Fale conosco

L.G.P.D para clínicas médicas

Este breve artigo eu quero dirigir aos doutores e doutoras da área de saude, nossos queridos médicos. Ainda mais em tempos de pandemia e de aumento expressivo da demanda por profissionais de saúde, exames e atendimentos remotos (telemedicina, prontuários digitais, dados de laboratório e exames em nuvem), nada melhor do que algumas reflexões sobre os riscos a serem minimizados no desempenho da atividade clinica após o advento da Lei Geral da Proteção de Dados – LGPD.

A ideia não é tratar o assunto sob o aspecto técnico, mas sim sob o foco da gestão do dia a dia do gestor da clinica e dos reflexos dessas condutas na operação administrativa e comercial do consultório.

O assunto é bastante vasto, complexo e precisa ser digerido aos poucos.

Dessa forma, a ideia aqui é falarmos sobre questões bem pontuais. Caso você precise ou se interesse por análises mais profundas sobre a nova Lei 13.709/18, terei prazer em responder aos questionamentos nos comentários.

Aqui, vamos falar de 5 pontos principais:

a) riscos de vazamento de dados em clinicas

b) telemedicina segura e em conformidade com a legislação

c) sistemas de gestão da clinica: online ou local

d) uso de dados dos pacientes e o ato de consentimento

e) como ficam os cadastros rotineiros dos pacientes com a nova lei

Ao final, incluiremos algumas sugestões para que você possa reduzir substancialmente os riscos envolvidos, além de poder cumprir de maneira mais assertiva a nova legislação brasileira. Vamos começar?

Riscos de vazamento de dados em clinicas

Tenho certeza de que para você não é novidade alguma que o sigilo médico em relação ao estado clinico do paciente é Lei. Porém, em uma era de conectividade praticamente inevitável de usuários e trabalhadores em clinicas, os riscos de vazamento das informações sigilosas constantes nos prontuários e demais registros do paciente junto a sua clinica, tornam-se cada vez mais cobiçados.

Estamos falando aqui dos chamados “ciberataques” que afetam diretamente a segurança da informação da sua clinica e, consequentemente, dos seus pacientes.

Casos não raros são os de hackers que maliciosamente invadem os computadores e servidores da sua clinica, obtêm acesso a falhas de segurança, bloqueiam todas as informações de pacientes e de prontuários e, em troca de liberação, pedem quantias consideráveis de dinheiro.

Não fosse essa a pior das situações, pagar esse tipo de bandido pode ser pior do que não honrar o resgate dos dados, de maneira que um vazamento dessa natureza em uma clinica com pacientes, digamos “famosos” ou com quadros clínicos delicados, pode tornar a situação comercial do seu negócio e com seus pacientes um verdadeiro pesadelo.

Telemedicina segura e em conformidade com a legislação

Durante um atendimento telemático médico, você precisa armazenar dados e registros de toda a consulta (audio, video, chat ou ambos), justamente para se resguardar acerca das orientações e do quadro clinico indicado pelo paciente.

A escolha das plataformas que serão utilizadas tanto por seus médicos quanto por seus pacientes de ponta a ponta, serão determinantes para aumentar a segurança dessa armazenagem.

Não podemos esquecer que, do outro lado da tela, o paciente em geral é um ser humano que muitas vezes não esta familiarizado com tecnologia e procedimentos dessa natureza, de modo que, quanto mais intuitivo e seguro for sua interface, maiores as chances de que você dificulte qualquer invasão.

Imagine, por exemplo, se alguém tem acesso a uma teleconsulta gravada com um paciente em que é revelada uma informação pessoal de natureza clinica relevante?

O alerta fica justamente para evitar que sua clinica utilize qualquer plataforma gratuita ou sem registro e armazenamento adequado e que não esteja sincronizada com seu sistema de gestão e registro médico. Isso aumenta, e muito, os riscos de vazamento e invasão a dados sensíveis.

Sistemas de gestão da clinica: online ou local

Seja qual for o sistema que você utilize ou venha a utilizar na sua clinica, é bastante raro termos uma operação dessas que seja 100% digital e sem a existência de papel. Justamente por esta razão, precisam existir critérios bastante distintos na tratativa de dados físicos (papelada e registros antigos) e dados digitais.

Para a lei, não existe distinção entre dado fisico e digital: tudo são dados e seu conteúdo é que é relevante e sigiloso. Portanto, seja qual for seu método de armazenagem atual, fique atento.

Se você utiliza um sistema de gestão online (desses que não precisam instalar um sistema no seu computador e que são acessados via web – internet), você deve se certificar que no contrato de serviços deles constem cláusulas de conformidade com a LGPD junto ao servidor de dados deles (seja local ou nuvem). A maciça maioria dos sistemas não costumam enviar o contrato de serviços detalhados, portanto, exija ler o contrato ANTES de adquirir o sistema.

