Passo a passo de como adequar seu consultório à LGPD

Com a aprovação da Lei Geral de Proteção de Dados, prestadores de serviços que fazem tratamento de dados, incluindo clínicas e profissionais de Odontologia, deverão se adequar à nova legislação.

Com a aplicação das sanções em vigor desde agosto deste ano, a Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD) foi criada para garantir a proteção das informações de todos os indivíduos, enquanto pessoas físicas.

A medida tem como objetivo impedir que empresas utilizem de forma indiscriminada ou compartilhem dados pessoais e sensíveis das pessoas sem suas devidas autorizações ou base legal justificável.

Como primeira lei geral nacional sobre o tema, a LGPD inaugura uma nova cultura de proteção de dados no país, o que ressalta a conscientização acerca da sua importância e seus reflexos em direitos fundamentais como liberdade e privacidade.

Conheça os principais pontos da lei e o que é preciso fazer para adequar sua clínica ou consultório às normas.

___________________________________________

MENU DE NAVEGAÇÃO

1 → Como uma clínica ou consultório é categorizado pela LGPD
2 → Faça o mapeamento dos dados
3 → Faça a classificação das informações
4 → Defina um processo para a confirmação de dados antigos
5 → Defina uma pessoa responsável pelos dados

6 → Avalie se há riscos de vazamento

___________________________________________

1 → Como uma clínica ou consultório é categorizado pela LGPD

A Lei Geral de Proteção de Dados define como deve ser feito o tratamento de dados, seja por pessoa jurídica ou física (com fins econômicos), de direito público ou privado.

Ela não faz nenhuma distinção de mercados, áreas ou segmentos, por isso também impacta os serviços de Odontologia, independente do tamanho do negócio, e atividades de profissionais autônomos.

Isso significa que todas as pessoas que fornecem serviços odontológicos estão suscetíveis à aplicação da LGPD e suas sanções.

Frente a isso, é preciso garantir a segurança do tratamento, armazenamento e acesso de todos os dados de pessoas físicas, pacientes ou não, que a clínica possui.

2 → Faça o mapeamento dos dados

Para mapear os dados, primeiro é preciso fazer o levantamento de todas as informações de pessoas físicas que a clínica possui. Aqui é necessário incluir não só os dados de pacientes, mas também de funcionários, ex-funcionários, visitantes, fornecedores e quaisquer outras pessoas que se enquadrem na lei.

Com essas informações em mãos, busque responder às seguintes questões:

  • O armazenamento é digital ou os dados são guardados em papel?
  • O armazenamento digital é feito em servidores próprios ou externos?
  • No caso de uso de papéis, como é feita a guarda, controle e proteção desses dados?
  • Há dados de menores de idade?
  • É feita a anonimização dos dados (processo de tornar anônimos os dados do paciente)?
  • Todos esses dados têm uma finalidade?

A partir disso, identifique cada área que faz o tratamento desses dados (recepção, laboratório, administração, recursos humanos, etc), todas as pessoas que têm acesso a eles e quais tipos de tratamento são feitos.

3 → Faça a classificação das informações

Com o levantamento feito no tópico anterior, é preciso também definir e classificar cada dado.

De acordo com a LGPD, é considerada como um dado pessoal toda informação que permite identificar, direta ou indiretamente, um indivíduo.

Esses dados, por sua vez, são classificados em dois tipos:

  • Dados pessoais: nome, data de nascimento, endereço, telefone, e-mail, imagens e fotos, estado civil, histórico profissional ou escolar/acadêmico, números de identificação (RG, CPF, CRO), registro de pagamentos, dados de navegação e geolocalização, dados de cookies, etc.
  • Dados sensíveis: origem racial ou étnica, orientação sexual, convicção religiosa ou filosófica, opinião política, filiação sindical, dados genéticos e biométricos, dados de saúde, dados de menores, etc.

Após essas informações serem classificadas como pessoais e sensíveis, o ideal é que elas sejam, se ainda não for o caso, anonimizadas.

Ou seja, quando um paciente faz um cadastro e compartilha seus dados, a clínica pode associar um código interno a todas essas informações, como por exemplo “123”.

Dessa forma, “123” será identificado como aquele paciente, “124” será outro paciente e assim por diante. Isso faz com que esses dados fiquem menos expostos, sendo apenas necessário o código para consulta e registro de atendimento.

4 → Defina um processo para a confirmação de dados antigos

Com relação aos direitos do titular, a lei traz várias garantias à pessoa, entre elas a possibilidade de retificar e atualizar suas informações, como, por exemplo, uma mudança de endereço ou número de telefone.

Para isso, defina quem e de que forma será feita a confirmação desses dados, se por telefone ou com a utilização de um software, por exemplo.

Além das exigências da LGPD, é preciso atentar também às normas da Odontologia.

O Parecer 125/92 do Conselho Federal de Odontologia (CFO), por exemplo, estabelece que as informações dos prontuários de pacientes devem ser armazenadas por, no mínimo, 10 anos após o último comparecimento do paciente no consultório.

Pelo fato de serem considerados pela LGPD como dados sensíveis, é fundamental verificar se essas informações estão sendo guardadas pelo tempo correto, sobretudo aquelas que não estão sendo mais utilizadas.

No caso do paciente solicitar a exclusão desses dados (um dos direitos do titular) antes do prazo mínimo, a base legal para a retenção dessas informações é determinada pelo órgão regulador da profissão, no caso o CFO por meio do parecer.

“Assim, se o paciente solicitar a exclusão de informações antes do vencimento do prazo legal, a clínica ou dentista deve informar que a ação não será realizada, pois tem base legal justificável para a retenção pelo período de 10 anos”, explica Ayesa Meurer Wisintainer, Gerente Sênior de Compliance e Encarregada de Dados da Henry Schein.

Entre os dados antigos, outro ponto que também é necessário confirmar é se há dados de menores de idade na época da consulta.

No caso de pacientes com 18 anos já completos, a autorização para a coleta de dados, feita pelos pais ou responsáveis legais, não é mais válida e a concessão precisa ser solicitada para a própria pessoa.

5 → Defina uma pessoa responsável pelos dados

A LGPD também faz menção à criação do cargo de Encarregado de Dados, em inglês Data Protection Officer (DPO), cuja função é ficar responsável pela segurança e proteção dos dados e prestar contas à Autoridade Nacional de Proteção de Dados (ANPD) quando necessário.

Entretanto, no caso de pequenas e médias empresas, startups e pessoas físicas que tratam de dados pessoais com fins econômicos, a obrigatoriedade da nomeação de alguém para o cargo ainda está sendo discutida.

Essa e outras questões de aplicação da LGPD para este público ainda não foram definidas e são tema prioritário na agenda regulatória 2021/2022 da ANPD.

Ainda assim, não é necessário que clínicas e profissionais de odontologia esperem a agenda regulatória para começar a adequação à norma.

Portanto, independente do porte do negócio, é fundamental definir uma pessoa para exercer a função de DPO, seja alguém de confiança, seja a própria ou o próprio dentista.

6 → Avalie se há riscos de vazamento

Para fazer a avaliação dos riscos de vazamento de dados, a LGPD estabelece a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

O documento tem como objetivo demonstrar a análise e gestão dos riscos à privacidade e poderá ser solicitado a qualquer momento pela Autoridade Nacional de Proteção de Dados (ANPD) ou em situações específicas, como, por exemplo, para fins de segurança pública, defesa nacional e investigação de infrações penais.

De acordo com Artigo 38, o relatório deve conter no mínimo:

  • A descrição dos tipos de dados coletados
  • A metodologia utilizada para a coleta e para a garantia da segurança das informações
  • As medidas e mecanismos de mitigação de risco adotados

Segundo Ayesa, uma vez que a LGPD não especifica um passo a passo para a construção desse documento, a clínica ou dentista deve avaliar o melhor modelo a seguir, considerando as atividades de tratamento que são realizadas.

“O ponto mais importante é que se encontre e desenvolva uma matriz de risco que reflita a realidade do negócio, para que a partir daí possa ser definido como será feito o tratamento dos riscos identificados”, orienta.

Com base nisso, a estrutura do relatório deve esclarecer:

Descrição dos dados

Descreva quais os tipos de dados que clínica ou consultório armazena e faz tratamento:

  • Quais se caracterizam como pessoais
  • Quais se caracterizam como sensíveis

Utilize o levantamento e a classificação feitas nos tópicos anteriores deste artigo.

Além disso, especifique quais são os dados pessoais e sensíveis de crianças e adolescentes, caso a clínica faça tratamento dessas informações.

Metodologia de coleta

Para descrever a metodologia de coleta de dados basta especificar como funciona o processo de recolhimento das informações de uma pessoa pela clínica.

Ou seja, de que forma e por qual ou quais meios esses dados são coletados. Para isso, faça o levantamento e a descrição dos seguintes pontos:

  • Como os dados são coletados (pesquisas, questionários, perguntas, formulários, etc);
  • Se são coletados de forma digital e/ou manual (softwares, planilhas, e-mails, etc);
  • De quem são coletados (pacientes, funcionários, fornecedores, etc);
  • Por quem são coletados (DPO, secretária, pelo próprio dentista);
  • Se a finalidade dos dados está bem definida e de acordo com a LGPD.

Medidas de mitigação

Neste tópico é preciso identificar com clareza quais são os riscos de proteção aos dados. Para cada risco, deve-se estabelecer a probabilidade de que ele ocorra e o possível impacto.

Alguns exemplos são:

  • Acesso não autorizado
  • Perda
  • Roubo
  • Divulgação não autorizada
  • Informação insuficiente sobre a finalidade do tratamento
  • Impossibilidade de atender aos direitos do titular estabelecidos na lei

Após a descrição desses riscos, suas probabilidades e impactos, identifique e descreva as medidas e mecanismos para mitigá-los, que podem ser técnicas, de segurança ou até mesmo administrativas.

Você pode gostar...

Deixe um comentário