Como adequar clínicas e empresas na LGPD
Você sabia que hospitais, clínicas médicas, empresas que atuam de forma autônoma, estão mais expostos a possíveis processos por parte de pacientes e outros titulares de dados, bem como a sanções de órgãos fiscalizadores na área de proteção de dados?
Essa exposição acontece porque o setor de saúde lida com dados pessoais classificados como “sensíveis” pela LGPD, categoria que engloba informações médicas e de saúde. Por isso é tão importante que estabelecimentos de saúde se adaptem às novas regras.
Neste artigo, detalharemos as mudanças trazidas pela LGPD e apresentaremos dicas práticas para a sua implementação em hospitais, clínicas, laboratórios, farmácias e demais áreas do setor da saúde. Boa leitura!
Como adequar empresas na LGPD?
Por que implementar a LGPD nos estabelecimentos?
Como dissemos, no âmbito da saúde as empresas do setor possuem especial contato com dados pessoais sensíveis de clientes, que são aqueles atinentes à origem racial ou étnica, à saúde, à vida sexual e à genética de uma pessoa natural.
Lembre-se, o não cumprimento da LGPD por estabelecimentos de saúde pode ensejar, além de outras penalidades cabíveis no âmbito cível e penal, a aplicação de sanções administrativas.
Por isso, a aplicação da LGPD nos estabelecimentos de saúde exige especial atenção.
A LGPD se aplica a todos os estabelecimentos?
Sim. Toda clínica médica e hospital que coleta dados de pacientes deve estabelecer um procedimento rigoroso de coleta e manuseio de dados, deixando claro a razão pela qual a organização médica coleta esses dados, onde eles são armazenados e por quanto tempo eles ficam armazenados.
Ou seja, a LGPD se aplica a estabelecimentos de saúde, como: hospitais, clínicas médicas, consultórios médicos, operadoras de planos de saúde, laboratórios e farmácias.
O que acontece se a empresa não se adequar à LGPD?
Se a empresa não se adequar à nova LGPD poderá ser impossibilitada de promover suas atividades. Pois, terá, além das multas, suspensão do direito de tratamento de qualquer dado pessoal durante 6 meses – e assim prorrogável por igual período até a regularização.
Quais as penalidades para empresas que não se adequarem à LGPD?
As penalidades para clínicas e hospitais que não se adequarem à LGPD podem variar de acordo com a gravidade da violação. As multas podem chegar a 2% do faturamento, com teto de cinquenta milhões de reais, e a organização ter suas atividades suspensas parcial ou totalmente.
Segundo o artigo 52 da LGPD, em razão das infrações cometidas às normas previstas, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multasimples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multadiária, observado o teto no item anterior;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueiodos dados pessoais a que se refere a infração até a sua regularização;
- Eliminaçãodos dados pessoais a que se refere a infração;
- Suspensãoparcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensãodo exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- Proibiçãoparcial ou total do exercício de atividades relacionadas a tratamento de dados.
O que muda com a LGPD na advocacia e área de saúde, na prática?
A principal mudança da LGPD é que ela deixa claro que os cliente e pacientes são os proprietários exclusivos dos seus dados pessoais.
A questão do acesso às informações por parte do titular também é outra mudança significativa. A lei garante a ele a consulta facilitada e gratuita sobre a forma e duração do tratamento dos dados, bem como sobre a sua integralidade.
Assim, os titulares têm direito a serem notificados sobre o tratamento, assim como o de se opor ao seu uso, consultá-los ou fazer retificações.
Além disso, cada clínica e hospital terá que nomear um encarregado de proteção de dados pessoais, que terão como funções:
- Aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e, quando necessário, adotando providências;
- Orientar os colaboradores e os contratados da entidade sobre as melhores práticas em relação à proteção de dados pessoais;
- Executar as demais atribuições estabelecidas em normas complementares, tomando as melhores decisões com base nas regras vigentes.
Como se dá a aplicação da LGPD nos escritórios de advocacia e clínicas?
A implementação da LGPD nos escritórios de advocacia e estabelecimentos de saúde afetam desde a elaboração e armazenamento dos dados e prontuários médicos (seja físico ou digital) bem como o seu descarte seguro, os programas de fidelidade com consumidores, até as pesquisas clínicas e as trocas de informações entre estabelecimentos (para pedidos de exames laboratoriais, por exemplo), por serem processos que envolvem inúmeros dados pessoais sensíveis.
