Hospitais, clínicas e consultórios médicos coletam e utilizam uma série de dados pessoais e sensíveis de seus pacientes, inclusive resultados de exames, diagnósticos e, em alguns casos, material genético. Por isso, sua equipe médica precisa estar preparada para lidar com a Lei Geral de Proteção de Dados Pessoais (LGPD).
A LGPD é um conjunto de normas focadas em garantir a segurança no uso de dados pessoais, com o objetivo de coibir golpes, fraudes e outros usos indevidos dessas informações. Ela exige que empresas que tratam esses tipos de dados (como é o caso dos estabelecimentos médicos) sigam uma série de diretrizes.
Contudo, ela é uma lei relativamente recente, e muitos gestores não sabem ao certo como proceder para implementar novas práticas de segurança e preparar a sua clínica para a LGPD. Assim, correm o risco de cometer enganos que podem comprometer seu negócio no futuro.
Por isso, acompanhe este artigo e conheça cinco grandes erros que gestores e equipes médicas ainda cometem ao lidar com os dados pessoais dos pacientes do consultório!
1. Não ter um inventário de dados para garantir uma clínica segura
2. Não auditar o processo de mapeamento de dados
3. Não manter o controle sobre os acessos da equipe médica
4. Não arquivar os dados da sua gestão médica corretamente
5. Não atualizar o inventário da clínica médica
Conte com um sistema de gestão que garanta a segurança de dados dos seus pacientes
1. Não ter um inventário de dados para garantir uma clínica segura
O primeiro passo para manter o controle dos dados pessoais que estão em posse da clínica é criar um inventário, concentrando e organizando todas as informações, a fim de facilitar sua conferência, além de garantir a segurança e a restrição de acesso.
O inventário também é conhecido como mapa de dados (ou data mapping, em inglês) e sua implementação é requisitada pelo art. 37 da LGPD, que diz:
“O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.”
Sendo assim, ele se configura como parte fundamental da adequação da clínica à LGPD. Além da questão de organização e segurança, outra função é a de rastrear o uso dos dados ao longo do tempo conforme as finalidades da empresa.
Por que fazer um data mapping é importante?
Além de ser uma exigência legal, o mapeamento revela quais são os principais pontos de fragilidade de segurança na forma com que a clínica trabalha com os dados. Isso permite que o gestor tome as providências necessárias para reforçar questões relacionadas à privacidade das informações.
Vale ressaltar que todos os dados de pessoas vivas constantes na clínica precisam ser protegidos. Isso envolve os prontuários, exames e cadastro de pacientes, mas também informações de funcionários, gestores e até mesmo de fornecedores.
Dessa forma, a segurança dos dados precisa, inclusive, ir além dos dados constantes no sistema de gestão, abrangendo formulários, atestados, documentos de RH, dados de contabilidade, entre outros.
Assim, esse documento geralmente consiste em uma tabela ou planilha, constando todos os dados pessoais que a clínica possui, organizados em linhas e colunas. Entenda melhor o processo:
Como mapear os dados pessoais coletados pela clínica médica?
Entenda a estrutura interna da empresa
Você pode ser o dono de um consultório médico, trabalhando sozinho ou apenas com uma secretária e recepcionista, ou um gestor que tem responsabilidade sobre uma clínica que conta com diversos setores, cada qual com um ou mais colaboradores.
Independentemente do caso, antes de começar o processo de mapeamento, é fundamental compreender o caminho que os dados percorrem dentro da clínica e a própria razão pela qual eles são coletados.
Sabendo o motivo e o grau de necessidade de cada tipo de dado, é preciso deixar claro como eles serão tratados internamente e externamente.
Em clínicas e consultórios médicos, os dados pessoais dos pacientes geralmente são utilizados na comunicação entre empresa e cliente. Já os dados sensíveis, relacionados ao estado de saúde de quem foi atendido pelo estabelecimento, são utilizados no prontuário e arquivados a fim de manter um histórico consistente de cada paciente.
As informações relacionadas à equipe da clínica, por sua vez, são mantidas, principalmente, por questões trabalhistas.
A partir desse conhecimento, é preciso avaliar como tudo que foi coletado será classificado. Pergunte-se:
- Quais dados são coletados?
- Por quais meios esses dados são obtidos?
