Passo a passo de como adequar sua clínica à LGPD

Com a aprovação da Lei Geral de Proteção de Dados, prestadores de serviços que fazem tratamento de dados, incluindo clínicas e profissionais de Odontologia, deverão se adequar à nova legislação.

Com a aplicação das sanções em vigor desde agosto deste ano, a Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD) foi criada para garantir a proteção das informações de todos os indivíduos, enquanto pessoas físicas.

A medida tem como objetivo impedir que empresas utilizem de forma indiscriminada ou compartilhem dados pessoais e sensíveis das pessoas sem suas devidas autorizações ou base legal justificável.

Como primeira lei geral nacional sobre o tema, a LGPD inaugura uma nova cultura de proteção de dados no país, o que ressalta a conscientização acerca da sua importância e seus reflexos em direitos fundamentais como liberdade e privacidade.

Conheça os principais pontos da lei e o que é preciso fazer para adequar sua clínica ou consultório às normas.

___________________________________________

MENU DE NAVEGAÇÃO

1 → Como uma clínica ou consultório é categorizada pela LGPD
2 → Faça o mapeamento dos dados
3 → Faça a classificação das informações
4 → Defina um processo para a coleta de dados
5 → Valide as bases legais da LGPD
6 → Defina um processo para a confirmação de dados antigos
7 → Defina uma pessoa responsável pelos dados
8 → Avalie se há riscos de vazamento
9 → Defina o programa e a política de privacidade
10 → Como proteger os dados
11 → Como comprovar que o consultório está adequado à LGPD
12 → Penalidades previstas pela LGPD
___________________________________________

1 → Como uma clínica ou consultório é categorizado pela LGPD

A Lei Geral de Proteção de Dados define como deve ser feito o tratamento de dados, seja por pessoa jurídica ou física (com fins econômicos), de direito público ou privado.

Ela não faz nenhuma distinção de mercados, áreas ou segmentos, por isso também impacta os serviços de Odontologia, independente do tamanho do negócio, e atividades de profissionais autônomos.

Isso significa que todas as pessoas que fornecem serviços odontológicos estão suscetíveis à aplicação da LGPD e suas sanções.

Frente a isso, é preciso garantir a segurança do tratamento, armazenamento e acesso de todos os dados de pessoas físicas, pacientes ou não, que a clínica possui.

2 → Faça o mapeamento dos dados

Para mapear os dados, primeiro é preciso fazer o levantamento de todas as informações de pessoas físicas que a clínica possui. Aqui é necessário incluir não só os dados de pacientes, mas também de funcionários, ex-funcionários, visitantes, fornecedores e quaisquer outras pessoas que se enquadrem na lei.

Com essas informações em mãos, busque responder às seguintes questões:

  • O armazenamento é digital ou os dados são guardados em papel?
  • O armazenamento digital é feito em servidores próprios ou externos?
  • No caso de uso de papéis, como é feita a guarda, controle e proteção desses dados?
  • Há dados de menores de idade?
  • É feita a anonimização dos dados (processo de tornar anônimos os dados do paciente)?
  • Todos esses dados têm uma finalidade?

A partir disso, identifique cada área que faz o tratamento desses dados (recepção, laboratório, administração, recursos humanos, etc), todas as pessoas que têm acesso a eles e quais tipos de tratamento são feitos.

3 → Faça a classificação das informações

Com o levantamento feito no tópico anterior, é preciso também definir e classificar cada dado.

De acordo com a LGPD, é considerada como um dado pessoal toda informação que permite identificar, direta ou indiretamente, um indivíduo.

Esses dados, por sua vez, são classificados em dois tipos:

  • Dados pessoais: nome, data de nascimento, endereço, telefone, e-mail, imagens e fotos, estado civil, histórico profissional ou escolar/acadêmico, números de identificação (RG, CPF, CRO), registro de pagamentos, dados de navegação e geolocalização, dados de cookies, etc.
  • Dados sensíveis: origem racial ou étnica, orientação sexual, convicção religiosa ou filosófica, opinião política, filiação sindical, dados genéticos e biométricos, dados de saúde, dados de menores, etc.