Frequentemente, estabelecimentos de saúde realizam o compartilhamento de dados pessoais sensíveis. Por exemplo, clientes que fazem uso contínuo de medicamentos podem participar de programas de descontos, desde que se cadastrem (informando dados pessoais sensíveis) nas farmácias credenciadas.
Também, para que um cliente e/ou paciente seja reembolsado por despesas médicas incluídas em seu plano, é preciso que o profissional que o atendeu elabore e encaminhe um documento com dados pessoais sensíveis sobre o procedimento realizado.
Além disso, é relevante mencionar que as operadoras de planos privados de assistência à saúde são proibidas pela LGPD de realizarem o tratamento de dados de saúde para a seleção de riscos na contratação e na exclusão de beneficiários.
Como as empresas devem se adequar à LGPD?
Para as empresas, clínicas, consultórios, escritórios de advocacia e demais instituições se adequarem a Lei Geral de Proteção de dados, devem efetuar o levantamento das seguintes informações:
- Fazer uma identificação de todos os dados coletados e armazenados pelo estabelecimento;
- Levantamento de clientes e pacientes (novos e antigos), colaboradores, prestadores de serviços, parceiros e sócios. É necessário que essas informações sejam categorizadas, monitoradas e, principalmente, rastreadas;
- Verificar com quem compartilha os dados dos pacientes;
- Revisar as regras de privacidade para que fique muito bem definido quem poderá acessar, controlar, processar e transferir os dados;
- Revisar os termos de consentimento assinados pelo paciente e informá-lo para que, quando e por quem os seus dados foram utilizados, bem como a possibilidade de solicitar a exclusão desses dados;
- Investir em proteção física e virtual – as informações necessitam ser armazenadas em ambientes comprovadamente seguros e controlados;
- Implantar soluções de proteção e segurança, com redes criptografadas e sistemas de monitoramento;
- Controlar as informações transmitidas aos planos de saúde, questionando como estas instituições tratam os dados pessoais de seus pacientes;
- Em caso de hospedagem desses dados em servidores estrangeiros (serviços cloud), verificar se esses países têm regulamentação sobre a segurança da informação.
O que é preciso para implementar a LGPD nos estabelecimentos?
A implementação da LGPD nos estabelecimentos comerciais demanda a elaboração de um documento que elucide: o que o estabelecimento faz com os dados pessoais (desde a coleta até a destruição), quais dados pessoais são tratados pela empresa, quais as operações de tratamento a que esses dados são submetidos (os dados são armazenados, são processados, são transmitidos?) e quais as medidas de segurança que protegem tais dados.
Com base nisso, os profissionais da Tecnologia de Informação (TI) e os assessores jurídicos, orientados pelo Encarregado do estabelecimento de saúde, poderão mapear os dados tratados, identificando hipóteses legais e medidas de segurança e privacidade para proteção dos dados pessoais.
Lembre-se: deve ser inventariado todo o tratamento de dados pessoais, incluindo não só as operações feitas em meio eletrônico, mas também o tratamento feito de modo físico (em papel).
Como funciona o consentimento de dados pelos clientes?
De acordo com a lei, o consentimento deve ser uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Isso significa que eles apenas podem ser coletados e armazenados em um sistema com a sua autorização prévia.
Esse consentimento deve ser obtido por escrito ou através de outro meio que manifeste sua vontade, lembrando que ele pode ser revogado a qualquer momento, mediante manifestação expressa do titular.
ATENÇÃO: Isso vale tanto para os prontuários, que serão criados a partir de agora, quanto os dados que já estão cadastrados no sistema ou em papel – o que irá requerer que as clínicas procurem os pacientes para buscar essa autorização.
Como estabelecer o consentimento ao tratamento de dados pessoais?
A empresa, para evitar problemas de adequação à Lei, deve possuir meios eficazes de obter e armazenar o consentimento de seus pacientes, consumidores, usuários ou colaboradores para o tratamento de dados pessoais:
- O consentimento deve ser informado, portanto, elabore para o titular um documento com esclarecimentos objetivos acerca do tratamento de dados pessoais a ser efetuado. Esse documento não é tão diferente do Termo de Consentimento Livre e Esclarecido – TCLE já utilizado por muitos estabelecimentos de saúde, podendo este apenas ser adaptado para contemplar a finalidade do tratamento de dados pessoais.