- Por que esses dados são coletados? Qual é a finalidade disso?
- Quem tem acesso a esses dados?
- Por quanto tempo eu mantenho esses dados?
- Onde eles ficam armazenados?
- Esses dados são compartilhados?
- Quais são as bases legais (consentimento, legítimo interesse)?
Monte o Relatório de Impacto à Proteção de Dados Pessoais
O mapeamento de dados é traduzido no Relatório de Impacto à Proteção de Dados Pessoais, também conhecido pela sigla RIPD. Ele é exigido quando um dado é tratado por legítimo interesse ou no caso do tratamento de dados pessoais sensíveis.
O RIPD é um documento obrigatório para demonstrar a adequação da sua clínica quando solicitado pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Para tanto, ele contém a descrição dos processos de tratamento de dados pessoais de sua clínica que podem gerar riscos às liberdades civis e aos direitos fundamentais das pessoas. Além disso, o RIPD também deve conter salvaguardas, medidas e outros mecanismos que reduzam esse risco.
Seu objetivo é comprovar que a clínica conhece os riscos relacionados ao seu tratamento de dados e está cumprindo suas obrigações para evitá-los.
O RIPD deve conter as seguintes informações:
- Natureza do tratamento: o que a clínica fará com os dados coletados e a forma como acontece a coleta, o armazenamento e a utilização. É preciso indicar também quem pode ter acesso, por quanto tempo, quais tecnologias serão usadas, etc.
- Escopo: o que o tratamento de dados abrange em sua clínica, considerando a natureza, o volume e a sensibilidade dos dados pessoais. Também é preciso prever a extensão, a frequência e a duração do tratamento, assim como o número de dados envolvidos e até a área geográfica coberta.
- Contexto do tratamento: fatores internos e externos que podem afetar a maneira como a clínica lida com os dados. Isso envolve a fonte das informações, o relacionamento da clínica com seus pacientes, o controle que os titulares têm sobre as próprias informações e até avanços tecnológicos, entre outros.
- Objetivo do tratamento: o motivo pelo qual a clínica realiza o tratamento de dados. Isso envolve os interesses legítimos da própria clínica assim como o resultado pretendido para os pacientes e para a sociedade como um todo.
Essa é a estrutura simplificada de um RIPD. Algumas colunas podem surgir ou ser suprimidas dependendo da realidade de cada clínica. Por isso é tão importante conhecer os seus processos internos de armazenamento e tratamento de dados e contar com um profissional para ajudar na construção do relatório.
2. Não auditar o processo de mapeamento de dados
O levantamento do inventário de dados é um processo que requer muito cuidado e atenção durante sua execução. Afinal, estamos falando de um documento exigido por lei.
Para garantir que tudo esteja dentro dos conformes, é essencial que a clínica faça a revisão e auditoria do relatório.
Com essa finalidade, é essencial que a sua gestão conte com apoio profissional. Geralmente, as clínicas contratam consultorias para ajudar a direcionar suas ações, principalmente na decisão de contratar um profissional interno ou terceirizado (as a service) para organizar esses elementos do relatório.
De acordo com a LGPD, a nomenclatura desse profissional perito no assunto é Encarregado de Dados. Contudo, ele também pode ser conhecido com o termo em inglês Data Protection Officer, normalmente abreviado para DPO.
Independente do nome, o DPO é quem irá garantir que a empresa detenha e manipule os dados seguindo as normas da LGPD.
O fato é que, seja por um profissional da equipe ou um terceirizado, reiteramos a importância de verificar se os dados estão inseridos corretamente no sistema e se a forma como eles estão sendo utilizados e mantidos pela empresa está em conformidade com a lei vigente.
3. Não manter o controle sobre os acessos da equipe médica
Limitar o acesso aos arquivos é uma premissa básica para a segurança de dados pessoais em qualquer empresa, incluindo clínicas e consultórios. Felizmente, manter esse controle é muito mais fácil quando se conta com um software de gestão médica.
Com um sistema como o MedPlus, é possível definir diferentes logins e senhas, tornando o acesso aos dados um recurso exclusivo para diferentes pessoas, dependendo do seu nível de autorização. Esse cuidado evita que pessoas não autorizadas acessem as informações.
