Desmistificando a LGPD em centros de diagnóstico de imagem
Por: Diego Silva do Amaral
Coordenador de Testes e Qualidade e também Encarregado de Dados Animati
Para começar é importante que você saiba que os dados pessoais que você coleta e trata não precisam ser descartados ou paralisados. Eles podem e devem continuar sendo utilizados, caso tenham uma base legal adequada para isso.
A base legal é o fundamento jurídico que justifica o tratamento de dados pessoais para uma finalidade específica. Se você não tiver uma base legal para tratar os dados, você estará violando a lei e poderá ser responsabilizado por eventuais danos causados aos titulares dos dados.
A LGPD (Lei Geral de Proteção de Dados) entrou em vigor em setembro de 2020 e cujo objetivo é proteger os direitos fundamentais de liberdade e de privacidade dos cidadãos brasileiros. Ela estabelece regras sobre como os dados pessoais devem ser coletados, tratados, armazenados e compartilhados por empresas públicas e privadas.
Os dados pessoais são aqueles que permitem identificar uma pessoa, como nome, CPF, endereço, telefone, etc. Os dados sensíveis são aqueles que revelam informações sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos.
Na área da saúde, a LGPD é especialmente relevante, por envolver dados sensíveis, que podem afetar a vida e a dignidade das pessoas. Esses dados incluem informações sobre a saúde física ou mental, condições genéticas, biológicas ou biométricas, entre outras. A lei garante que esses dados sejam utilizados apenas para fins específicos, legítimos e consentidos pelos titulares, e que sejam protegidos contra acessos não autorizados, vazamentos, perdas ou danos.
Os centros de diagnóstico de imagens são um dos segmentos da saúde que mais lidam com dados sensíveis dos pacientes por realizarem exames como raio-x, tomografia, ressonância magnética, ultrassom, entre outros. Esses exames geram laudos e imagens que são armazenadas em sistemas digitais e que podem ser acessadas por médicos, laboratórios e hospitais.
Por isso, os centros de diagnóstico de imagens devem estar atentos aos impactos da LGPD em suas atividades e adotar medidas para se adequar à lei e garantir o cumprimento das normas.
Mas como adequar a LGPD em Centros de Diagnóstico?
Para adequar seu centro de saúde à LGPD, é preciso seguir alguns passos:
Passo 1
Nomear um encarregado de proteção de dados (DPO), que será o responsável por orientar e monitorar o cumprimento da LGPD pelo centro de saúde, bem como interagir com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD).
Passo 2
Criar um relatório de Impacto à proteção de dados, onde será mapeado os dados pessoais e sensíveis tratados pelo centro de saúde, identificando a origem, a finalidade, a base legal e o destino dos dados. Uma dica da Animati, muito importante nesse ponto é evitar utilizar o consentimento como base legal. Uma das razões para evitar o consentimento como base legal é que ele pode ser revogado a qualquer momento pelo titular dos dados, comprometendo a continuidade do tratamento.
Além disso, o consentimento deve ser livre, informado, específico e inequívoco, o que nem sempre é possível ou adequado para certas finalidades. Por tanto, é recomendável dar preferência para as demais bases legais, como o legítimo interesse, o comprimento de obrigação legal ou contratual, a proteção da vida ou da saúde, entre outras, quando forem compatíveis com a finalidade do tratamento e respeitem os princípios e direitos dos titulares dos dados.
Passo 3
Implementar medidas técnicas e administrativas para garantir a segurança e a confidencialidade dos dados pessoais e sensíveis, evitando vazamentos, acessos não autorizados ou uso indevido dos dados.
Passo 4
Elaborar uma política de privacidade e um plano de resposta a incidentes, que devem ser divulgados aos titulares dos dados e aos funcionários do centro de saúde.
Passo 5
Capacitar os funcionários do centro de saúde sobre as normas e as boas práticas da LGPD, conscientizando-os sobre a importância da proteção dos dados pessoais e sensíveis.
Passo 6
Revisar os contratos com fornecedores e parceiros que tenham acesso aos dados pessoais e sensíveis do centro de saúde, exigindo que eles também cumpram com a LGPD.
Passo 7
Atender aos direitos dos titulares dos dados, como acesso, retificação, portabilidade, eliminação e oposição ao tratamento dos seus dados pessoais e sensíveis. Aqui outra dica da Animati, a eliminação ou anonimização dos dados nem sempre é viável para os centros de saúde e pode sim ser negado, desde que os dados mapeados tenham base legal irrevogáveis, como o legítimo interesse, o cumprimento de obrigação legal ou contratual, a proteção da vida ou da saúde. Sendo assim, é muito importante, como citado acima evitar o consentimento.
Passo 8
Reportar à ANPD e aos titulares dos dados qualquer incidente que envolva violação ou risco aos seus dados pessoais e sensíveis.
O que é a ANPD?
A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil. A ANPD tem como principais atribuições orientar, prevenir, punir e remediar as violações de dados pessoais dos cidadãos brasileiros.
A Lei Geral de Proteção de Dados (LGPD) estabelece uma série de multas e sanções para as empresas que descumprirem as normas sobre o tratamento de dados pessoais. As multas podem chegar a 2% do faturamento da empresa, limitado a R$ 50 milhões por infração, e as sanções podem incluir a suspensão ou proibição do exercício da atividade relacionada ao tratamento de dados.
A LGPD também prevê a responsabilização solidária dos agentes de tratamento de dados, ou seja, tanto o controlador quanto o operador podem ser penalizados em caso de violação dos direitos dos titulares dos dados.
Animati e a LGPD
A Animati segue as melhores práticas do mercado e vem trabalhando de forma a estar sempre adequada aos princípios da LGPD e para isso desenvolve seus softwares sempre observando os pontos abaixo:
– Finalidade, necessidade, adequação, transparência, segurança e prevenção.
– Aplicando técnicas de privacidade por design e por padrão no software, garantindo que os dados pessoais e sensíveis sejam tratados com o mínimo necessário para atingir a finalidade pretendida e que as configurações padrão sejam as mais protetivas possíveis.
– Realizando testes periódicos de segurança no software, verificando se há vulnerabilidades ou falhas que possam comprometer os dados pessoais e sensíveis.
– Implementando mecanismos de controle de acesso e de registro de atividades no software, permitindo identificar quem acessou, modificou ou excluiu os dados pessoais e sensíveis.
– Atendendo aos direitos dos usuários do software, como acesso, retificação, portabilidade, eliminação e oposição ao tratamento dos seus dados pessoais e sensíveis, sempre que viável.
– Reportando à ANPD e aos usuários do software qualquer incidente que envolva violação ou risco aos seus dados pessoais e sensíveis.
Para saber mais sobre as soluções da Animati e como podemos ajudar o seu centro de diagnóstico por imagens, entre em contato com nossos especialistas.
