Medidas administrativas de segurança: sua clínica não está 100% segura!

Acessos ilegais e vazamentos de dados confidenciais são problemas cada vez mais constantes na era da informação. E eles atingem, também, clínicas e consultórios médicos, que armazenam dezenas de arquivos com dados pessoais de seus pacientes.

Para proteger as suas informações e deixar seus pacientes mais seguros, é preciso adotar medidas técnicas e administrativas e adaptar sua clínica às exigências da Lei Geral de Proteção de Dados Pessoais (LGPD). 

Tendo isso em mente, preparamos este artigo para explicar como sua gestão médica deve lidar com a LGPD, além de como mostrar aos pacientes que existe uma preocupação com seus dados pessoais e de que maneira é possível aumentar a segurança da clínica.

Sendo assim, aqui, vamos deixar importantes sugestões de medidas administrativas para tornar a sua clínica 100% segura, tanto para médicos e gestores quanto para os pacientes que confiam no seu estabelecimento.

Além das medidas administrativas tratadas neste texto, também apresentamos algumas medidas técnicas que podem ajudar muito na segurança de sua clínica. Confira: Medidas de segurança técnicas para LGPD em clínicas médicas: o que fazer?

Nesta era da saúde digital, em que a informação e os dados pessoais dos pacientes são essenciais na gestão médica, ter o respaldo da lei para proteção é um grande avanço. Por isso, garanta que o seu trabalho médico seja feito com o máximo de segurança!

LGPD: o que diz a lei e qual é o seu impacto em clínicas médicas?
A importância de adotar um Código de Conduta na sua clínica médica
Como criar uma Política de Segurança da Informação e de Privacidade?
Como a equipe médica deve se comportar diante da LGPD?
A tecnologia como ferramenta de proteção
As penalidades da LGPD para vazamentos de dados

LGPD: o que diz a lei e qual é o seu impacto em clínicas médicas?

Apesar de a LGPD ter entrado em vigor recentemente, o cuidado com as informações pessoais e sigilosas dos pacientes não é exatamente uma novidade para os médicos. 

De fato, um dos pilares essenciais do Código de Ética Médica é a obrigação de manter sigilo quanto às informações dos pacientes.

A LGPD, contudo, surge para reforçar essa obrigação. Sua principal meta é garantir a proteção dos direitos fundamentais de liberdade, informação, privacidade e a livre expressão de características de qualquer indivíduo.

A lei estabelece alguns parâmetros para definir o modo como um estabelecimento pode lidar com os dados de pessoas físicas.

Desse modo, sua clínica médica deve se preocupar com:

• Como a coleta de dados dos pacientes é feita? 
• De que maneira esses dados são acessados e reproduzidos?
• Como se realiza o armazenamento e eliminação de dados? 
• Como se controla ou se modifica esses dados?
• De que forma sua clínica pode deixar os dados acessíveis para seus titulares?
• Qual é o melhor meio, físico ou digital, para armazenar os dados em concordância com a LGPD?

Essa reflexão é primordial para começar a se adequar às novas medidas de proteção de dados. Isso não deve ser pensado como uma mera formalidade, mas como algo que vai permitir a maior segurança dos dados dos seus pacientes.

• Leia mais: Lei Geral de Proteção de Dados: o que é e quais são os impactos na área da saúde?

Sabemos que médicos devem se preocupar sempre com as condições físicas de cada indivíduo que escolhe a sua clínica para o tratamento. Isso também deve acontecer com os dados que estão presentes em cada prontuário, anamnese e nos seus cadastros.

A importância de adotar um Código de Conduta da clínica médica

Para se adequar à LGPD, não basta apenas deixar sua clínica preparada. É essencial, também, que todos saibam que ela está em harmonia com a atualização da legislação e que os dados estão protegidos.

É nesse ponto que entra o Código de Conduta da clínica médica, um documento que deixa explícito como as normas legislativas são seguidas no estabelecimento. 

Esse código envolve vários critérios, desde o contato da clínica com seus pacientes até a organização interna do trabalho médico. Portanto, é necessário que a elaboração desse documento seja acompanhada de uma equipe jurídica especializada. 

Além disso, é fundamental que toda a equipe da clínica médica esteja ciente de suas cláusulas.

Para que todos (equipe da clínica e pacientes) possam consultar esse documento, é interessante que ele esteja disponível na clínica, de forma física, e que possa ser enviado, de forma digital, por e-mail, SMS ou WhatsApp. 

