Por que os profissionais e empresas de saúde precisam se adequar à Lei Geral de Proteção de Dados?

Não é novidade que a inteligência artificial (AI) e internet das coisas (internet of things - IoT) estão, incessantemente, ressignificando a tecnologia na saúde e prestação de serviços a ela ligados.

A indústria 4.0, com a qual estamos convivendo agora, vem transformando nossa sociedade criando um novo modelo social, a sociedade digital, o que, ao nosso ver, é irrefreável.

Os dados agora são o "novo petróleo" do mundo e, em tempos de big data, todas as pessoas e empresas vivem buscando a segurança da informação, proteção dos dados e a privacidade com base em suas informações digitais, seja em seu computador, smartphone, servidores PACS, sistemas HIS / RIS, todo local onde possa armazenar dados pessoais, estejam esses em empresas privadas ou públicas.

Com efeito, mesmo com o uso cada vez mais intenso de dados sensíveis no setor de saúde e nos mais diversos setores de mercado, o Brasil só ganhou em agosto de 2018 uma legislação específica para a proteção dessas informações.

A Lei n° 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD),  cria obrigações e impõe sanções às instituições que não cuidarem dos dados com responsabilidade - algo que pode parecer novo, mas que já é um aspecto fundamental de toda organização que digitaliza suas informações. O principal objetivo da lei é garantir a proteção das informações pessoais compartilhadas nos meios digitais, além da liberdade e o livre acesso dos proprietários aos dados. 

A falta de conformidade na busca ou aplicação de normas de segurança da informação, de leis de proteção de dados, de gestão de TI, e no compliance digital pode determinar forte penalidades para os proprietários, sua equipe, assim como os prestadores de serviço em saúde. Sendo essa conformidade um fator determinante para os profissionais da saúde manterem seus empreendimentos e a proteção de sua profissão. O conhecimento nestas searas será não mais um conhecimento opcional para essa classe de profissionais, assim como para as demais profissões que manuseiam dados sensíveis.

São diversas atividades rotineiras que envolvem grande quantidade de dados digitalizados e considerados sensíveis, o que requer atenção redobrada das empresas do setor de saúde.

Podemos citar os principais impactos da legislação para o health care:

1. Prontuários eletrônicos e dados dos pacientes: os dados armazenados pelo prontuário eletrônico e outros sistemas só poderão ser usados com autorização expressa de seus proprietários (o consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular). Contudo, existem exceções à regra, como, por exemplo, os casos de proteção da vida, incolumidade física e psíquica ou tutela da saúde. Mas essa dispensa de consentimento informado ainda precisa ser melhor debatida, para evitarmos intrusões indevidas na privacidade e intimidade dos pacientes e usuários do SUS e de planos de saúde.
2. Direito de restrição à informações: Os pacientes terão o direito de saber para que, quando e por quem os seus dados foram utilizados, e poderão restringir o direito de acesso a eles. Como na regra geral do consentimento livre e esclarecido, esse também pode ser alterado a qualquer momento pelo titular dos dados; em como pode haver a solicitação para exclusão dos dados.

---

Para a gestão hospitalar 

1. Sensibilidade: Precisa-se pensar sobre a sensibilidade dos dados gerados pela tecnologia aplicada na Saúde. Por exemplo, a geolocalização, com os últimos locais visitados pelo paciente, pode parecer, à primeira vista, inofensivos na área de saúde. Mas, essas informações podem ser usadas para levantar hipóteses sobre possíveis doenças preexistentes, contagiosas, dentre outras. Assim, por consequência, quanto mais dados forem considerados sensíveis por uma grande corporação de health care, provavelmente serão maiores os custos de tratamento ou de plano ou seguro de saúde.
2. Hospedagem de dados em servidores estrangeiros: esse tipo de informação só poderá ser armazenada em bancos de países nos quais a segurança da informação for semelhante à brasileira. Além disso, todas as empresas e instituições que armazenam dados identificados de pessoas terão que ter políticas registradas e um sistema de gestão de segurança de informação, e pelo menos um gestor responsável pelo mesmo (requisitos que, inclusive, já são exigidos pela norma ISO/IEC 27.001); 
3. Software: os sistemas utilizados pelas organizações terão que implementar massivas e complexas formas de proteção de dados contra vários tipos de roubo de identidade, de bancos de dados, de transações, té mesmo quando armazenados na “nuvem”. 
4. Business Intelligence: para utilização de tecnologias como business intelligence (BI) e analytics, a instituição de Saúde terá de pedir autorização para o paciente e explicar qual o fim destinado aos dados e como eles podem auxiliar no tratamento. Oportuno ressaltar que as informações pessoais não podem ser usadas com finalidade de ampliação de lucro.
5. AI: terá de ser feita adaptação na parte de aprendizado da máquina (inteligência artificial) para que os dados possam ser utilizados para alimentar tecnologias desse tipo. Apesar do dever de garantia do anonimato dos dados é fundamental manter-se um controle da segurança e do sigilo, inclusive em termos de hospedagem e coleta.”

---

 Adaptação

As instituições de saúde têm 18 meses para se adaptar às mudanças. Nesse período, será necessário criar meios para que os sistemas de diferentes lugares sejam integrados e protegidos. 

Outro desafio a ser cumprido no prazo é treinar e engajar os profissionais sobre a responsabilidade no uso dos dados. Além disso, será preciso criar uma comunicação eficiente para que o paciente entenda seus direitos e até mesmo para que a transparência sobre o uso de dados gerados pela tecnologia na saúde seja ainda maior.

Diante dessa transformação social posta, novos padrões de segurança e privacidade deverão serem adotados, voltados ao espaço cibernético, onde os dados e as informações são de fundamentais para sua própria existência.

Ambientes médicos, assim como também, os profissionais, técnicos, auxiliares, gestores e operadores deverão com celeridade buscar aprimorar seus processos de segurança da informação e compliance digital para que a proteção de dados seja garantida, visto que a privacidade é um direito fundamental, principalmente quanto se trata de dados médicos, os quais são denominados dados sensíveis.

O aprimoramento não está relacionado exclusivamente a seara dos técnicos de informática, mas também a todos os colaboradores da saúde, independentemente de seu cargo, seja tanto em ambientes de saúde públicos quanto privados. Cabe perceber que a reinvenção dos processos com base na privacidade e proteção de dados não está relacionado apenas a área digital, mas também no ambiente físico e nas pessoas, com treinamentos voltados ao accountability e boas práticas.

Vale ressaltar que a não adequação à legislação de proteção de dados poderá acarretar em multas altíssimas além de ser uma violação de direitos fundamentais, podendo também gerar indenização em favor de todas as pessoas que tiveram seus dados vazados, violados ou simplesmente tratados de maneira não consentida.

---

REFERÊNCIAS

Lei 13.709/2018, de 14 de agosto. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). 

NAÇÕES Unidas – Carta das Nações Unidas. 1945. [Em linha]. [Consult. 12 junho. 2018]. Disponível em https://nacoesunidas.org/wp-content/uploads/2017/11/A-Carta-das-Na%C3%A7%C3%B5es-Unidas.pdf

REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO, de 27 de abril de 2016. [Em Linha]. Acessado em: 29 set. 2017. Disponível em: http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679

UNITED Nations – Universal Declaration Humans Rights. 1948. [Em linha]. [Consult. 10 junho 2018]. Disponível em: http://www.un.org/en/universal-declaration-human-rights/

SHWAB, Klaus – A Quarta Revolução Industrial. Ed. 1. São Paulo: Edipro, 2016. ISBN 978-85-7283-978-5.

CASTELLS, Manuel – A Galáxia da Internet: Reflexões sobre a Internet, os negócios e a sociedade; Tradução Maria Luiza X. de A. Borges. Rio de Janeiro: Zahar, 2003. ISBN: 978-85-7110-740-3.