- O consentimento deve referir-se a finalidades determinadas. Isso, porque as autorizações genéricas para o tratamento de dados pessoais serão nulas, conforme a LGPD.
- Se o consentimento for fornecido por escrito em documento contendo outras cláusulas além dessa, a disposição que trata da anuência deve ser destacada.
Obtido o consentimento, outros cuidados ainda são necessários, deve-se, por exemplo, viabilizar ao titular dos dados pessoais que revogue, a qualquer momento e gratuitamente, o consentimento anteriormente dado. Nesse caso, aconselhamos que os estabelecimentos de saúde exijam a manifestação escrita e em termos expressos do titular solicitando a revogação.
Além disso, se o estabelecimento de saúde (controlador, conforme a LGPD) necessitar compartilhar com outros estabelecimentos (ou pessoas) os dados pessoais do titular que consentiu com a coleta e o armazenamento de dados, deve obter consentimento específico para essa finalidade.
O que é Termo de Consentimento Livre e Esclarecido da LGPD?
O Termo de Consentimento Livre e Esclarecido (TCLE) é um instrumento que visa esclarecer aos pacientes (ou responsáveis) detalhes sobre procedimentos diagnósticos e terapêuticos a serem realizados, mencionando de forma transparente a complexidade, tal como possíveis riscos e benefícios, da assistência prestada.
Sendo assim, o TCLE deve ser elaborado com ainda mais atenção, sem descartar, em hipótese alguma, os direitos previstos na LGPD. Então, esclarecendo em que circunstâncias os dados de pacientes serão mantidos, assegurados e manuseados.
Como os dados devem ser coletados e manuseados de acordo com a LGPD?
O primeiro ponto a ser destacado é que uma clínica ou hospital só pode coletar e armazenar os dados pessoais de um paciente com sua devida autorização, tendo assinado o Termo de Consentimento Livre e Esclarecido e disposto as devidas informações conforme orienta a LGPD.
Sendo assim, é necessário que a empresa defina a finalidade da coletada e armazenados de dados, inclusive deixando claro como estes dados serão compartilhados com outras organizações.
Algumas dicas importantes e que não podem ser deixadas de lado na elaboração dos termos é que a clínica ou hospital:
- Especifiqueo propósito de coletar esses dados;
- Informese as informações serão compartilhadas com terceiros (por exemplo: serviços de telemedicina, parceiros de negócios, etc), assim como o motivo do compartilhamento;
- Esclareçae ofereça informações de um contato específico (DPO) para os pacientes em caso de dúvidas.
Quais os cuidados com pacientes e clientes menores de idade?
No contato com jovens de idade inferior a 12 anos, a LGPD exige ainda um cuidado extra com relação à manipulação dos dados. As informações desses menores só podem ser coletadas mediante a autorização dos respectivos responsáveis legais.
É importante lembrar, também, que a forma de comunicação com o titular dos dados deve considerar o perfil do público. Isso quer dizer que, ao falar com uma criança ou jovem, não é permitido usar termos jurídicos ou qualquer outra linguagem de difícil interpretação e compreensão.
Neste contexto, os pacientes terão o direito de saber para que, quando e por quem os seus dados foram utilizados, e poderão restringir o direito de acesso a quem desejarem. Ou seja, terão acesso às trilhas de auditoria e rastreabilidade de todos os dados armazenados podendo, a qualquer momento, suspender seu consentimento, ou pedir que seus dados pessoais sejam total ou parcialmente apagados.
Quais os cuidados que a empresa precisa ter ao utilizar softwares ou sistemas internacionais?
A LGPD permite a transferência de dados para países que proporcionem proteção adequada a estes dados, como exemplo a GDPR (lei de proteção de dados da União Europeia). Caso contrário, a transferência internacional deve prestar garantias adequadas pela clínica ou hospital.
Portanto, fique atento, alguns softwares, aplicativos ou sistemas podem utilizar servidores fora do Brasil. É necessário o supervisor do serviço de saúde aprofundar-se em quais sistemas os dados de pacientes estão sendo tratados, tal como quais são as regras de cada país.
Lembre-se, os dados dos pacientes em uma instituição de saúde são coletados, processados e tratados desde os sistemas de agendamento online e gestão integrada, que integram médicos, enfermeiros, profissionais de saúde e até mesmo sistemas de farmácia, estando armazenados nos mais diversificados setores dentro da rotina dos estabelecimentos de saúde.
Portanto, a segurança das informações coletadas dos pacientes deve ser uma preocupação de todos os profissionais envolvidos no tratamento desses dados, desde a recepcionista que coleta a informação de agendamento e da moléstia informada pelo paciente, o médico em si, o enfermeiro que coleta constantemente informações do paciente, e até mesmo o farmacêutico em seu ponto de venda.
Quando a empresa não está obrigada a colher o consentimento para tratamento de dados?
Um ponto importante da LGPD é que existem situações em que o setor da saúde não está obrigado a colher o consentimento para tratamento de dados. A dispensa ocorre nos casos de proteção à vida ou tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa.
Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
Devo criar um canal de comunicação com o público para tratar da LGPD na minha empresa ou clínica?
Sim. Para a implementação da LGPD nos estabelecimentos de saúde é de suma importância estabelecer um canal de comunicação com os titulares de dados pessoais, que viabilize o exercício dos seus direitos e a garantia da transparência. Tal canal deve possibilitar que os titulares de dados solicitem informações sobre a proteção de dados, sobre as medidas de privacidade adotadas pela sua empresa e sobre o “ciclo de vida” dos dados por ela tratados.
Esse canal pode ser, inclusive, alinhado com o Serviço de Atendimento ao Cliente (SAC) da sua empresa, que, geralmente, é um meio de comunicação já consolidado e com atendentes já habilitados para lidar com reclamações e solicitações de esclarecimento.
Nesse caso, claro, torna-se fundamental que os atendentes do SAC recebam treinamento adequado no que tange à aplicação da LGPD nos estabelecimentos de saúde e aos procedimentos adotados especificamente pela empresa para a proteção de dados pessoais.
Como garantir a segurança de dados com a LGPD na saúde?
Grande parte dessa proteção é garantida através de processos claros de trabalho.
As tecnologias e ferramentas auxiliam nesse ponto, mas é a mudança na cultura que irá garantir a segurança de dados com a LGPD na saúde.
É preciso entender como os dados transitam dentro e fora da instituição. E, a partir disso, orientar o quadro de colaboradores, corpo clínico e quadro administrativo, para que a manipulação das informações ocorra sem ferir a lei.
Para exemplificar, caso um parente chegue a um hospital requerendo informações de um paciente, é o recepcionista que irá avaliar como deve ser o procedimento e que dados podem ser repassados.
Ou seja, a ferramenta é o facilitador, uma vez que permite que a consulta seja realizada. Mas cabe ao fator humano saber como proceder – o que exige treinamento e orientação.
Devo possibilitar a correção de dados pessoais?
Nos estabelecimentos de saúde, é fundamental diferenciar o que é um regular exercício do direito de retificação por parte dos pacientes e consumidores, do que é um abuso desse direito. A LGPD nos estabelecimentos de saúde viabiliza que o titular de dados pessoais solicite à empresa (controladora) a correção de dados incompletos, não exatos ou desatualizados.
No que se trata de registros médicos, por exemplo, os pacientes mantêm o direito de relatar imprecisões nos fatos apontados e solicitar esclarecimentos sobre o conteúdo do prontuário. Todavia, não têm direito a alterar as informações apenas por não concordarem com elas.
Ou seja, os profissionais da saúde não são obrigados a alterar suas opiniões clínicas, nem corrigir o diagnóstico inicial registrado nos documentos do paciente, salvo quando possuírem imprecisões ou erros.
É necessário realizar treinamentos sobre a LGPD com todos os funcionários do estabelecimento de saúde?
Sim. A proteção de dados, muito mais do que uma obrigação a ser cumprida, deve se consolidar como uma cultura em seu estabelecimento de saúde.
Não basta adequar todo o seu tratamento de dados à LGPD, contratando para isso profissionais externos qualificados. Isto porque toda a adaptação à LGPD pode ser posta em jogo se um determinado funcionário que não sabe da importância desse tratamento.
Por isso, a perfeita implementação da LGPD nos estabelecimentos de saúde depende, também, da capacitação e do treinamento de toda a equipe que atua no local.
É preciso assessoria jurídica para implementação da LGPD nos estabelecimentos de saúde?
A LGPD não exige expressamente o acompanhamento de sua implementação por advogado, nem por qualquer outro profissional comprovadamente qualificado. Contudo, na prática, contar com uma assessoria jurídica preventiva e reparadora pode ser um diferencial para garantir a concretização da LGPD nos estabelecimentos de Saúde, bem como para evitar eventuais e futuras sanções administrativas por descumprimento da Lei.
Portanto, uma assessoria jurídica para acompanhar o cumprimento da LGPD nos estabelecimentos de saúde, apesar de não exigida especificamente, torna-se um diferencial para que sua empresa alcance melhores resultados e reduza riscos jurídicos.
Lembre-se, a atuação de advogados no processo de adequação à LGPD pode ser tanto preventiva quanto reparadora, iniciando-se desde o planejamento para a elaboração de um inventário de dados até o acompanhamento de eventuais procedimentos administrativos e demandas judiciais relacionados à proteção de dados pessoais.
Preciso de advogado para pedir a aposentadoria do empresário?
O processo de solicitação de aposentadoria especial não requer a obrigatória contratação de um advogado, mas ao optar por ter acompanhamento de um profissional especializado em Direito Previdenciário, o requerimento pode ser realizado de maneira mais eficiente e assertiva, evitando possíveis atrasos ou prejuízos no recebimento da aposentadoria.
Um advogado especialista nas questões que envolvem o INSS pode ajudar no planejamento previdenciário, orientar quanto aos documentos e comprovações necessárias, além de ser fundamental na hipótese de negativa do pedido de aposentadoria especial pelo INSS.
Nesse caso, o advogado especialista conhece as melhores estratégias para reverter a negativa, seja por meio de recurso administrativo ou ação judicial contra o INSS.
O mais importante é que você consulte um profissional qualificado e de confiança, garantindo assim, uma aposentadoria segura e tranquila.
Por que preciso da ajuda de um advogado na hora de pedir o meu benefício no INSS?
Ao longo deste artigo, ficou evidente que solicitar um benefício ao INSS pode se tornar um desafio complexo que requer conhecimentos específicos sobre a legislação previdenciária e sobre cálculos previdenciários. Caso o seu CNIS não contenha todos os seus vínculos, o seu pedido pode ser indeferido.
Por isso, é essencial contar com a orientação de um advogado previdenciário especializado.
O advogado especialista em Direito Previdenciário será capaz de analisar a sua situação de forma minuciosa, considerando todos os fatores relevantes, e realizar corretamente os cálculos para o seu benefício previdenciário.
Além disso, um advogado previdenciário experiente poderá auxiliar na apresentação de todos os documentos necessários e na argumentação mais adequada para o seu caso, aumentando assim as chances de sucesso do seu pedido.
Lembre-se, contar com a ajuda de um profissional qualificado pode fazer toda a diferença na obtenção do benefício a que você tem direito.
Por que escolher Jácome Advocacia?
Todos os serviços que comentamos ao longo do texto você encontra na Jácome Advocacia. Temos uma equipe totalmente dedicada a entregar o melhor em assessoria jurídica de Direito Previdenciário, tanto no Regime Geral de Previdência Social (INSS), quanto nos Regimes Próprios de Previdência dos Servidores (RPPS), Previdência dos Militares e Regimes Complementares e fundos de pensão.
Nossa equipe pode ajudar você a conquistar a revisão do seu benefício em todo o Brasil e, inclusive, no exterior. Com frequência prestamos serviços previdenciários para segurados que moram no fora do Brasil através de Acordos Previdenciários Internacionais, dentre eles, Japão, Espanha, Estados Unidos, Portugal, Itália, França, Alemanha. Clique e conheça mais sobre os serviços oferecidos:
- Planejamento de aposentadoria
- Concessão de aposentadoria
- Revisões de aposentadoria
- Benefícios por incapacidade
- Aposentadoria no exterior
Conte conosco para realização dos cálculos e emissão de parecer sobre a viabilidade de Revisão da Vida Toda para você. Para maiores informações, dúvidas ou consulta para entrada de pedido, clique aqui e fale conosco