Outro documento muito importante para sua clínica médica se adequar às exigências da LGPD é a Política de Privacidade. A respeito dos dados, a Política de Privacidade deve conter as seguintes informações:

• Objetivo: explique que os dados são colhidos para um propósito legítimo, específico e que as partes estão ciente disso.
• Adequação: deixe claro que os dados serão usados no contexto do tratamento.
• Livre acesso: ofereça garantia aos portadores dos dados que suas informações podem ser consultadas de forma simples e gratuita. Ainda, é preciso informar o paciente sobre as especificidades do tratamento.
• Qualidade e legitimidade dos dados: deixe claro para os titulares dos dados que as informações são obtidas e armazenadas com clareza, exatidão e atualização, de acordo com o seu tratamento.
• Transparência: garanta que a relação entre médico, paciente e dados seja transparente, especialmente no que diz respeito à forma com que as informações são utilizadas e os detalhes do tratamento.
• Segurança e prevenção: esclareça as medidas técnicas e administrativas para a proteção de dados pessoais, especialmente acerca dos cuidados para evitar acessos não autorizados ou a destruição ou perda involuntária de informações. 
• Responsabilização e prestação de satisfação: apresente o modo como o portador dos dados, ou seja, a clínica médica, garante a observância dos dados e o cumprimento das normas, deixando claro a eficácia dessas medidas de proteção.

Como criar uma Política de Segurança da Informação?

Nos estabelecimentos de saúde, as diretrizes da LGPD se aplicam em muitas atividades do dia a dia. 

Desde a elaboração de prontuários médicos, até a troca de informações com outros estabelecimentos, como os laboratórios, a clínica médica precisa administrar dados sigilosos o tempo todo.

Nesse sentido, a LGPD incide sobre os seguintes dados:

• Dados pessoais – tratam-se de dados que identificam um indivíduo ou tornam possível a sua identificação. Dados pessoais comuns em estabelecimentos médicos são o nome, o telefone de pacientes e o número de seus documentos.

• Dados sensíveis – esses dados são especialmente sigilosos e devem receber uma atenção especial, pois remetem a informações sensíveis do titular, como etnia, orientação sexual, religião, entre outros. Incluem-se nesse grupo informações ligadas à saúde, o que destaca ainda mais a importância de sua clínica médica se adequar às exigências da lei.

Tais informações estão presentes no prontuário dos pacientes e em seu cadastro na clínica. Sendo assim, deve-se ter como prioridade a privacidade de seus pacientes e o desenvolvimento de uma Política de Segurança da Informação (PSI) específica sobre o tema.

A PSI é composta por regras e padrões internos que ajudem uma empresa (ou uma clínica, no seu caso) a atender às demandas de proteção de dados.

Isso envolve manter a confidencialidade dos dados, organizar seu registro e armazenamento de forma segura, garantir que seja impossível alterá-los e ainda disponibilizar as informações sempre que for preciso, seja para atender demandas da clínica (previstas anteriormente) ou uma solicitação do titular dos dados (seu paciente).

Para organizar essa PSI, é indispensável levar em conta tanto as demandas da LGPD quanto as necessidades específicas de seu negócio. Portanto, vale a pena contar com um Encarregado de Dados (DPO, na sigla em inglês) dentro da clínica, ou mesmo com um profissional terceirizado para dar esse suporte jurídico para o processo.

Além disso, para implantar com sucesso a PSI, é importante ter o envolvimento do gestor da clínica, que deve repassar as informações para toda a equipe, demandando a participação e a responsabilidade de todos.

A LGPD deixa claro o impedimento da comunicação ou do compartilhamento de dados pessoais sensíveis referentes à saúde com um objetivo que seja desconhecido ao seu portador.

Portanto, o consentimento do paciente, consignado de forma escrita, deve acontecer livremente. Ou seja, o indivíduo precisa ser informado sobre a forma como seus dados pessoais serão utilizados com uma finalidade determinada (o tratamento médico).

Tal declaração se aproxima do Termo de Consentimento Livre e Esclarecido (TCLE), que já é conhecido pelos estabelecimentos de saúde. No entanto, é preciso adaptar essa declaração para que contemple a questão dos dados pessoais. Para isso, a orientação é que sua clínica conte com uma pessoa responsável e que tenha conhecimento da questão, como um jurídico terceirizado ou mesmo um DPO dentro da clínica.

Como a equipe médica deve se comportar diante da LGPD?

A proteção dos dados sensíveis dos pacientes ultrapassa as definições de uma formalidade necessária. A LGPD precisa fazer parte da cultura do seu estabelecimento médico, e isso envolve preparar toda a sua equipe!

