fornece seus dados para um cadastro. Para que as empresas possam fazer esta coleta e armazenamento dos dados, o paciente precisa autorizar previamente o uso das informações. O indicado a organizações da área da saúde é coletar dados sensíveis de pacientes em situações necessárias e específicas, já que o uso para discriminação é proibido. 

Os pacientes também tem o direito de revogar o consentimento a qualquer momento. Bem como exigir saber em quê e para quê seus dados estão sendo utilizados.

MEDIDAS A SEREM TOMADAS POR LABORATÓRIOS CLÍNICOS

Transparência

Laboratórios e clínicas costumam ter banco de dados de pacientes. Devem ser extremamente transparente quanto ao uso desses dados. Mesmo a troca virtual de registros entre estabelecimentos de saúde só pode ocorrer com autorização por escrito do paciente em questão. 

Gestão de documentos

Em laboratórios, muitos resultados são impressos antes de serem entregues aos pacientes. Antes disso, caso não tenha o cuidado necessário, qualquer pessoa  pode ver ou fazer um registro do material. Sendo assim, é preciso se atentar devidamente a  gestão de documentos. Caso aconteça algo indevido com aqueles dados, a culpa é do laboratório.

Cabe incluir aqui uma implementação de acesso individualizado. Não é necessário que todos tenham acesso aos mesmos dados. Logo, permitir o acesso aos dados apenas de quem é fundamental.

Criptografia, rastreabilidade  e sistema de validação de transferência de arquivos

Os laboratórios, em sua quase totalidade, se utilizam de sistemas digitais. Esses  sistemas estão sujeitos a invasões. Por isso, é preciso  fazer o máximo para barrar qualquer apropriação indevida dos dados que estão em posse do laboratório.

 Criptografar os dados é uma medida comum. Eles se tornam indecifráveis até que cheguem até as pessoas autorizadas. Rastreabilidade através de assinaturas digitais compõe esse processo.

O uso de sistema de validação é mais uma medida simples que pode ser implementada para garantir a não violação dos dados durante a transferência.

Notificação

Caso tenha algum incidente referente a segurança dos dados, é necessária  a  notificação à  Autoridade de Proteção de Dados. Como ela ainda não existe, até a  sua criação, o usuário que teve seus dados expostos deve ser comunicado obrigatoriamente. 

[/vc_column][/vc_row]

Write a Reply or Comment