Após essas informações serem classificadas como pessoais e sensíveis, o ideal é que elas sejam, se ainda não for o caso, anonimizadas.

Ou seja, quando um paciente faz um cadastro e compartilha seus dados, a clínica pode associar um código interno a todas essas informações, como por exemplo “123”.

Dessa forma, “123” será identificado como aquele paciente, “124” será outro paciente e assim por diante. Isso faz com que esses dados fiquem menos expostos, sendo apenas necessário o código para consulta e registro de atendimento.

4 → Defina um processo para coleta de dados

Primeiro é preciso saber que para cada dado coletado existe uma base legal que o justifica. Na prática, isso significa que alguns dados precisam de consentimento para serem coletados e outros não.

Por exemplo, para pedir o nome, CPF e endereço de um paciente não é necessário solicitar o consentimento, pois a base legal é a de execução de contrato de prestação de serviços, em que esses dados são as informações mínimas exigidas por lei.

Neste cenário, para definir um processo para a coleta de dados, primeiro é necessário fazer um levantamento de todos os dados que a clínica possui, identificar para quais atividades eles são usados e fazer uma avaliação de qual é a base legal atrelada a cada atividade.

Com isso, a dentista ou o dentista saberá quais informações precisam de consentimento, quais não precisam, para quais é necessário uma formalização por escrito e como solicitar cada um desses dados.

Em todo caso, para qualquer dado coletado é fundamental solicitá-los de forma clara, informando qual a finalidade e se haverá ou não compartilhamento com fornecedores ou terceiros.

Importante: No caso de menores de idade, os dados devem ser coletados com o consentimento dos pais ou representantes legais.

Mantenha um registro de operações

Além da análise sobre as bases legais para definir o processo de coleta, manter um registro dessas operações que envolvem o tratamento de dados também é um requisito legal de acordo com o Artigo 37 da LGPD.

“Minha recomendação é tabular, por meio de planilha, por exemplo, todas as atividades de tratamento de dados que são realizadas na clínica ou consultório”, orienta Ayesa Meurer Wisintainer, Gerente Sênior de Compliance e Encarregada de Dados da Henry Schein.

Operacionalmente falando, esse documento deve conter no mínimo as seguintes informações:

  • Quais são os dados coletados
  • Quais as formas de tratamento
  • Qual a duração do tratamento
  • Onde eles ficam armazenados
  • Qual a finalidade de cada um
  • Qual a base legal que justifica o tratamento
  • Se existe tratamento de dados sensíveis: quais são e qual o tratamento realizado
  • Se existe compartilhamento com terceiros e quem são
  • Se existe transferência internacional de dados e quais são os quais países

Com o procedimento de coleta estabelecido e o registro das operações, é essencial que todos os profissionais da clínica estejam cientes desse processo do início ao fim.

5 → Valide as bases legais da LGPD

As bases legais, ou hipóteses, da LGPD são, basicamente, as justificativas e argumentos utilizados para comprovar e legitimar o tratamento e uso de dados de pessoas físicas.

Portanto, é necessário que qualquer pessoa física ou jurídica que faça tratamentos de dados esteja enquadrada ou apoiada em pelo menos uma das 10 bases legais que a lei estabelece em seu Artigo 7º.

Para clínicas e consultórios odontológicos, as bases legais mais comuns são o consentimento, a execução de contrato, a tutela da saúde e o legítimo interesse.

Consentimento

A LGPD define o consentimento como a manifestação livre, informada e inequívoca pela qual uma pessoa concorda com o tratamento de seus dados para uma finalidade determinada.

Ou seja, essa base legal permite o tratamento de dados mediante autorização da pessoa titular das informações, que deve incluir fins específicos e ser feita por escrito ou por outro meio que demonstre e comprove essa ação.

Autorizações genéricas são consideradas nulas. “Quando há o consentimento, há a obrigação de formalização desse consentimento. Qualquer discussão verbal acaba nessa autorização”, explica Ayesa Meurer Wisintainer, Gerente Sênior de Compliance e Encarregada de Dados da Henry Schein.

Ainda assim, a legislação permite que o titular possa recusar a autorização ou revogá-la quando quiser.

Cumprimento de obrigação legal ou regulatória

A segunda base legal citada na LGPD é relacionada ao cumprimento de obrigação legal ou regulatória, que garante que a própria LGPD não entre em conflito com outras legislações vigentes.

Por exemplo, as obrigações referentes aos dados de funcionários para cumprir as leis trabalhistas, que envolvem desde o armazenamento até o envio de dados a órgãos públicos.

Execução de políticas públicas

Essa base legal se aplica somente à administração pública e trata do uso e compartilhamento de dados quando forem necessários para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos e convênios.

Realização de estudos por órgão de pesquisa

A LGPD também permite o tratamento de dados feito para a realização de estudos por órgãos de pesquisa, tanto públicas quanto privadas.

Nessa base legal prevalece o interesse público sobre os resultados. Para isso, sempre que possível, deve ser feita a anonimização das informações, de modo que a identidade e privacidade dos titulares sejam garantidas para evitar vazamentos, por exemplo.

Execução de contrato

Uma das principais bases legais da lei é a execução ou preparação de contrato, em que, a pedido do titular, os dados podem ser utilizados para executar um serviço, por exemplo.

É o caso de formalizações na contratação de funcionários, aquisição de produtos ou realização de procedimentos.

Essa hipótese se assemelha com a base legal de consentimento, com a diferença de que o titular dos dados não pode revogar o fornecimento de suas informações a qualquer momento, uma vez que elas devem ser resguardadas enquanto durar a vigência do contrato.

Exercício regular de direitos

O objetivo dessa hipótese é resguardar o direito de defesa, seja no âmbito judicial, administrativo ou arbitral.

Ou seja, ela prevê a possibilidade de tratamento de dados para produzir provas em processos, garantindo o direito assegurado constitucionalmente com relação ao acesso à justiça.

Proteção da vida

A lei permite o tratamento de dados para a proteção da vida ou da integridade física do titular das informações ou de terceiro.

Essa base é tão específica que o Artigo 11º estabelece que mesmo os dados sensíveis poderão ser tratados caso seja devidamente comprovada a necessidade.

Por exemplo, caso uma pessoa sofra um acidente e esteja impossibilitada de buscar ajuda sozinha ou se comunicar, suas informações podem ser acessadas para realizar o atendimento.

Tutela da saúde

Essa base legal se refere exclusivamente a profissionais da saúde, serviços de saúde e autoridades sanitárias, que têm respaldo legal para tratar dados que sejam necessários à realização de suas atividades.

É o caso da análise de dados para campanhas de vacinação ou para a notificação do resultado de um exame.

Legítimo interesse

O legítimo interesse é a base legal mais genérica e flexível da LGPD.

A hipótese prevê que os dados podem ser tratados para atender aos interesses legítimos do controlador (quem faz o tratamento dos dados), desde que estes não se sobreponham ao direito e às liberdades fundamentais do titular.

Porém, a definição de “legítimo interesse” é ampla. De acordo com o Artigo 10º, o tratamento deve ser feito para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

  • Apoio e promoção de atividades do controlador
  • Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei

Para simplificar, essa base pode ser utilizada em determinadas situações, como:

  • Oferta de marketing direto
  • Coleta de informações para identificar ou prevenir fraudes
  • Processamento de dados para análise de perfil de consumidores
  • Elaboração de pesquisas com colaboradores para políticas internas

“Digamos que a clínica solicite, por exemplo, a data de nascimento do paciente para enviar um cartão no dia de seu aniversário. Para esse tipo de marketing a base legal é o legítimo interesse”, explica Ayesa.

Um ponto muito importante a ressaltar é que o legítimo interesse aumenta a responsabilidade com relação à justificativa da utilização dos dados, que pode ser solicitada a qualquer momento pela Autoridade Nacional de Proteção de Dados (ANPD).

Para isso, a LGPD requer a realização de um teste de proporcionalidade, que avalia a viabilidade do uso dessa base legal em quatro aspectos:

  • Legitimidade do interesse
  • Necessidade
  • Balanceamento (de interesse das partes)
  • Salvaguardas

IMPORTANTE: o legítimo interesse não pode ser utilizado para justificar o tratamento de dados sensíveis.

Proteção do crédito

A última base legal possível é a proteção de crédito, cujo objetivo é evitar que o titular dos dados utilize brechas legislativas e mecanismos para escapar de cobranças por dívidas.

Isso possibilita àqueles que fazem o tratamento de seus dados comunicar as pendências financeiras aos órgãos competentes, por exemplo.

6 → Defina um processo para a confirmação de dados antigos

Com relação aos direitos do titular, a lei traz várias garantias à pessoa, entre elas a possibilidade de retificar e atualizar suas informações, como, por exemplo, uma mudança de endereço ou número de telefone.

Para isso, defina quem e de que forma será feita a confirmação desses dados, se por telefone ou com a utilização de um software, por exemplo.

Além das exigências da LGPD, é preciso atentar também às normas da Odontologia.

O Parecer 125/92 do Conselho Federal de Odontologia (CFO), por exemplo, estabelece que as informações dos prontuários de pacientes devem ser armazenadas por, no mínimo, 10 anos após o último comparecimento do paciente no consultório.

Pelo fato de serem considerados pela LGPD como dados sensíveis, é fundamental verificar se essas informações estão sendo guardadas pelo tempo correto, sobretudo aquelas que não estão sendo mais utilizadas.

No caso do paciente solicitar a exclusão desses dados (um dos direitos do titular) antes do prazo mínimo, a base legal para a retenção dessas informações é determinada pelo órgão regulador da profissão, no caso o CFO por meio do parecer.

“Assim, se o paciente solicitar a exclusão de informações antes do vencimento do prazo legal, a clínica ou dentista deve informar que a ação não será realizada, pois tem base legal justificável para a retenção pelo período de 10 anos”, explica Ayesa.

Entre os dados antigos, outro ponto que também é necessário confirmar é se há dados de menores de idade na época da consulta.

No caso de pacientes com 18 anos já completos, a autorização para a coleta de dados, feita pelos pais ou responsáveis legais, não é mais válida e a concessão precisa ser solicitada para a própria pessoa.

7 → Defina uma pessoa responsável pelos dados

A LGPD também faz menção à criação do cargo de Encarregado de Dados, em inglês Data Protection Officer (DPO), cuja função é ficar responsável pela segurança e proteção dos dados e prestar contas à Autoridade Nacional de Proteção de Dados (ANPD) quando necessário.

Entretanto, no caso de pequenas e médias empresas, startups e pessoas físicas que tratam de dados pessoais com fins econômicos, a obrigatoriedade da nomeação de alguém para o cargo ainda está sendo discutida.

Essa e outras questões de aplicação da LGPD para este público ainda não foram definidas e são tema prioritário na agenda regulatória 2021/2022 da ANPD.

Ainda assim, não é necessário que clínicas e profissionais de odontologia esperem a agenda regulatória para começar a adequação à norma.

Portanto, independente do porte do negócio, é fundamental definir uma pessoa para exercer a função de DPO, seja alguém de confiança, seja a própria ou o próprio dentista.

8 → Avalie se há riscos de vazamento

Para fazer a avaliação dos riscos de vazamento de dados, a LGPD estabelece a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

O documento tem como objetivo demonstrar a análise e gestão dos riscos à privacidade e poderá ser solicitado a qualquer momento pela Autoridade Nacional de Proteção de Dados (ANPD) ou em situações específicas, como, por exemplo, para fins de segurança pública, defesa nacional e investigação de infrações penais.

De acordo com Artigo 38, o relatório deve conter no mínimo:

  • A descrição dos tipos de dados coletados
  • A metodologia utilizada para a coleta e para a garantia da segurança das informações
  • As medidas e mecanismos de mitigação de risco adotados

Segundo Ayesa, uma vez que a LGPD não especifica um passo a passo para a construção desse documento, a clínica ou dentista deve avaliar o melhor modelo a seguir, considerando as atividades de tratamento que são realizadas.

“O ponto mais importante é que se encontre e desenvolva uma matriz de risco que reflita a realidade do negócio, para que a partir daí possa ser definido como será feito o tratamento dos riscos identificados”, orienta.

Com base nisso, a estrutura do relatório deve esclarecer:

Descrição dos dados

Descreva quais os tipos de dados que clínica ou consultório armazena e faz tratamento:

  • Quais se caracterizam como pessoais
  • Quais se caracterizam como sensíveis

Utilize o levantamento e a classificação feitas nos tópicos anteriores deste artigo.

Além disso, especifique quais são os dados pessoais e sensíveis de crianças e adolescentes, caso a clínica faça tratamento dessas informações.

Metodologia de coleta

Para descrever a metodologia de coleta de dados basta especificar como funciona o processo de recolhimento das informações de uma pessoa pela clínica.

Ou seja, de que forma e por qual ou quais meios esses dados são coletados. Para isso, faça o levantamento e a descrição dos seguintes pontos:

  • Como os dados são coletados (pesquisas, questionários, perguntas, formulários, etc);
  • Se são coletados de forma digital e/ou manual (softwares, planilhas, e-mails, etc);
  • De quem são coletados (pacientes, funcionários, fornecedores, etc);
  • Por quem são coletados (DPO, secretária, pelo próprio dentista);
  • Se a finalidade dos dados está bem definida e de acordo com a LGPD.

Medidas de mitigação

Neste tópico é preciso identificar com clareza quais são os riscos de proteção aos dados. Para cada risco, deve-se estabelecer a probabilidade de que ele ocorra e o possível impacto.

Alguns exemplos são:

  • Acesso não autorizado
  • Perda
  • Roubo
  • Divulgação não autorizada
  • Informação insuficiente sobre a finalidade do tratamento
  • Impossibilidade de atender aos direitos do titular estabelecidos na lei

Após a descrição desses riscos, suas probabilidades e impactos, identifique e descreva as medidas e mecanismos para mitigá-los, que podem ser técnicas, de segurança ou até mesmo administrativas.

9 → Defina o programa e a política de privacidade

Para garantir a proteção de dados não basta apenas definir processos, é preciso assegurar que as práticas adotadas pela clínica estejam bem definidas e, principalmente, acessíveis a todos.

Para isso, crie e implemente um Programa de Privacidade e Proteção de Dados e, integrado a ele, sua Política de Privacidade.

Um programa de privacidade consiste em uma estrutura sistemática que abrange:

  • Políticas de gestão
  • Processos
  • Planos de ação
  • Funções e responsabilidades de colaboradores e parceiros
  • Ferramentas
  • Medidas de fiscalização
  • Entre outros fatores relacionados à proteção de dados

“O programa de privacidade é o projeto como um todo, o conjunto de ações que a organização coloca de pé para sustentar a implantação”, explica Ayesa Meurer Wisintainer, Gerente Sênior de Compliance e Encarregada de Dados da Henry Schein.

Integrada ao programa, a Política de Privacidade é o documento que descreve como é feita a coleta, o uso e o gerenciamento e proteção dos dados, além de formas de avaliação periódica da sua eficácia.