É prejudicial que apenas uma área da clínica esteja alinhada com as diretrizes da LGPD, a exemplo dos médicos e gestores que direcionam trabalho e custos para seguir os parâmetros de privacidade.

Imagine que a secretária não esteja ciente ainda sobre a relevância da proteção de dados pessoais de terceiros e acabe compartilhando dados que não imagina serem sigilosos. Isso pode gerar problemas sérios para a clínica. 

Além disso, os pacientes podem solicitar acesso, confirmação, portabilidade, confidencialidade ou exclusão de seus dados pessoais a qualquer momento, e sua equipe precisa estar preparada para atendê-los.

Portanto, é fundamental ter um alinhamento entre todos os integrantes da equipe médica sobre a legislação e a organização interna da clínica para atendê-la.

Isto é: a  implementação plena da LGPD em qualquer estabelecimento médico depende da preparação e do treinamento de todos.

Outro ponto importante é ter uma pessoa responsável para organizar e atender essas solicitações, garantindo que tudo ocorra dentro da lei. Segundo o art. 41 da LGPD, toda empresa deve nomear um encarregado para ficar à frente dessas situações. Essa pessoa pode ser tanto um profissional terceirizado quanto um DPO contratado pela clínica.

• Leia mais: 4 dúvidas esclarecidas sobre a LGPD para clínicas médicas

A tecnologia como ferramenta de proteção

Para garantir a segurança dos dados dos pacientes é essencial contar com a tecnologia, levando os documentos relevantes e sigilosos — como o prontuário do paciente e a ficha cadastral — para um ambiente online. 

Afinal, informações armazenadas em papéis são muito mais vulneráveis a perdas, vazamentos e acesso de pessoas não autorizadas. Isso sem falar nos riscos de danos por rasuras, umidade e até incêndios.

No entanto, simplesmente “digitalizar” os documentos não é o bastante. Em um ambiente digital que não possui a proteção adequada, suas informações podem ficar até mais vulneráveis do que nos arquivos de papel.

O que sua clínica precisa, então, é de um sistema de gestão como o MedPlus, que está preparado para as exigências da LGPD e pode facilmente contribuir com a segurança de dados em sua clínica médica. Para isso, o MedPlus conta com:

• Armazenamento de dados na nuvem mais segura do mundo: os dados da clínica ficam online, armazenados no ambiente criptografado da Amazon Web Services (AWS), o mesmo servidor utilizado por grandes empresas internacionais. 
• Diferentes níveis de acesso: o acesso aos dados do sistema é protegido por senhas eletrônicas e o gestor pode definir diferentes níveis para essas permissões. Assim, cada colaborador terá acesso apenas às informações que são importantes para o seu trabalho.
• Assinatura digital facilitada: você não precisa imprimir documentos para assiná-los. Assim, todos os dados ficam sempre online e protegidos nesse  ambiente criptografado.
• Dados de acordo com as exigências do CFM: o sistema MedPlus não permite qualquer alteração nos arquivos após o fim do atendimento, apenas a inclusão de anexos e notas. Assim, é impossível danificar as informações salvas.

• Conheça os diferenciais do MedPlus: um sistema de gestão seguro para clínicas médicas.

As penalidades da LGPD para vazamentos de dados 

É importante pontuar, também, que em casos de violações à lei, como vazamentos e acessos não autorizados, a sua clínica pode sofrer consequências e terá que prestar contas à Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável pela fiscalização das diretrizes da LGDP. 

A lei prevê advertências e multas que podem chegar a 2% sobre o faturamento anual da clínica. Além disso, a ANPD também pode decidir pela suspensão temporária ou total do trabalho no seu estabelecimento.

Tais sanções não eliminam as responsabilidades penais que são resultado de brechas na segurança da clínica. Ou seja, os vazamentos ou incidentes em relação a dados pessoais também podem ser submetidos a processos judiciais, dependendo de sua gravidade e da relevância do dano gerado.

Ainda podemos destacar o prejuízo moral que isso pode acarretar para sua clínica. Em um caso de vazamento, você perderá a confiança dos pacientes e terá muito mais dificuldade para conquistar e fidelizar novos clientes.

Além disso, ter cuidado com os dados sigilosos é mais uma maneira do médico cuidar de seus pacientes. Portanto, adeque sua clínica às exigências da LGPD e garanta uma prática médica muito mais segura.

Aproveite e leia mais maneiras como a tecnologia pode ajudar no dia a dia da sua clínica médica. Acesse nosso eBook: