LGPD - Tecnologia da Informação e Comunicação em Saúde

Prévia do material em texto

Taiane Viana 
Lei geral de proteção de dados pessoais (LGPD) em saúde 
Objetivos 
Apresentar o conceito de Lei Geral de Proteção de 
Dados Pessoais (LGPD) 
Discutir a importância da LGPD em saúde → quais 
são as implicações dela para a saúde 
Trazer exemplos práticos de como os futuros 
médicos deverão aplicar a LGPD em sua prática 
profissional Introdução 
Introdução 
A LGPD é importante porque é muito recente, 
elaborada em 2018, mas vigorada em 2020 
Lei que funciona para os dados no meio eletrônico, 
mas tem especificidades em saúde 
• Dados têm um ciclo de vida (3 etapas) 
1. Coletados (nascimento dos dados) 
2. Processados 
3. Eliminados 
• Ex: você é psiquiatra e abre uma clínica pequena 
e tem uma secretária → os dados nasce a partir 
do momento em que coleta os dados do primeiro 
paciente: 
1. Coleta de dados 
➢ Nome completo, telefone, endereço, 
número da carteirinha (plano de saúde) → 
secretária coleta 
➢ Anamnese 
➢ Exames 
➢ Entre outros... 
2. Processamento e análise de dados 
➢ Análise das anotações antes da próxima 
consulta 
➢ Ex: O paciente marca retorno para saber 
sobre o tratamento e antes dele chegar 
tento lembrar do caso → olha o prontuário 
 2.1 Classificando e rotulando os dados 
➢ Tem 2 tipos de dados: o que a secretária 
coletou e o que eu coletei → diferenciar os 
dados que devem ficar restritos ao 
médico/paciente, os dados que não têm 
problema a secretária saber e os dados 
que podem ser abertos para todos 
➢ Diferenciação entre dados de contato e 
dados sensíveis 
✓ Dados sensíveis: pode gerar algum 
problema para o paciente (Ex: 
patrão fica sabendo que o paciente 
tem depressão e quer demitir ele); 
dados de saúde (anamnese, 
exames) 
2.3 Armazenamento e proteção 
➢ Se só eu posso saber os dados do 
paciente, tenho que armazenar os dados 
onde só eu tenho acesso → Ex: armário 
com chave 
➢ Os dados que a secretária pode saber 
(nome, CPF, endereço) ficam na clínica 
trancada 
2.4 Compartilhamento 
➢ Em algum momento pode ser que preciso 
compartilhar esses dados (Ex: preciso de 
ajuda para manejar o caso que estou com 
dificuldade) 
➢ Discute o caso com outro colega 
➢ Situações específicas 
2.5 Reutilizando os dados 
➢ Utilizar mais de uma vez os dados para 
outros propósitos/lugares 
➢ Ex: Mudança de endereço da clínica 
2.6 Movendo os dados 
➢ Ex: ao mudar de endereço pego a agenda 
com dados de contato e o arquivo/armário 
com prontuários 
2.7 Retenção dos dados 
➢ Ex: dar alta para o paciente (não precisa 
voltar na clínica) → não deixa prontuário 
junto com os demais (“arquivo morto 
trancado”) 
2.8 Monitoramento dos dados 
➢ Sempre se assegurar que os dados estão 
seguros 
3. Eliminação dos dados 
➢ No caso de dados de papel (prontuário 
físico), se o paciente ficar 20 anos sem 
voltar na clínica incinera o prontuário → 
não é obrigado guardar (porque acaba o 
espaço para armazenar) 
➢ Se o prontuário é eletrônico deve ser 
armazenado indefinidamente 
✓ Não precisa de espaço físico 
✓ Garante segurança para o 
profissional → justiça 
 