Ele é, sobretudo, uma maneira de manter a transparência com o público externo. “A política é uma das formas de documentar aos terceiros como a empresa realiza o tratamento de dados”, reforça Ayesa.

A Política de Privacidade deve ser atualizada à medida em que a clínica muda sua estrutura ou conforme surgem novas regras, tecnologias e ferramentas.

10 → Como proteger os dados

Entre as medidas protetivas, Ayesa orienta que o ideal é utilizar um software odontológico para registro e manutenção de dados que atenda aos requisitos de segurança exigidos pela LGPD.

“Dessa forma, a preocupação com a segurança e proteção dos dados estaria sendo coberta por uma empresa confiável e que tem ferramentas de gestão de segurança que minimizam o risco de um potencial vazamento”, explica.

Contudo, a segurança de acesso a esse sistema também deve ser prioridade, por isso não basta escolher o melhor software, mas seu uso tem de ser feito conforme as boas práticas de gestão da segurança de informação, com perfis com acesso limitado, troca periódica de senhas, etc.

Além disso, a lei também responsabiliza as empresas pela forma com que seus parceiros e fornecedores tratam os dados.

Nesse caso, é fundamental revisar os contratos e avaliar as políticas dessas empresas e profissionais para garantir que estejam em compliance com a LGPD.

11 → Como comprovar que o consultório está adequado à LGPD

Estar adequado à LGPD significa seguir todas as regras estabelecidas pela lei no que se refere à proteção e privacidade de dados.

Atualmente não existe nenhum teste ou certificação que comprove que a clínica está ou não em conformidade com a LGPD, porém existem modelos de “check list” que demonstram qual o grau de adequação, baseados em questões como:

  • Existe um levantamento das atividades de tratamento que utilizam dados pessoais e sensíveis?
  • A clínica possui um Programa de Privacidade formalizado e atualizado?
  • Existe uma Política de Privacidade e Proteção de Dados disponível aos titulares?
  • A clínica tem os Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) documentados?
  • O plano de ação está sendo executado (documento que descreve quais as medidas e procedimentos feitos e os que ainda estão sendo incorporados à rotina)?
  • Há condições de atender as demandas dos titulares dos dados dentro do prazo exigido por lei?
  • Há implantação de boas práticas de segurança de informação?
  • A clínica apenas compartilha dados com terceiros que seguem as normas da LGPD?
  • É feito treinamento dos funcionários para que saibam as regras de tratamento de dados exigidas por lei?
  • A clínica possui um Encarregado de Dados nomeado para tratar as questões relacionadas à LGPD?

Se para todas as perguntas acima a resposta foi “sim”, sua clínica ou consultório está adequado à lei. No caso de haver uma ou mais respostas “não”, é recomendável rever esses pontos para estar em conformidade com a legislação.

12 → Penalidades previstas pela LGPD

Com a entrada em vigor das sanções previstas pela LGPD em agosto deste ano (2021), as penalidades para quem não cumprir a LGPD serão aplicadas após uma análise da Autoridade Nacional de Proteção de Dados (ANPD), que leva em consideração:

  • A natureza das infrações e dos direitos pessoais afetados
  • A boa-fé do infrator
  • A vantagem pretendida
  • As condições econômicas
  • A reincidência
  • O grau do dano
  • Os processos e procedimentos implementados para atendimento à LGPD
  • A cooperação com a autoridade

Após essa avaliação, são aplicadas as penalidades, que variam de acordo com a gravidade da situação e englobam:

  • Advertências simples
  • Multas por infração cometida
  • Divulgação da infração cometida (comunicação pública)
  • Bloqueios, suspensões, proibições e até eliminação do banco de dados, podendo ser parcial ou total
  • Possibilidade de ações judiciais por parte de titulares dos dados

No caso das multas, os valores variam de penalidades diárias de 2% do faturamento do negócio no ano anterior, podendo chegar a R$ 50 milhões por infração.

Você pode gostar...

Deixe um comentário