Hospitais, clínicas, laboratórios, consultórios, profissionais autônomos são considerados agentes de tratamento de dados pessoais.

Nestas entidades circulam diariamente diagnósticos, prontuários, histórico familiar, exames, prescrições e até registros biométricos, dados pessoais e sensíveis e cujo tratamento irregular pode gerar danos sérios aos titulares de dados pessoais.

São inúmeros os episódios diários de incidentes envolvendo a área da saúdo, incluindo fraudes, vazamentos, ataques e uso indevido de dados e crimes digitais

A Lei Geral de Proteção de Dados (LGPD), impõe regras claras e responsabilidades a estes agentes de tratamento de dados. No setor da saúde, parte das instituições ainda está longe da conformidade, o que pode representar um risco jurídico, reputacional financeiro e humano.

O que está em jogo?

A LGPD classifica como “dados sensíveis” todos os dados sobre saúde física, mental, genética, biometria e vida sexual. E exige que eles recebam tratamento especial, com medidas técnicas e administrativas eficazes.

Mas na prática, o que vemos é:

• Clínicas enviando exames por e-mail sem criptografia;
• Funcionários com acesso livre a prontuários sem rastreio;
• Dados sendo impressos, esquecidos, repassados ou até vendidos;
• Dados críticos comunicados via WhatsApp e outros comunicadores;
• Golpistas se passando por hospitais para extorquir familiares de pacientes.

E não adianta apenas “ter uma política de privacidade”. A conformidade é mais que isso! Exige ação prática, controle real e responsabilidade em toda a cadeia.

A LGPD na saúde vai muito além do hospital

O erro mais comum é achar que apenas o hospital ou a clínica precisa se adequar.
É importante destacar que quem contrata terceiros para tratar dados responde solidariamente por eles.

Isso significa que a adequação precisa alcançar:

• Médicos parceiros e plantonistas;
• Laboratórios terceirizados;
• Plataformas de agendamento e prontuário eletrônico;
• Empresas de call center, cobrança, TI e recepção;
• Clínicas de imagem, coleta e diagnóstico;
• Desenvolvedores de softwares médicos;
• Estagiários e profissionais de apoio.

A cadeia de operadores é o elo mais fraco  e onde acontecem a maioria das falhas e tratamentos irregulares de dados pessoais

Como podemos te ajudar?

Desenvolvemos um programa de adequação à LGPD exclusivo para o setor da saúde, com foco prático, técnico e jurídico.

Nosso objetivo não é entregar um pacote de papéis ou apenas textos jurídicos e sim uma mudança real de cultura, segurança e conformidade.

As entregas do nosso programa incluem, mas não se limitam a:

1. Diagnóstico completo

• Mapeamento dos dados coletados e tratados (pacientes, familiares, colaboradores);
• Identificação dos fluxos: entrada, armazenamento, compartilhamento e descarte.

2. Avaliação de riscos e vulnerabilidades

• Análise de sistemas, prontuários eletrônicos, backups, e-mails, senhas e acessos;
• Identificação de riscos operacionais, técnicos e contratuais.

3. Elaboração de políticas e documentos

• Política de privacidade (interna e externa);
• Termos de consentimento específicos por tipo de serviço;
• Contratos com prestadores e operadores;
• Registros de tratamento (ROPA);
• Avaliação de impacto (DPIA) quando necessário.

4. Treinamento da equipe

• Capacitação prática de médicos, enfermeiros, recepcionistas, TI e administração;
• Treinamento para prestadores terceirizados;
• Simulações de incidentes e testes de segurança da informação.

5. Gestão da cadeia de operadores

• Avaliação de prestadores de serviço e plataformas contratadas;
• Cláusulas contratuais específicas;
• Matriz de risco da cadeia de dados.

6. Plano de segurança e resposta a incidentes

• Procedimentos para vazamento de dados;
• Comunicação com titulares e ANPD;
• Estruturação de “sala de crise” para emergências digitais.

7. Medidas técnicas de segurança digital

• Controles;
• Implementação de tecnologias e sistemas;
• Engenharia de privacidade.

8. DPO as a service

• Gestão e manutenção do Sistema de Gestão de Proteção de Dados;
• Comunicação com titulares;
• Comunicação com autoridades.

Por que isso é urgente?

Além de multas e sanções da ANPD, o impacto de um incidente de privacidade no setor da saúde pode ser devastador:

• Exposição de diagnósticos e doenças pessoais;
• Violação da confiança do paciente;
• Danos emocionais, financeiros e morais;
• Preconceito;
• Riscos de extorsão, chantagem ou uso indevido por terceiros.

A responsabilidade recai sobre o controlador, mesmo que a falha venha de um prestador, a menos que haja provas de descumprimento de diretrizes.

Para quem esse serviço é ideal?

Clínicas e hospitais
Laboratórios de exames e imagem
Consultórios médicos e odontológicos
Centros de estética, fertilidade, home care
Empresas de software para gestão da saúde
Profissionais autônomos da área médica e terapêutica
Planos de saúde e cooperativas

Base legal e técnica

O processo de atuação considera boas práticas e regulamentos locais, incluindo mas não se limitado a:

• Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018
• Art. 11 – Tratamento de dados sensíveis
• Art. 6º, VII a IX – Segurança, prevenção e accountability
• Art. 42 – Responsabilidade solidária de controladores e operadores
• Guias e Notas Técnicas da ANPD sobre dados sensíveis
• Boas práticas recomendadas pela ISO/IEC 27701, 27001 e 27002

Conclusão: proteger dados é parte do cuidado com a saúde

Como visto, o setor de saúde é um setor crítico e que necessita se adequar a normas gerais e específicas de proteção de dados pessoais.

Com expertise prático na adequação do segmento de saúde, CyberExperts oferece adequação e auditoria de proteção de dados pessoais, com impacto direto na operação e reputação da instituição. Você cuida das pessoas. Nós cuidamos dos dados pessoais!

Vamos conversar?

 

José Milagre, CEO da CyberExperts. Mestre e Doutor UNESP - [email protected]