Além disso, é importante destacar que o paciente tem o direito de acessar seus próprios dados a qualquer momento. Um software de gestão acaba sendo um aliado também nessa situação, pois com ele as informações podem ser localizadas com agilidade e segurança.
E com uma ferramenta de prontuário eletrônico agregada, a organização de todos os pontos mais importantes em relação ao diagnóstico e tratamento do paciente estará garantida.
Para os demais casos, o acesso deve ser sempre restrito, levando em consideração a função de cada um na equipe e para qual finalidade os dados serão usados.
Controle de Acesso Baseado na Função e princípio do menor privilégio
Como o próprio nome diz, o Controle de Acesso Baseado na Função leva em consideração o trabalho exercido por cada membro da equipe para saber o nível de acesso aos dados que ele pode ter.
Com um sistema de gestão, é possível restringir o acesso dos membros da equipe médica apenas aos dados que eles precisam. Estabelecer limites desse tipo é muito importante para manter a segurança da informação.
Por exemplo: dificilmente alguém do setor financeiro precisará saber de informações sobre o diagnóstico do paciente. Portanto, esses dados podem ficar exclusivos para o médico e outros profissionais.
No caso extraordinário de algum colaborador precisar de informações além das que utiliza rotineiramente, parte-se do princípio do menor privilégio, em que ele poderá acessar por tempo limitado dados específicos. Isso também é possível de se controlar com um bom software de gestão de clínicas.
4. Não arquivar os dados da sua gestão médica corretamente
Para manter a segurança dos pacientes em sua clínica médica, é fundamental que os arquivos estejam bem armazenados e organizados. Dessa forma, o risco de se perderem ou extraviarem é muito menor.
Usar planilhas pode parecer uma boa ideia no começo, pois estamos falando de uma interface simples e programas que a maioria das pessoas já estão familiarizados, como o Excel ou Google Planilhas.
No entanto, à medida que o banco de dados vai crescendo, administrá-lo acaba se tornando uma tarefa bem mais complicada se o gestor não pode contar com ferramentas de integração e recursos adicionais.
Por isso, o mais indicado é investir em um software de gestão médica desde o início.
Como um sistema de gestão de clínicas médicas pode ajudar?
Um sistema próprio para clínicas e consultórios médicos possui funcionalidades específicas para ajudar na gestão de dados. Muito melhor que nas planilhas improvisadas, as informações dos pacientes ficam armazenadas em uma plataforma amigável e eficiente, que facilita o tratamento e consulta de dados, além do processo de cadastrar novos pacientes.
Ademais, softwares como o MedPlus, que prezam pela segurança de seus clientes, armazenam os dados em um ambiente seguro. Isso significa que as informações só poderão ser acessadas mediante autenticação por login e senha.
E o volume de informações definitivamente não é um problema, pois o sistema opera em nuvem, armazenando as informações de forma online. Isso facilita o compartilhamento quando necessário, além de economizar espaço físico e digital.
5. Não atualizar o inventário da clínica médica
O inventário da clínica médica contém a informação de onde os dados podem ser encontrados. Então, para que ele continue a exercer sua importante função, é essencial mantê-lo atualizado.
Essa atualização deve acontecer sempre que houver mudanças de processos ou locais de armazenamento, contratação de um novo operador, criação de novas planilhas etc.
Crie na clínica o hábito de revisar periodicamente o inventário, conferindo com os dados no sistema para saber se as informações continuam as mesmas.
É recomendado, também, que os profissionais da recepção tenham o hábito de confirmar as informações pessoais dos pacientes no ato de agendamento das consultas e assim que eles dão entrada na clínica.
Conte com um sistema de gestão que garanta a segurança de dados dos seus pacientes
A adaptação de uma clínica médica às exigências da LGPD não é simples. É essencial adotar várias medidas de segurança, como as vistas neste artigo.
Além delas, você também precisa de algumas outras técnicas. Confira:
- Medidas de segurança técnicas para LGPD em clínicas médicas: o que fazer?
- Medidas administrativas de segurança: sua clínica não está 100% segura!
E para fazer tudo isso, é essencial contar com um sistema de gestão que esteja preparado para garantir a segurança em sua clínica médica.
Quer ajuda para escolher a melhor opção para as demandas da sua clínica? Então confira nosso eBook sobre o assunto:
