LGPD na saúde. O que você precisa saber?

Normas técnicas podem ajudar significativamente sua organização

LGPD na saúde. O que você precisa saber? Já escrevemos aqui, em nossas matérias, sobre a abrangência da Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018. E, da importância de cada empresa entender o seu contexto. E, com as organizações inseridas no setor da saúde não seria diferente. Sendo assim, uma empresa deve determinar os fatores internos e externos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu Sistema de Gestão da Privacidade da Informação (SGPI), que pode incluir:

• Legislação de privacidade;
• Decisões judiciais aplicáveis;
• Contexto organizacional, governança, políticas e procedimentos aplicáveis;
• Decisões administrativas aplicáveis;
• Requisitos contratuais aplicáveis.

Visto o exposto, é natural que o tema privacidade e proteção de dados seja setorizado, a fim de melhor atender à LGPD. Um bom exemplo são as organizações que estão inseridas no setor da saúde. Convém que as organizações que fazem parte deste setor busquem as melhores práticas para realizar o tratamento de tantos dados pessoais e dados pessoais sensíveis que são realizados diariamente em suas dependências. Como, por exemplo, um prontuário de paciente (titular de dados pessoais) podendo ser físico ou digital. Trata-se de documento único, constituído de um conjunto de informações, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo.

Em meio as polêmicas envolvendo a Instrução Normativa do Conselho Federal de Medicina (CFM) nº 3, de 10 de março de 2021, que institui além do Encarregado pelo Tratamento de Dados Pessoais, também institui, equivocadamente, o controlador e o operador, decidimos escrever esta matéria para discorremos sobre o tema.

Para os que ainda estão familiarizando-se com a LGPD, o controlador jamais deve ser um cargo personificado, ou seja, será uma organização. Cabe aqui uma breve explicação:

• Controlador (Art. 5º inciso VI, da LGPD): organização ou entidade que decide sobre o tratamento. No que se refere às pessoas físicas, estas se equiparam à organização (controlador) caso, por exemplo, seja um trabalhador autônomo que decida como ele trata os dados pessoais;
• Operador (Art. 5º inciso VII, da LGPD): organização ou entidade que realiza operações de tratamento de dados pessoais, em nome do Controlador, sob orientações deste, e de acordo com a LGPD. No que se refere às pessoas físicas, estas se equiparam à organização (operador) caso, por exemplo, seja um trabalhador autônomo que preste serviço ao controlador e que trate os dados pessoais conforme orientações deste;
• Encarregado (Art. 5º inciso VIII, da LGPD): pessoa indicada por agente de tratamento (Controlador ou Operador) para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados Pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).

Sobre a NBR ISO 27799

A referida norma fornece obrigações para as organizações da área de saúde, e outros guardiões de informações pessoais de saúde, sobre a melhor forma de proteger a confidencialidade, integridade e disponibilidade destas informações. A NBR 27799 baseia-se e amplia a orientação geral fornecida pela ABNT NBR ISO/IEC 27002:2013, e aborda as necessidades de gerenciamento de segurança de informações especiais do setor de saúde e seus ambientes operacionais exclusivos.

Cabe ressaltar que existem requisitos especiais para o setor da saúde que precisam ser cumpridos para garantir a:

• Confidencialidade: essencial se a privacidade dos titulares de dados pessoais, sujeitos de cuidados, deve ser mantida;
• Integridade: deve ser protegida para garantir a segurança destes titulares;
• Auditabilidade: importante para assegurar que todo o ciclo de vida dos dados pessoais e dados pessoais sensíveis sejam plenamente auditável;
• Disponibilidade: é fundamental para a oferta eficaz de serviços de saúde.

Independente do tamanho, localização e modelo de prestação de serviços, todas as organizações do setor da saúde precisam ter controles rigorosos, a fim de proteger os dados pessoais a elas confiados. Ou seja, os sistemas de informática em saúde precisam atender a demandas específicas para continuarem operacionais em face de desastres naturais, falhas de sistema e ataques de negação de serviço. Garantir esses dados pessoais requer conhecimentos específicos do setor.

Considerações Adicionais

Evidente, não podemos nos esquecer das considerações adicionais, não limitadas aos tópicos a seguir, que incluem:

• Cumprir as obrigações legislativas expressas nas leis e regulamentos de proteção de dados aplicáveis que protegem o direto à privacidade do titular do dado pessoal. Com destaque para:
  • Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018;
  • Lei nº 13.787/2018, de 27, de 27 de dezembro de 2018;
  • Documentos normativos da Agência Nacional de Vigilância Sanitária (ANVISA);
  • Instrução Normativa CFM nº 3, de 3 de março de 2021;
  • Resolução CFM nº 2.218/2018, de 29 de novembro de 2018;
  • Resolução CFM nº 1.821/2007, de 23 de novembro de 2018;
  • Resolução CFM nº 1.638/2002, de 9 de agosto de 2002;
• Cumprir obrigações éticas, como por exemplo o código de ética da Organização Mundial de Saúde (OMS);
• Manter as melhores práticas de privacidade e proteção de dados estabelecidas em informática em saúde;
• Manter a responsabilidade individual e organizacional entre as organizações no setor da saúde e seus profissionais;
• Apoiar a implementação de uma gestão sistemática dos riscos nas organizações de saúde;
• Reduzir os custos operacionais, a fim de viabilizar a tecnologia como forma segura, protegida e bem administrada, que apoie, mas não restrinja, as atividades de saúde atuais;
• Manter os padrões profissionais e aética conforme estabelecido pelas organizações profissionais relacionadas à saúde.

Ficou interessado em capacitar seus colaboradores? Saiba mais sobre as capacitações da ACPD.

Referências Bibliográficas:

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 27799: Tecnologia da informação — Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002. Rio de Janeiro: ABNT, 2019.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.

BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 22 mar. 2021.

BRASIL. Lei no 13.787, de 27 de dezembro de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13787.htm. Acesso em: 22 mar. 2021.

DIÁRIO OFICIAL DA UNIÃO. Resolução CFM nº 3/2021. Disponível em: https://www.in.gov.br/en/web/dou/-/instrucao-normativa-cfm-n-3-de-3-de-marco-de-2021-309580513. Acesso em: 22 mar. 2021.

DIÁRIO OFICIAL DA UNIÃO. Resolução CFM nº 2.218/2018. Disponível em: https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2018/2218. Acesso em: 22 mar. 2021.

DIÁRIO OFICIAL DA UNIÃO. Resolução CFM nº 1.821/2007. Disponível em: https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2007/1821. Acesso em: 22 mar. 2021.

DIÁRIO OFICIAL DA UNIÃO. Resolução CFM nº 1.638/2002. Disponível em: https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=184&data=09/08/2002. Acesso em: 22 mar. 2021.

🚨 Não se esqueça de:

• 👍 Curtir
• 💬 Comentar
• 💾 Salvar
• 🔁 Compartilhar com os amigos