Verifique também qual é o nível de responsabilidade por invasão aos sistemas deles e a base de dados que irão gerenciar através do software deles para sua clinica. Isso é altamente impactante em uma eventual situação de vazamento, especialmente para que você possa comprovar que tomou todas as medidas ao seu alcance para minimizar os riscos. Ao final explicaremos melhor sobre o conceito de “tomar todas as medidas necessárias a redução do risco”.

Outro detalhe: se o sistema em nuvem via internet armazenar ou utilizar servidores fora do Brasil, existem exigências adicionais na documentação deles em razão do tratamento de dados no exterior.

Caso seu sistema seja local (aquele que alguém precisa instalar o software no seu computador local) e que as vezes pode ate não depender de internet, igualmente esteja atento a documentação do sistema quando as politicas de backup, restauração, preservação dos dados e responsabilidade de terceiros (sim, todo e qualquer funcionário da empresa de software que tiver acesso ao seu computador para fazer atualizações, reparos, ajustes etc., deve estar sob a responsabilidade da empresa de software e de eventual mal uso do dados).

Quantas historias ja não vimos na TV sobre celebridades ou autoridades que levaram seus celulares ou computadores para a manutenção e, algum tempo depois, vazam na internet fotos privadas, diálogos, arquivos pessoais. Em geral isso acontece porque os funcionários de um local de manutenção, ao terem acesso, utilizam mal essa liberdade técnica e infringem gravemente a lei de dados.

Por fim, caso você ainda utilize o sistema fisico (papel, fichinhas, registros) tome cuidado com o acesso de pessoas com celulares. Os smartfones sao uma revolução, mas se tornaram uma ferramenta poderosa (até demais) de espionagem e desvio de dados. Aplicativos de mensagens eletrônicas (whatsapp, telegram etc) podem disseminar em segundos uma foto ou uma informação sigilosa de um paciente de maneira quase incontrolável.

E aqui entra outro alerta: os próprios colaboradores da sua clinica. Falaremos mais ao final sobre as medidas nesse sentido. Dados Verizon indicam que, mais de 73% dos vazamentos indevidos de dados ocorrem por iniciativa externa; contudo ao menos 27% destes vazamentos são interno, ou seja, de quem ja tem acesso aos dados.

Uso de dados dos pacientes e o ato de consentimento

A nova lei exige que, quando sua clinica for armazenar, utilizar, manipular e proteger os dados de seus pacientes (por exemplo, o Estatuto da Criança e do Adolescente prevê que os dados médicos devem ser armazenados por 18 anos), os titulares dos dados ou seu representantes, precisam dar a sua clinica o consentimento para esse processo.

A figura do consentimento é bastante abrangente, porem, igualmente subjetiva. Pensando na sua rotina de atividades, o melhor a ser feito é, junto com a documentação inicial que seu paciente assina quando chega na sua clinica pela primeira vez, é importante que junto de tudo ja esteja anexado o termo de consentimento e tratamento de dados.

Caso seu sistema seja todo digital, esse termo pode ser enviado por email antes da teleconsulta (apenas a primeira vez) ou mesmo para arquivo de que o termo assinado foi enviado.

Importante: a regra pela lei é que consentimento não se presume, ou seja: se não estiver expressamente autorizado, não pode ser utilizado.

Lembrando que essa interface praticamente em 100% dos casos será feita por suas secretarias. Assim, treiná-las a saber explicar isso aos pacientes é fundamental para evitar qualquer mal entendido dessa natureza.

Como ficam os cadastros rotineiros dos pacientes com a nova lei

O prontuário médico, a agenda médica e o cadastro de pacientes, são os pontos-chave sensíveis nesse processo. Afinal, é essencial para o exercício da sua profissão estas informações sobre todos os seus pacientes. Porém, é exatamente todo esse acesso que o coloca em ainda mais risco pois, além dos dados considerados sensíveis pela legislação (nome, sexo, idade, etc.) sua clinica possui dados laboratoriais, de saude, de evidências em consultas, que podem ser considerados ultra-sensíveis (isso é um termo cunhado por nós, pois não esta na lei… mas de fato é assim que eles sao encarados)

Voltando aqui ao seu formato atual de arquivos: se forem físicos, encarregue-se de urgentemente digitaliza-los e armazena-lo em sistemas seguros e robustos. Qualquer invasão não autorizada nesse sentido é simplesmente problema de alto potencial ofensivo.

Com essa medida simples, você pode criar acessos escalonados por níveis (médicos, secretarias, assistentes, o próprio paciente) de modo que além da rastreabilidade de quem acessou, você possa definir quem não pode acessar, que no final das contas é o mais importante.

Lembrando que, como falamos no tópico acima, é necessário o termo de consentimento do paciente para essa armazenagem e tratamento de todos os dados dessa natureza.

Conclusões e algumas sugestões

Obviamente que neste pequeno artigo é impossível delinearmos todos os potenciais riscos e soluções para as questões que envolvem as clinicas medicas e a Lei Geral de Proteção de Dados.

Contudo, pontuados estes 5 cenários, algumas sugestões podem ajudar a reduzir consideravelmente os riscos envolvidos e as pesadas multas a partir de Agosto de 2021:

  • contrate um profissional jurídico que esteja familiarizado com a LGPD (acredite, ele pode economizar-lhe multas, além de poder revisar todos os documentos internos, preparar os termos de consentimento, analisar os contratos de sistemas informatizados, os contratos com seus colaboradores e prestadores de serviços diversos e acionar a autoridade nacional de proteção de dados). O descumprimento da legislação pode levar ate ao fechamento da clinica, portanto, ter um profissional ao seu lado nesse sentido certamente fará toda a diferença em uma situação de crise;
  • prepare ou contrate um treinamento para todos os seus colaboradores, literalmente todos, inclusive você. Temos o péssimo habito de achar que estamos o tempo todo conscientes de nossos atos, ainda mais os rotineiros e de profissão. Poder olhar sua clinica de fora para dentro pode lhe trazer uma clareza impressionante quanto aos riscos e eventuais falhas de segurança e comunicação a serem supridas;
  • monte uma rota dos dados – é o equivalente a um GPS de todo o caminho dos dados do paciente dentro da sua estrutura e por cada pessoa que ele passa, com suas potenciais implicações;
  • adquira um certificado digital para sua clinica. A assinatura digital, alem de garantir autenticidade ao processo, será um poderoso fator positivo para provar que um determinado dado ou informação procedem ou não do seu banco de dados;
  • leia lei. Parece bobeira, mas ler a lei lhe trará clareza de alguns itens que mencionamos aqui, justamente para que você se familiarize com os riscos e os potenciais de vazamentos;
  • busque no mercado empresas de virtualização de acervo que utilizem certificação digital, rastreabilidade e armazenagem ultra-segura em servidores de nuvem. Isso garante o conceito de “todas as medidas para minimizar o risco de vazamento ou invasão” que poderão ser considerados pela autoridade nacional de dados para quantificar uma eventual advertência ou uma pesada multa;
  • contrate sistemas de gestão de clinicas, de prontuários, de agendamento de plantões, de atendimento em telemedicina e de documentação medica que apresentem cláusulas de conformidade com a LGPD. Essa é a diferença entre sua clinica ter a quem responsabilizar ou ter de responder sozinha pelos prejuízos de uma eventual crise de vazamento de dados;
  • todos os seus colaboradores precisam assinar um aditivo ao seu contrato de trabalho se responsabilizando pelo sigilo, restrição de acesso e proibição de divulgação de qualquer dados existente ou constante nos bancos de dados da sua clinica. Procure seu contador e peça a ele que providencie isso com urgência e, se o caso, com o suporte do profissional jurídico que mencionamos no item 1;
  • crie uma pequena cartilha de politicas de uso, manipulação, armazenagem e destruição de dados para todo o seu pessoal interno e prestadores de serviços. Quem não é treinado, não pode ser cobrado e acaba alegando ignorância. Além disso, uma inocente informação ou foto enviada do whatsapp da sua clinica para o do paciente, pode gerar problemas bastante delicados (só pense na situação em que um numero de telefone tenha sido clonado, por exemplo).

Bom, espero que os alertas e dicas sejam proveitosos. E não se esqueça: mais do que conseguir proteger efetivamente os dados, você precisa PROVAR que tomou todas as medidas a sua disposição para tentar impedir o mal uso dos dados. Nos termos da própria lei: “Adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano”.

Compartilhe

Posts relacionados

BLOG

15 dez 2023

O vazamento de dados de pacientes é como uma pandemia: precisamos agir rápido!

Você é um profissional da área de saúde? Se sim, este blog post é para

Ler mais

BLOG

27 nov 2023

Proteção de dados em instituições de ensino

O vazamento de dados educacionais é como uma mancha no currículo: prejudica eternamente a imagem

Ler mais
Irresponsabilidade empresarial

BLOG

24 nov 2023

Irresponsabilidade empresarial eleva desafios da LGPD no Brasil

Com a obrigatoriedade da Lei Geral de Proteção de Dados – LGPD, empresas de todo

Ler mais

O Instituto Nacional de Dados Pessoais é uma organização que se dedica à proteção de dados pessoais.

Localização

Informações

  • 19 3406 8008
  • contato@indapbr.com.br
  • Rua santa cruz 388 1 andar sala 6
Política de privacidade

© 2025 Todos os direitos reservados