A eliminação de dados na saúde nem sempre 
acontece, principalmente se forem digitais 
Lei Geral de Proteção de Dados Pessoais 
(LGPD) 
• Criada em agosto de 2018 → vigorou em 2020 
• Inspirada na Lei Europeia (GDPR) 
• 65 artigos 
➢ Alterada pela Medida Provisória 869/2018 
➢ Pela Lei n. 13.853/2019 
• Objetivo da Lei Geral de Proteção de Dados 
Pessoais: Preservar os dados das pessoas físicas 
➢ Dados pessoais 
✓ Dados de pessoas físicas 
✓ Diferente de dados de empresas 
➢ Informações que podem ser ligadas ao seu 
“dono” = titular 
✓ Todas as informações que a LGPD 
garante devem ser ligadas a uma 
pessoa (dono/titular dos dados) 
✓ Um dos 4 elementos dos dados em 
saúde é a identificação (nome) 
✓ Ex: Se vazar uma folha com dados 
do paciente, mas nela não tem 
identificação sobre quem é, a 
LGPD não cobre → só garante 
proteção quando vincula um nome 
a um determinado dado → 
precisam ser identificáveis 
✓ Importante ao registrar dado: 
nome, tipo de dado, o dado, data e 
hora 
 
 
 
LGPD protege todos os dados pessoais, mas 
garante principalmente a proteção de dados 
sensíveis 
Diagrama: 
➢ Todo dado de saúde é um dado sensível 
➢ Todo dado sensível é um dado pessoal 
(dado que consigo identificar quem é o 
dono) 
➢ Nem todo dado pessoal é um dado 
sensível 
➢ Nem todo dado sensível é um dado e 
saúde 
Exemplo de dado pessoal: CPF do paciente 
Exemplo de dado sensível: Religião do paciente 
Exemplo de dado de saúde: Depressão e 
medicamentos em uso 
Os 10 princípios da LGPD 
1. Princípio da não-discriminação 
• Os dados não devem ser utilizados com fins 
discriminatórios, ilícitos ou abusivos 
• Pode levar a multa e até prisão 
• Quando a lei é abrangente, prevalece o bom 
senso 
• Não pode haver cobrança de valores diferentes 
a partir das informações dos dados 
“Art. 11. (...) § 5º É vedado às operadoras de 
planos privados de assistência à saúde o 
tratamento de dados de saúde para a prática de 
seleção de riscos na contratação de qualquer 
modalidade, assim como na contratação e 
exclusão de beneficiários.” 
➢ Ex: os planos de saúde não podem cobrar 
mais caro ao saber que a pessoa tem 
alguma doença (vão “custar mais caro” ao 
plano) 
2. Princípio da finalidade 
 • O tratamento dos dados deve ser feitos de forma 
legítima, ou seja, deve ter uma finalidade 
específica (um objetivo) 
➢ Ex: Ficar olhando prontuário de antigos 
pacientes do hospital 
• Consentimento nem sempre é obrigatório 
➢ Ex: Urgência e emergência → não dá 
tempo de pedir consentimento para 
acessar o prontuário, aos dados do 
paciente 
Quais momentos devo acessar o prontuário 
pensando no princípio da finalidade: 
 
Tutela da saúde (o estabelecimento de saúde que 
eu for atendido tem tutela sobre meus dados): por 
isso o prontuário fica lá 
Deve acessar se o juiz mandar 
Pesquisa: posso utilizar os dados, sem 
necessariamente consentimento da pessoa, 
desde que o órgãos de pesquisa não tenham fins 
lucrativos → Ex: se trabalho na bayer não posso 
acessar sem consentimento, mas se trabalho em 
órgão público sim 
3. Princípio da necessidade 
• Tratamento de dados deve ocorrer quando 
estritamente necessário 
• Ex: para diagnosticar um paciente 
• Mas também por obrigações regulatórias 
Ex: juiz me obrigar a acessar o prontuário ou eu 
preciso acessar para me defender de acusação de 
erro médico 
4. Princípio da adequação 
• Soma dos princípios de finalidade e de 
necessidade 
• Um tratamento de dados adequado é aquele que 
é compatível com as finalidades, com as 
necessidades, e que encontra justificativa na lei 
• Só devo acessar os dados de saúde de uma 
pessoa se cumprir finalidade específica e quando 
for realmente necessário → reforçar 
5. Princípio da precisão 
• As informações devem ser mantidas atualizadas 
e corretas, ou seja, devem ser precisas 
Se o paciente vê erro no prontuário dele ele pode 
pedir para corrigir 
• CFM regulamenta a questão de adequação de 
dados de prontuário → conflito com o princípio 
➢ A regulamentação do CFM não permite 
que edite prontuário 
➢ Posso criar novo atendimento “corrijo dado 
escrito tal dia” 
➢ Não posso rasurar 
➢ Se paciente pedir que não conste doença 
no prontuário → não pode ocultar 
informação de saúde 
➢ CFM sempre prevalece em relação ao 
LGPD! 
 
6. Princípio do livre acesso 
• Titular deve ter acesso livre, facilitado e gratuito 
às suas próprias informações, e à forma como elas 
são tratadas 
• Pode até pedir cópia do prontuário dele 
• Direito anterior à própria LGPD → Código de 
Ética Médica 
• Não só sobre o dado em si deve ter livre acesso, 
mas a forma como os dados são tratados → se o 
paciente perguntar como guarda os dados dele, 
devemos mostrar que está trancado 
7. Princípio da transparência• Corrobora o princípio do livre acesso, 
principalmente em relação ao tratamento de dados 
→ sempre deixar claro a forma como os dados são 
tratados 
• Como a LGPD trata principalmente de dados 
digitais, quando formos fechar com uma empresa 
que faz prontuário eletrônico, precisamos ver se 
atende a LGPD → pedir documento e colar na 
clínica ou divulgar em algum lugar (transparência) 
→ mostrar que respeita os dados 
• As pessoas ou empresas que realizam o 
tratamento de dados de outros indivíduos devem 
ser transparentes quanto à forma como os dados 
são tratados (como, por quem e por que) 
• Política de proteção de dados robusta 
➢ Não só para quem procura pelas 
informações 
 
8. Princípio da segurança 
• Importante!! 
• Devem ser adotadas medidas técnicas e 
administrativas capazes de proteger efetivamente 
as informações pessoais 
• Mundo físico → trancar com cadeado 
• Mundo digital → qual sistema de segurança? 
9. Princípio da prevenção 
• Além de preservar os dados tem que prevenir 
que aconteça algum problema 
• Caso aconteça problema: minimizar 
Muitas empresas de prontuário eletrônico tem 
medidas de redução de danos → Ex: vazou dados 
imediatamente bloqueia o sistema 
• As medidas técnicas e administrativas adotadas 
devem também ter como objetivo a redução de 
riscos e de danos, em caso de incidentes 
• Colaboração multidisciplinar 
➢ Profissionais de saúde, gestores, TI e 
jurídico 
➢ Pode pedir só assessoria para o 
profissional e montar documento da LGPD 
 
10. Princípio da responsabilização e 
prestação de contas 
• Além de respeitar a LGPD e os demais 
princípios, é preciso ter formas de comprovar que 
as medidas necessárias foram adotadas, e que a 
lei foi observada 
• Caso há vazamento de dados mostrar que 
protegeu 
 
Riscos envolvidos no tratamento de dados 
 
Principal risco: ciberataques (hackers) 
Agência Nacional de Proteção de Dados (ANPD) 
→ pode multar e divulgar o incidente (pode sujar o 
nome) 
A cada dia de vazamento de dados: 2% de 
faturamento 
Podemos sofrer ações judiciais dos donos dos 
danos 
Conclusões 
• Os profissionais de saúde precisam conhecer 
bem a lei para aplicação prática 
• Também a regulamentação dos diferentes 
órgãos → correlacionar a LGPD com o Código de 
Ética Médica (este sobressai – Ex: precisão) 
• Sempre é importante repensar a prática (estou 
cuidando bem dos dados do meu paciente?) 
• A proteção de dados também protege seu 
paciente