LGPD na prática: 10 pontos que merecem atenção
A área da saúde depende de informações individuais para realizar uma série de registros e procedimentos; por isso, o segmento sempre esteve sujeito a controles muito rígidos em relação ao sigilo e à segurança dessas informações. Com a Lei Geral de Proteção de Dados Pessoais (LGPD), nº 13.709/18, os cuidados precisam ser redobrados.
Dados pessoais e dados sensíveis
A lei define as informações que devem ser protegidas, estabelecendo dois conceitos importantes: o de dados pessoais e o de dados pessoais sensíveis.
Dado pessoal
Informação que identifica ou permite a identificação de um indivíduo. É o caso do nome, números de documentos, endereço, telefone, e até mesmo dos hábitos de consumo.
Dado pessoal sensível
A lei classifica como dados pessoais sensíveis informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Princípios da LGPD
Ao coletar, armazenar e tratar dados pessoais ou dados pessoais sensíveis, é preciso observar alguns critérios que vão ajudar a estabelecer limites em relação ao uso e compartilhamento dessas informações, bem como a importância de dar transparência em relação ao assunto. A própria lei já destaca os 10 princípios que devem orientar todas as decisões em relação ao assunto.
1 Finalidade
O tratamento dos dados deve ser feito para atender a uma finalidade específica, legítima e informada claramente ao titular.
2 Adequação
O tratamento dos dados deve estar adequado à finalidade informada ao titular.
3 Necessidade
O tratamento deve estar limitado ao mínimo necessário para realizar suas finalidades.
4 Livre acesso
Os titulares têm garantido o direito à consulta facilitada e gratuita sobre suas informações e sobre a forma e duração do tratamento.
5 Qualidade dos dados
É garantido aos titulares a exatidão, clareza, relevância e atualização dos dados.
6 Transparência
Os titulares têm direito a informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados.
7 Segurança
Devem ser adotadas medidas eficazes para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas que possam comprometê-los.
8 Prevenção
Devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento dos dados pessoais.
9 Não discriminação
O tratamento dos dados não pode ser utilizado para fins discriminatórios, ilícitos ou abusivos.
10 Responsabilização e prestação de contas
O agente deve comprovar que adota medidas eficazes no cumprimento das normas de proteção de dados pessoais.
Nas instituições de saúde
O sócio da Daryus Consultoria, especialista e evangelista em Cibersegurança e Proteção de Dados, Cláudio Dodt, explica que clínicas, consultórios e outras instituições de saúde devem adotar critérios ainda mais rígidos em virtude do tipo de informação que coletam, armazenam e utilizam no dia a dia. Confira os principais pontos de atenção!
Dados médicos
Os dados médicos dos pacientes (titulares dos dados) são categorizados pela LGPD como dados sensíveis, exigindo controles ainda mais rígidos do que aqueles relacionados aos dados pessoais comuns.
Sistemas de TI
Os sistemas de TI utilizados nessas instituições devem incluir bons controles de segurança e passar por avaliações periódicas. É vital ter atenção a pontos como controle de acesso, evitando o compartilhamento de credenciais, ou mesmo, a existência de acessos desnecessários, o que na Europa, que já conta com uma regulamentação de proteção de dados há mais tempo, já resultou em multas para hospitais.
Mapeamento
Qualquer organização que deseje proteger dados de forma efetiva precisa saber quais são os tipos de dados tratados, o motivo pelo qual o tratamento é realizado, onde estes dados são armazenados e quais controles de segurança são aplicados. Normalmente, isso é feito através do mapeamento de dados pessoais, uma atividade fundamental no processo de adequação à LGPD.