5 perguntas sobre a LGPD no contexto da Saúde Digital
Especialista da Sociedade Brasileira de Informática em Saúde destaca que grande parte da segurança da informação é garantida por processos de trabalho, com o apoio da tecnologia
Especialista da Sociedade Brasileira de Informática em Saúde destaca que grande parte da segurança da informação é garantida por processos de trabalho, com o apoio da tecnologia
Os dados são fundamentais na era da Saúde Digital. O que antes era tido apenas como um formulário de identificação, ao longo do tempo, tornou-se cada vez mais complexo, servindo de apoio para a tomada de decisões que influenciam na saúde e qualidade de vida dos pacientes, e também nos negócios. Hoje, com o avanço da tecnologia, a coleta desses dados é feita em todos os lugares e a todo momento, não só por sistemas de gestão das instituições, mas também por aplicativos de Saúde e wearable devices.
É neste cenário que a Lei Geral de Proteção de Dados (LGPD) inaugura um novo momento para as regras de manipulação dos dados individuais. Os pacientes passam a ter o direito pleno sobre as informações coletadas, e devem, ainda, ser informados sobre a finalidade de uso. A legislação altera, portanto, a forma como as instituições lidam com a tecnologia - e também gera inúmeras dúvidas sobre como se adequar até agosto de 2020, quando finda o prazo e começa a fiscalização.
Marcelo Lúcio da Silva, diretor executivo da Sociedade Brasileira de Informática em Saúde (Sbis) e presidente da Federação Latino Americana de Informática em Saúde (Imia-Lac) responde abaixo cinco perguntas sobre a LGPD no contexto da Saúde Digital:
1- No contexto da Saúde Digital, o que muda para as organizações após a aprovação da LGPD no Brasil?
Marcelo Lúcio da Silva: Os impactos para a Saúde serão muito relevantes porque os dados do setor são considerados sensíveis e, portanto, são abordados de forma diferenciada pela lei, requerendo um tratamento ainda mais rigoroso. Tanto organizações quanto profissionais terão de garantir esse tratamento adequado perante a lei e fazer tudo o que podem para evitar o vazamento de dados e as consequentes punições. Até porque as multas são muito altas, comprometendo até 2% do faturamento anual, com limite de até R$ 50 milhões. Portanto, a questão financeira é um dos principais impactos, mas há muitos outros. No hospital, por exemplo, os dados circulam bastante tanto internamente quanto externamente. São muitos playersenvolvidos e será preciso refletir até que ponto é necessário abrir o dado para garantir a melhor assistência. Em comparação com o mercado financeiro, que pode restringir a informação em um primeiro momento e pensar com mais tempo o que fará com ela, na Saúde isso não é possível pelo caráter de suporte à vida. Se um médico, por exemplo, está diante de uma emergência e precisa tomar uma decisão consultando dados como o lugar onde a pessoa reside para confirmar uma suspeita de dengue, não há tempo para restrições. E aí, esse profissional poderá acessar? Quais dados estarão disponíveis? O paciente já deu o consentimento para uso? No início a manipulação será bem complexa, embora a lei preveja exceções para a Saúde em relação ao consentimento, como nos casos de obrigação legal ou regulatória do controlador, estudos por órgãos de pesquisa, execução de contratos, processos judiciais, proteção à vida e tutela da saúde em procedimento realizado por profissionais do setor.
2- Quais são os principais desafios a serem enfrentados pelas organizações de Saúde para a completa adequação à legislação?
Marcelo Lúcio da Silva: O principal desafio é que a regulamentação ainda não é clara para a Saúde. Há exceções, claro, como no caso de troca de dados entre operadoras de Saúde para fins de portabilidade, mas não se especificam quais dados poderão ser trocados. E estamos falando apenas de um exemplo. Não há clareza também sobre em quais momentos o consentimento é necessário. São inúmeros pontos que requerem atenção. Por isso, várias entidades estão criando manuais de orientação para a Saúde Digital, e a Sbis é uma delas. Nossa proposta é detalhar o que pode e o que não pode ser feito, mas até mesmo nós esbarramos na falta de regulamentação sobre o tema. É urgente, pois o prazo para o início da fiscalização está muito próximo. Outro desafio que antevejo, que advém deste primeiro, é o aumento da judicialização. Qualquer desvio vai parar direto na Justiça pela falta de clareza de como agir. Também há a questão dos investimentos necessários para a adequação, tanto do ponto de vista de ferramentas quanto de pessoal capacitado, treinamentos. É uma legislação que impacta a todos, do profissional de limpeza ao presidente do hospital. Há também a questão de outras leis referentes ao setor que podem causar confusão, em especial na questão do direito do titular de solicitar a exclusão de seus dados. Há uma lei na Saúde que determina que o prontuário deve ser armazenado por até 20 anos - portanto, ela se sobrepõe à LGPD. São aspectos que precisam de cuidado e se tornam desafios no já complexo contexto da Saúde Digital.
3- Como as instituições de Saúde devem se preparar para esse novo cenário?
Marcelo Lúcio da Silva: Não há uma receita de bolo, mas há alguns passos fundamentais a serem seguidos pela gestão em Saúde. O primeiro é conhecer bem a lei - em especial agora que houve a sanção presidencial e alguns vetos - e saber como ela se aplica no contexto da sua organização. Depois, é preciso definir quem será o encarregado, que é o profissional responsável por fazer a interface entre a instituição e a autoridade nacional de fiscalização. Esse serviço pode ser prestado tanto por um profissional contratado quanto por uma empresa terceirizada. Em seguida, definem-se as soluções de segurança da informação que serão aplicadas. Nessa etapa há dois pontos a serem avaliados: primeiro, verificar o que já existe de ferramenta dentro dos sistemas e prontuários eletrônicos que já são utilizados e, em seguida, a necessidade ou não de aquisição de software que ajuda no controle e na proteção dos dados. Após todas essas etapas, é preciso ainda rever os processos, identificar onde há gargalos e, ainda, treinar e capacitar todos os profissionais para o correto cumprimento da lei. Tudo isso será, inclusive, avaliado pela autoridade nacional em caso de uma ocorrência relacionada a vazamentos.
4- Como fica o uso de tecnologias voltadas ao tratamento de dados diante da nova legislação?
Marcelo Lúcio da Silva: Todo dado pode ser anonimizado, mas a questão é que quando se chega em um nível muito alto de anonimização, que é o necessário para a lei, informações importantes para a inteligência de negócios podem se perder. Se você retira idade ou local onde mora, por exemplo, são dados relevantes para a tomada de decisões de Saúde populacional, como em casos de epidemias de dengue ou febre amarela. Há exceções na lei para uso do dado para fins de pesquisa ou questões de Saúde Pública, desde que anonimizados. Mas a reflexão sobre o que se perde com a anonimização é crucial. Por exemplo, se um plano de Saúde quer utilizar ferramentas de inteligência artificial ou de processamento de big data para entender melhor a sua carteira de clientes, ele precisa saber perfil de idade, sexo, local de residência. Sem isso, não adianta nada. A inteligência de negócios, a meu ver, pode ser prejudicada se não houver clareza de como ela poderá ser aplicada na Saúde.
5- A segurança da informação em uma organização de Saúde vai além da mera adequação às leis. Como garanti-la na Saúde Digital?
Marcelo Lúcio da Silva: Grande parte da segurança da informação é garantida por processos de trabalho. Claro que existem tecnologias e ferramentas que auxiliam nesse ponto, mas a mudança de cultura é essencial. É preciso saber como a informação irá transitar dentro e fora da organização e orientar o quadro de funcionários, o corpo clínico, o quadro administrativo da empresa para manipular as informações do paciente sem ferir a lei. Um exemplo que ocorre cotidianamente em um hospital: se chega um parente pedindo informações sobre o paciente, o funcionário pode fornecer ou não? Quais dados ele pode passar? Tudo isso é processo. A ferramental ajuda porque quando esse profissional faz a consulta, ela pode abrir ou restringir o dado, mas sempre haverá o fator humano, que exige orientação e treinamento.
Saiba mais sobre LGPD no contexto da Saúde Digital no MV Experience Fórum, que será realizado nos dias 8 e 9 de agosto, em Recife, Pernambuco, exclusivamente para clientes MV. Acesse: https://mvexperienceforum.com.br/