Informação é essencial no atendimento à saúde. Conhecer o histórico do paciente e saber se ele é alérgico a alguma substância ou possui problemas congênitos, por exemplo, é extremamente importante para o trabalho do médico. Porém, é preciso cuidar para não ocorrer o vazamento de dados dos pacientes.
Isso porque clínicas e consultórios médicos armazenam diversos dados de pacientes, como cadastros para identificá-los, prontuários para conferência e acompanhamento do histórico e muitas outras informações delicadas, que fazem parte do dia a dia do atendimento à saúde.
Além disso, é preciso considerar os dados médicos, fiscais e financeiros que são centrais ao funcionamento e à gestão da própria clínica.
Levando em conta tudo isso, fica claro que garantir a segurança de informações no trabalho médico é fundamental.
Afinal, ter esses dados vazados pode se tornar uma grande dor de cabeça, principalmente agora, que clínicas e consultórios precisam estar adequados à Lei Geral de Proteção de Dados Pessoais (LGPD).
O sigilo médico em relação ao estado clínico do paciente já era uma obrigação, mas agora, com a LGPD, a segurança de dados dos pacientes e da própria clínica se tornou ainda mais essencial, já que a privacidade dos dados se tornou um direito fundamental, garantido pela constituição federal.
Por isso, preparamos este texto sobre segurança de informações, LGPD na área da saúde e os riscos do vazamento de dados em clínicas e consultórios médicos. Continue sua leitura e saiba mais:
- O que diz a LGPD sobre o armazenamento de dados em clínicas ou consultórios?
- Por que é importante se preocupar com o vazamento de dados em sua clínica?
- Como reforçar a segurança de dados médicos na área da saúde?
O que diz a LGPD sobre o armazenamento de dados em clínicas ou consultórios?
Antes de falarmos dos riscos do vazamento de dados médicos, é preciso compreender melhor a legislação atual que rege o armazenamento e a utilização de informações pessoais por empresas.
A Lei Geral de Proteção de Dados Pessoais (LGPD) é um marco legislativo cujo objetivo é garantir a segurança de informações de cada cidadão. Para isso, ela conta com diversas regulamentações, mas a principal questão que devemos ter em mente é a determinação de que cada pessoa é a proprietária única e exclusiva de seus dados.
Na prática, médicos e gestores precisam captar, armazenar e utilizar os dados do paciente ao iniciar um atendimento. Porém, o estabelecimento médico só pode usar as informações quando houver uma finalidade definida e de acordo com uma das bases legais de tratamento trazidas pela LGPD, isso inclui o cadastro de pacientes, a agenda médica e o prontuário.
Além disso, ao armazenar informações de um paciente, torna-se função da clínica ou consultório garantir a segurança desses dados, evitando que pessoas não autorizadas os acessem.
Se quiser saber mais sobre o funcionamento da LGPD na área da saúde, confira: 4 dúvidas esclarecidas sobre a LGPD para clínicas médicas.
O uso de dados sensíveis em clínicas e consultórios médicos
O vazamento de dados é ainda mais sério na área da saúde porque clínicas coletam informações como condição de saúde, estilo de vida, dados genéticos, entre outras.
A LGPD considera essas informações — junto com outras como origem étnica, convicção religiosa, posicionamento político — dados sensíveis, o que torna sua segurança ainda mais importante.
Leia mais: Quais são os dados sensíveis do seu paciente?
O não cumprimento dos preceitos fundamentais da LGPD pode incorrer em sérias sanções administrativas e judiciais para a clínica ou consultório. Vamos falar dessas consequências a seguir:
Por que é importante se preocupar com o vazamento de dados em sua clínica?
A partir da aplicação da LGPD, a lei se tornou a principal balizadora das discussões acerca de segurança de dados pessoais em empresas (inclusive em clínicas médicas). Por isso, suas definições — e punições — são as primeiras que vêm à mente ao discutir o vazamento de informações.
Sanções administrativas da Lei Geral de Proteção de Dados Pessoais
Uma clínica médica que não garante a segurança dos dados de seus pacientes está vulnerável a receber todas as sanções administrativas previstas pela Lei Geral de Proteção de Dados Pessoais (LGPD).
Tais punições são de natureza admoestativa (reprimendas mais brandas), pecuniária (punições com multa) e restritiva de atividades. O art. 52º da lei define que a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar as seguintes sanções:
- Advertência, com indicação de prazo para adoção de medidas corretivas.
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
- Multa diária, observado o limite total a que se refere o inciso II.
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência.
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização.
- Eliminação dos dados pessoais a que se refere a infração.
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período.
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Na prática, isso significa que casos mais leves de descumprimento da LGPD podem resultar em simples advertências. No entanto, situações mais sérias — como o vazamento de dados médicos — tendem a incorrer em altas multas e até na suspensão do trabalho da clínica. Afinal, é praticamente impossível atender um paciente se o médico não puder acessar seus dados.
Leia mais: Sua equipe médica está preparada para a LGPD? Não cometa estes 5 erros em sua clínica!
Outras consequências da falta de segurança de dados em clínicas médicas
Ainda que a aplicação da LGPD tenha tornado a segurança de dados mais importante e que suas regulamentações balizem quase toda a discussão sobre o assunto, há ainda outros problemas do vazamento de informações em uma clínica médica.
Essas questões precedem a nova legislação e precisam ser levadas em conta por médicos e gestores:
- Processos
Tanto o vazamento de dados quanto o uso indevido das informações podem ser levados à justiça pelos pacientes atingidos — ou mesmo por médicos e colaboradores que tenham sido expostos.
Dessa forma, além das punições da LGPD, uma clínica ou consultório pode acabar tendo de pagar indenizações por danos morais, por exemplo.
- Perda de reputação
Um vazamento de dados tende a prejudicar gravemente a imagem de seu consultório médico. Afinal, um estabelecimento incapaz de deixar os dados de seus pacientes seguros não vai ser visto com bons olhos na área da saúde.
Isso acaba refletindo em uma séria redução no número de consultas, em uma perda de pacientes fidelizados e até em uma dificuldade em conquistar novos atendimentos.
Também é preciso levar em conta o mal-estar gerado entre a clínica e os pacientes expostos pelo vazamento, que não apenas vão parar de frequentar seu estabelecimento como também podem fazer publicidade negativa para amigos e familiares.
- Dificuldade no atendimento ao paciente e na gestão da clínica
Como já sabemos, os dados são fundamentais para todos os serviços em uma clínica e consultório médico. Um vazamento que deixe essas informações indisponíveis pode forçar a suspensão do trabalho, mesmo sem a punição da LGPD.
Os perigos do ransomware em clínicas e consultórios
Em setembro de 2020, 400 instalações médicas do Universal Health Services, Inc. (empresa internacional de serviços hospitalares e de saúde), foram alvo de um ataque hacker que causou danos que chegaram ao montante de U$ 67 milhões, como reportado em diversos veículos da mídia internacional e confirmado pela própria empresa.
No Brasil, um ataque semelhante atingiu o Ministério da Saúde e o app ConecteSUS em dezembro de 2021. Segundo a imprensa brasileira, os invasores “sequestraram” dados e deixaram tudo temporariamente indisponível para o trabalho. O próprio Ministério confirmou o ataque e destacou que não houve perda definitiva de dados, mas os sistemas só foram reestabelecidos em meados de janeiro.
Esse tipo de ataque é conhecido como ransomware e também gera sérias consequências, colocando em risco não apenas suas finanças, mas também a vida dos pacientes. Por isso, é fundamental contar com um sistema muito seguro para a gestão médica.
Como reforçar a segurança de dados médicos na área da saúde?
Agora que você já tem uma visão mais clara das consequências do vazamento de dados, podemos falar sobre medidas que podem ser tomadas para reduzir esse risco e fortalecer a segurança de informações em sua clínica.
Separamos alguns passos importantes que estabelecimentos médicos devem tomar. Confira:
- Contar com armazenamento digital dos dados médicos
Manter informações, prontuários, cadastros e agendas no papel é uma péssima escolha para clínicas e consultórios médicos. Arquivos físicos ficam mais vulneráveis ao acesso de pessoas não autorizadas e é muito fácil perder, extraviar ou mesmo danificar documentos armazenados dessa forma.
Um armazenamento digital, por sua vez, elimina completamente o perigo de extraviar ou danificar documentos, além de fortalecer a segurança das informações — principalmente se ele estiver em um sistema de gestão seguro para clínicas médicas.
O software de gestão médica MedPlus é um grande exemplo disso. Nosso sistema conta com criptografia de ponta, backup diário dos arquivos e diferentes níveis de acesso para a equipe médica. Além disso, ele está em conformidade com as exigências da LGPD e do Conselho Federal de Medicina (CFM).
Para melhorar, o MedPlus não fica instalado nos computadores da clínica, e sim disponível online na nuvem mais segura e utilizada do mundo: a Amazon Web Services (AWS). É essa tecnologia, aliada a outras utilizadas no MedPlus, que irá ajudar a proteger os dados da sua clínica.
Leia mais: Garanta a segurança dos dados de sua clínica ou consultório médico com o MedPlus!
- Utilizar assinatura digital
Com a assinatura digital, você pode autenticar documentos — como seu prontuário eletrônico — de forma segura, rápida e sem risco de fraudes.
Com a criptografia da assinatura digital do MedPlus, por exemplo, só quem tiver o outro par da chave tem acesso aos documentos, o que oferece uma garantia extra de sigilo para os dados sensíveis armazenados em cada prontuário.
- Adequar-se à LGPD
Para atender às obrigações ditadas pela LGPD, é fundamental conhecer o texto da lei e adequar-se a ele. Algumas das principais medidas são:
- Coletar apenas informações essenciais no cadastramento ou no atendimento de pacientes.
- Apresentar para o pacientes, de forma documentada, quais são os dados coletados e quais usos serão feitos deles.
- Garantir transparência sobre o uso dos dados para o paciente.
- Jamais compartilhar informações sem o consentimento do titular.
- Contar com um controle de acesso aos dados.
- Elaborar Políticas de Privacidade e Controle de Informação e deixá-las disponíveis para a consulta de seus pacientes.
Para saber mais sobre o assunto, você pode ler: Medidas de segurança técnicas para LGPD em clínicas médicas: o que fazer?
Contar com um canal do titular também é uma excelente decisão. Saiba mais: O que é o canal do titular e por que ele é importante para sua clínica médica com a LGPD?
Se você quer saber se sua clínica está adequada à legislação, confira nosso quiz da LGPD. Preparamos 13 perguntas em parceria com a dra. Sandra Franco, especialista em direito médico, para entender a situação do seu estabelecimento e apresentar dicas para você finalmente atender aos requisitos da lei. Confira:
