
Normas técnicas podem ajudar significativamente sua organização
LGPD na saúde. O que você precisa saber? Já escrevemos aqui, em nossas matérias, sobre a abrangência da Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018. E, da importância de cada empresa entender o seu contexto. E, com as organizações inseridas no setor da saúde não seria diferente. Sendo assim, uma empresa deve determinar os fatores internos e externos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu Sistema de Gestão da Privacidade da Informação (SGPI), que pode incluir:
- Legislação de privacidade;
- Decisões judiciais aplicáveis;
- Contexto organizacional, governança, políticas e procedimentos aplicáveis;
- Decisões administrativas aplicáveis;
- Requisitos contratuais aplicáveis.
Visto o exposto, é natural que o tema privacidade e proteção de dados seja setorizado, a fim de melhor atender à LGPD. Um bom exemplo são as organizações que estão inseridas no setor da saúde. Convém que as organizações que fazem parte deste setor busquem as melhores práticas para realizar o tratamento de tantos dados pessoais e dados pessoais sensíveis que são realizados diariamente em suas dependências. Como, por exemplo, um prontuário de paciente (titular de dados pessoais) podendo ser físico ou digital. Trata-se de documento único, constituído de um conjunto de informações, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo.
Em meio as polêmicas envolvendo a Instrução Normativa do Conselho Federal de Medicina (CFM) nº 3, de 10 de março de 2021, que institui além do Encarregado pelo Tratamento de Dados Pessoais, também institui, equivocadamente, o controlador e o operador, decidimos escrever esta matéria para discorremos sobre o tema.
Para os que ainda estão familiarizando-se com a LGPD, o controlador jamais deve ser um cargo personificado, ou seja, será uma organização. Cabe aqui uma breve explicação:
- Controlador (Art. 5º inciso VI, da LGPD): organização ou entidade que decide sobre o tratamento. No que se refere às pessoas físicas, estas se equiparam à organização (controlador) caso, por exemplo, seja um trabalhador autônomo que decida como ele trata os dados pessoais;
- Operador (Art. 5º inciso VII, da LGPD): organização ou entidade que realiza operações de tratamento de dados pessoais, em nome do Controlador, sob orientações deste, e de acordo com a LGPD. No que se refere às pessoas físicas, estas se equiparam à organização (operador) caso, por exemplo, seja um trabalhador autônomo que preste serviço ao controlador e que trate os dados pessoais conforme orientações deste;
- Encarregado (Art. 5º inciso VIII, da LGPD): pessoa indicada por agente de tratamento (Controlador ou Operador) para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados Pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
Sobre a NBR ISO 27799
Como sempre indicamos normas técnicas para melhor respaldarem o desafio de estar em compliance com a LGPD, no exemplo em questão, ou seja, área de saúde, cabe destacarmos o papel da ABNT NBR ISO 27799 – Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002, de 29 de abril de 2019.

A referida norma fornece obrigações para as organizações da área de saúde, e outros guardiões de informações pessoais de saúde, sobre a melhor forma de proteger a confidencialidade, integridade e disponibilidade destas informações. A NBR 27799 baseia-se e amplia a orientação geral fornecida pela ABNT NBR ISO/IEC 27002:2013, e aborda as necessidades de gerenciamento de segurança de informações especiais do setor de saúde e seus ambientes operacionais exclusivos.
Cabe ressaltar que existem requisitos especiais para o setor da saúde que precisam ser cumpridos para garantir a:
- Confidencialidade: essencial se a privacidade dos titulares de dados pessoais, sujeitos de cuidados, deve ser mantida;
- Integridade: deve ser protegida para garantir a segurança destes titulares;
- Auditabilidade: importante para assegurar que todo o ciclo de vida dos dados pessoais e dados pessoais sensíveis sejam plenamente auditável;
- Disponibilidade: é fundamental para a oferta eficaz de serviços de saúde.
Independente do tamanho, localização e modelo de prestação de serviços, todas as organizações do setor da saúde precisam ter controles rigorosos, a fim de proteger os dados pessoais a elas confiados. Ou seja, os sistemas de informática em saúde precisam atender a demandas específicas para continuarem operacionais em face de desastres naturais, falhas de sistema e ataques de negação de serviço. Garantir esses dados pessoais requer conhecimentos específicos do setor.
As organizações inseridas no setor da saúde precisam de orientações claras, específicas e concisas sobre cuidados de saúde na implementação destes controles.
Considerações Adicionais
Evidente, não podemos nos esquecer das considerações adicionais, não limitadas aos tópicos a seguir, que incluem:
- Cumprir as obrigações legislativas expressas nas leis e regulamentos de proteção de dados aplicáveis que protegem o direto à privacidade do titular do dado pessoal. Com destaque para:
- Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018;
- Lei nº 13.787/2018, de 27, de 27 de dezembro de 2018;
- Documentos normativos da Agência Nacional de Vigilância Sanitária (ANVISA);
- Instrução Normativa CFM nº 3, de 3 de março de 2021;
- Resolução CFM nº 2.218/2018, de 29 de novembro de 2018;
- Resolução CFM nº 1.821/2007, de 23 de novembro de 2018;
- Resolução CFM nº 1.638/2002, de 9 de agosto de 2002;
- Cumprir obrigações éticas, como por exemplo o código de ética da Organização Mundial de Saúde (OMS);
- Manter as melhores práticas de privacidade e proteção de dados estabelecidas em informática em saúde;
- Manter a responsabilidade individual e organizacional entre as organizações no setor da saúde e seus profissionais;
- Apoiar a implementação de uma gestão sistemática dos riscos nas organizações de saúde;
- Reduzir os custos operacionais, a fim de viabilizar a tecnologia como forma segura, protegida e bem administrada, que apoie, mas não restrinja, as atividades de saúde atuais;
- Manter os padrões profissionais e aética conforme estabelecido pelas organizações profissionais relacionadas à saúde.
Ficou interessado em capacitar seus colaboradores? Saiba mais sobre as capacitações da ACPD.
Referências Bibliográficas:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 27799: Tecnologia da informação — Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002. Rio de Janeiro: ABNT, 2019.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 22 mar. 2021.
BRASIL. Lei no 13.787, de 27 de dezembro de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13787.htm. Acesso em: 22 mar. 2021.
DIÁRIO OFICIAL DA UNIÃO. Resolução CFM nº 3/2021. Disponível em: https://www.in.gov.br/en/web/dou/-/instrucao-normativa-cfm-n-3-de-3-de-marco-de-2021-309580513. Acesso em: 22 mar. 2021.
DIÁRIO OFICIAL DA UNIÃO. Resolução CFM nº 2.218/2018. Disponível em: https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2018/2218. Acesso em: 22 mar. 2021.
DIÁRIO OFICIAL DA UNIÃO. Resolução CFM nº 1.821/2007. Disponível em: https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2007/1821. Acesso em: 22 mar. 2021.
DIÁRIO OFICIAL DA UNIÃO. Resolução CFM nº 1.638/2002. Disponível em: https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=184&data=09/08/2002. Acesso em: 22 mar. 2021.
🚨 Não se esqueça de:
- 👍 Curtir
- 💬 Comentar
- 💾 Salvar
- 🔁 Compartilhar com os amigos