Neste artigo especial falaremos sobre a LGPD para laboratórios e será o primeiro de uma série de conteúdos e ações voltadas para a proteção de dados pessoais nesse seguimento. Vamos falar um pouco sobre a aplicação da lei, tirando as principais dúvidas e compartilhando dicas sobre os primeiros passos para garantir a segurança dos dados dos pacientes.
Para falar sobre o assunto nada melhor do que contar com a expertise de uma consultora e advogada especialista em Lei Geral de Proteção de Dados, para isso convidamos a Mayara Pastor, Sócia e Coordenadora de Projetos da Égide Pro – empresa focada em Proteção de Dados e Compliance, para escrever este conteúdo completo.
Continue a leitura!
O que é a LGPD?
A Lei Geral de Proteção de Dados, popularmente conhecida como LGPD (Lei 13.709/2018) é a principal legislação que trata sobre o tema de privacidade e segurança de dados pessoais no Brasil.
Essa lei foi aprovada em 2018 e teve o início de sua validade em 2020, trazendo diretrizes à utilização justa de dados pessoais por parte das empresas e do setor público, com objetivo principal de proteger os direitos fundamentais de liberdade e de privacidade dos indivíduos (pessoas físicas).
Essa legislação atinge praticamente todos os setores da sociedade, em especial, empresas que têm acesso às informações de pessoas físicas, como os laboratórios clínicos.
Que empresas precisam se adequar à LGPD?
De acordo com a lei, qualquer empresa ou setor público que faça registro e armazenamento de dados pessoais de clientes devem se adequar à lei, independente do meio de registro (digital, software, computador, agenda, caderno, entre outros).
Quem fiscaliza a LGPD?
A LGPD instituiu a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) como o órgão responsável por regular, implementar e fiscalizar o cumprimento da LGPD em todo o Brasil. Esse órgão já está completamente formado, com a previsão de aplicação de multas por descumprimento neste ano de 2023.
Quem são os principais atores da LGPD?
A LGPD institui três papeis principais para a implementação da lei nas empresas, os chamados “agentes de tratamento”:
- o controlador, que define como os dados pessoais serão tratados na empresa, desde sua coleta, armazenamento e eliminação. Via de regra o laboratório figura nessa posição na maioria dos processos internos e externos;
- o operador, pessoa ou empresa que processa e trata os dados pessoais cumprindo as ordens do controlador, respeitando as obrigações da lei, que é o caso dos softwares como o Labplus, que vocês já conhecem;
- o encarregado, ou o DPO (Data Protection Officer), responsável por orientar e embasar as decisões corporativas, com o intuito de estar em conformidade com a LGPD. Cada empresa precisa ter o seu, devidamente indicado.
Quais dados se enquadram na LGPD?
Como mencionamos, a LGPD surgiu para garantir a integridade e segurança de dados pessoais de usuários, mas o que são de fato dados pessoais?
Dado pessoal é qualquer informação relacionada a uma pessoa natural (física), que possa identificá-la, como por exemplo: nome, CPF, RG, etc.
Ainda, temos os chamados dados pessoais sensíveis que são aqueles que possuem um potencial maior de impactar os direitos e liberdades dos titulares. Alguns exemplos: dados sobre raça, dado referente à saúde ou à vida sexual, dado genético ou biométrico de um paciente.
Os laboratórios de análises clínicas tratam dados pessoais e dados sensíveis em grandes quantidades, deste modo a preocupação em estarem devidamente adequados à lei é uma constante. Vale ressaltar que a lei instituiu regras específicas, mais rigorosas para o tratamento desses dados chamados sensíveis.
O que é considerado tratamento de dados?
Quando falamos em tratar dados, a lei se refere a toda e qualquer atividade realizada com dados pessoais, ou seja, tudo o que refere a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados.
LGPD para laboratório: o que precisa ser feito para se adequar
O laboratório deve olhar para seus processos internos, revisá-los, implementar medidas de melhoria e, se possível, contar com uma assessoria especializada em LGPD para analisar se tudo o que está sendo feito está amparando o laboratório perante a lei.
É muito comum encontrarmos situações como as descritas a seguir, nos laboratórios:
- Computadores desbloqueados;
- Sistemas e programas desatualizados;
- Computadores sem antivírus;
- Redes wi-fi abertas;
- Compartilhamento livre de informações de pacientes e médicos;
- Funcionários já desligados com usuários ativos nos sistemas;
- Equipes sem treinamento quanto a LGPD;
- Falta de canal de comunicação específico para LGPD;
- Inexistência de inventário dados
Essas situações, dentre outras, fazem com que os dados de pacientes e funcionários fiquem vulneráveis, ou seja, podem impactar diretamente na segurança e integridade. Então, o que o laboratório pode fazer?
1. Definir pessoas responsáveis por cada papel dentro da LGPD
Assim como explicamos anteriormente, a LGPD tem alguns papéis principais (controlador, operador e encarregado) e o laboratório precisa definir sua posição e no caso do encarregado quem ficará responsável pela função (interno ou assessoria terceirizada).
2. Realizar o mapeamento das atividades que tratam dados pessoais
A primeira coisa a se fazer é um mapeamento geral das atividades laboratoriais que tratam dados pessoais. Esse levantamento visa trazer um “raio-x” de como está o nível de segurança de dados de cada atividade, olhando para o que precisa ser feito para a adequação perante a nova lei.
De acordo com a lei, o laboratório tem a obrigação de implementar técnicas adequadas e medidas organizacionais que garantem um nível de segurança adequado a esses dados, podendo ser responsabilizado caso não faça.
3. Criação de usuários individuais no software
Deve haver contas de usuários individuais de acesso aos sistemas e periodicamente essas senhas serem alteradas, além de implementar a proibição de compartilhamento de contas de usuários para acessar dados automaticamente.
4. Manter dados pessoais em segurança
É necessário fazer o fechamento seguro de armários com arquivos físicos usados para armazenar dados pessoais, bem como no acesso à rede e computadores do laboratório, inclusive ao acesso à base de dados dos sistemas utilizados no laboratório (ex.: LIS, sistemas de bancos etc.).
5. Ser transparente com os clientes sobre o uso de dados
Deixar os titulares de dados cientes de quais dados pessoais serão necessários coletar, informar a finalidade (objetivo, produto ou serviço a ser entregue) e o tempo que esses dados ficarão em poder do laboratório (mesmo após a finalidade ser atingida).
Caso os dados dos titulares forem compartilhados com terceiros (ex.: convênio, sus, laboratório de apoio etc.) o titular deve saber que isso ocorrerá e por qual finalidade;
Vale atentar-se também para uso de imagens (câmeras de segurança) ou cópia de documentos dos titulares.
6. Fazer documentação constante das atividades
É imprescindível a documentação e registro das atividades que fazem tratamento de dados pessoais no laboratório. Essa documentação deve ser constantemente atualizada, caso ocorra no futuro alguma solicitação da ANPD (Autoridade Nacional de Proteção de Dados), ações trabalhistas, ações de indenizações por danos morais etc.
7. Capacitar a equipe do laboratório
A LGPD não é um ajuste pontual na rotina do laboratório e sim uma atividade constante e capacitar a equipe para que tenha conhecimento sobre a nova lei, entender a importância dela e ir incorporando uma cultura de segurança de proteção de dados ao dia a dia é fundamental para estar em conformidade.
8. Abrir um canal de comunicação para pacientes
Crie um canal de comunicação direto para os pacientes tirarem dúvidas ou fazer solicitações ao laboratório, pode ser um e-mail por exemplo.
Leia também: Como criar campanhas de e-mail para clientes do laboratório
9. Ter um plano de ação
Criar um plano de ação, caso ocorra vazamento de dados pessoais e o laboratório precise explicar aos titulares o que aconteceu.
Somente com esses pontos apresentados, o laboratório já possui um arsenal para compor seu plano de adequação à lei. Como dá para notar, as medidas de adequação vão muito além da adequação somente do LIS. Estar com o software laboratorial adequado não garante que o laboratório inteiro esteja adequado à LGPD.
Quais as consequências do descumprimento da LGPD?
As principais consequências do descumprimento da Lei Geral de Proteção de Dados são de ordem fiscal e jurídica, sujeitas a penalidades como: advertências, multas com base no faturamento, suspensão do direito de tratar dados pessoais, dentre outras previstas.
No Brasil já existem alguns casos de condenações baseadas na LGPD por violação de sigilo de dados e transferência para terceiros sem consentimento, por exemplo.
Além disso, ao não cumprir as regras o laboratório pode comprometer a privacidade dos pacientes, o que pode acarretar diversos problemas com a imagem da empresa, reputação e valorização de mercado.
Canal exclusivo para clientes Hotsoft
A empresa criou um canal de comunicação exclusivo para clientes tirarem suas dúvidas sobre os assuntos da LGPD, através do e-mail: [email protected] Além disso, vem sendo assessorada pela Égide Pró, especialista em proteção de dados e compliance, não deixe de conhecer o trabalho também.
Escrito por Mayara Pastor, especialista em Lei Geral de Proteção de Dados (ESMAFE-PR), Lead Implementer da Gestão da Privacidade da Informação (Baseado na ABNT NBR ISO/IEC 27701), Especialista em Sistema Financeiro e Mercado de Capitais (CESUMAR), Membro do Comitê Brasileiro de Segurança da Informação, Segurança Cibernética e Proteção da Privacidade (ABNT), Sócia e Coordenadora de Projetos da Égide Pro – Proteção de Dados e Compliance.