Desde a entrada em vigor da Lei Geral de Proteção de Dados¹, muito se fala em adequação ou implementação da nova legislação em empresas públicas e privadas, bem como na atuação profissional de pessoas físicas.
Na prática, o que se busca na inserção de uma nova legislação na atuação desses agentes é, justamente, adaptar suas práticas e preceitos para se manterem atuantes, respeitando a privacidade e os dados pessoais dos indivíduos.
Para ilustrar um pouco melhor como os dados pessoais se inserem diariamente no nosso cotidiano e, nesse caso, no contexto das clínicas médicas, vou contar uma situação que vivenciei recentemente, e que reflete a realidade dos principais riscos da maioria dessas organizações.
Há algumas semanas fui à uma consulta de rotina. No local, há diversas especialidades, e logo na recepção já me deparei com uma situação desconfortável, mas muito comum em clínicas e consultórios médicos.
Enquanto confirmava minha consulta com a secretária e passava meu cartão do plano de saúde, vi em cima do balcão diversos prontuários e fichas médicas de outros pacientes. Ao lado, outra funcionária estava organizando as pastas ali mesmo, enquanto atendia um paciente por telefone usando o seu headset.
Confirmada a consulta e debitado o ato no meu plano de saúde, me sentei para aguardar ser chamada e comecei a refletir sobre quantos problemas a clínica poderia ter por causa daquela conduta que, provavelmente aos seus olhos, seria comum e inofensiva.
Passados poucos minutos fui chamada pela médica para iniciarmos minha consulta. Novamente outro alerta de desconformidade acendeu na minha cabeça.
No final, enquanto aguardava o preenchimento do meu receituário médico, a sala ficou mais silenciosa e pude perceber que conseguia ouvir quase tudo que estava sendo falado no consultório ao lado, entre outro médico e sua paciente.
Pode parecer exagero nos alarmarmos com situações assim, e isso se dá pelo fato de que ainda não possuímos uma cultura de proteção de dados. Mas é preciso começar a observar que esse tipo de situação pode gerar danos graves ao paciente e impactos negativos à clínica e ao médico.
Imagine receber o diagnóstico de uma doença que gere ainda, lamentavelmente, algum tipo de discriminação, como a AIDS, por exemplo, e os pacientes dos consultórios vizinhos ficarem sabendo disso junto com você?
Pode parecer um exemplo extremo, mas esse tipo de incidente, nessas circunstâncias, certamente não é difícil de acontecer.
Quis ilustrar como a proteção de dados se insere nesse cenário, a partir de ações comumente praticadas, para justamente entendermos até onde vai o impacto do tratamento dos dados pessoais e, consequentemente, da regulamentação trazida pela LGPD.
Essa situação não tem a ver com falha em sistema, vírus, tratamento massivo de dados, compra de base de dados ou quaisquer atividades tecnológicas realizadas com dados que geralmente são relacionadas quando se pensa na aplicação da LGPD.
Pelo contrário, são situações corriqueiras, cotidianas, muito mais relacionadas com a realidade das micro e pequenas empresas e dos profissionais liberais, onde as maiores brechas são ocasionadas por ações ou omissões humanas, que se dão, geralmente, pela falta de conhecimento das regras e dos riscos.
Em resumo, as situações que narrei acima são enquadradas pela lei como violações aos dados pessoais de saúde dos pacientes, ainda que fortuitamente. No dito popular, isso é chamado de vazamento de dados.
Um dado pessoal de saúde tratado² sem responsabilidade pode gerar muitos prejuízos ao paciente, podendo ensejar até atos discriminatórios a depender do seu contexto e da informação.
Depois desse ocorrido, enquanto dirigia de volta para casa, pensei em como escrever um conteúdo prático que pudesse auxiliar clínicas de menor porte para evitar que esse tipo de incidente seja replicado.
Eis que elaborei este artigo onde reuni o que eu considero como as 3 principais dicas práticas para adequar uma clínica de pequeno porte à LGPD.
Se atente, principalmente, aos seguintes pontos:
1. Dados Relacionados à Saúde do paciente (sensíveis)
A LGPD trouxe um rigor maior para o tratamento dos dados pessoais que categorizou como sensíveis, sendo eles:
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.³
Considerando que essa categoria de dados possui requisitos específicos para sua legitimação, ou seja, encontrar, dentro da legislação, uma hipótese que justifique a sua utilização, as chamadas bases legais.
Além disso, incorporar os princípios e boas práticas da lei, como a minimização dos dados (somente o estritamente necessário) e a finalidade do tratamento (utilizar os dados condizentes com o propósito específico definido).
O setor da saúde necessita dedicar maior atenção, agora, não somente ao sigilo das informações dos pacientes, mas também à segurança e proteção desses dados pessoais.
Portanto, nas clínicas médicas de pequeno porte o foco deve ser principalmente nos dados pessoais relativos à saúde que circulam na organização. Isso se dá pelo fato de que, como apontado acima, representam o maior risco nesses ambientes.
2. Coleta e Gestão dos dados pessoais
A realidade da maioria das clínicas conta com a atuação dos médicos com apoio de poucos funcionários, geralmente para a recepção ou secretaria.
Nesse contexto, uma medida importante e relativamente simples de ser implementada é a definição do ciclo de vida dos dados pessoais, devendo seguir diretrizes predefinidas através de uma política interna de governança.
Política interna de governança pode-se entender como um documento de apoio, prático e conciso onde constarão os fluxos macro e micro estabelecidos, criando-se uma espécie de trilha ou caminho que os dados deverão percorrer.
Para ilustrar melhor, as seguintes perguntas podem ser respondidas quando da criação dos fluxos:
Ainda que se pense o contrário, medidas que implementam fluxos e processos bem definidos são importantes para instituições de pequeno porte, considerando que a organização é um fator primordial, principalmente pelo fato de que grande parte de suas atividades são realizadas de forma manual com documentos físicos.
3. Dados pessoais em Documentos Físicos
As empresas, em geral, têm investido em soluções para se tornarem mais tecnológicas e informatizadas, sendo que muitas clínicas já são adeptas aos prontuários eletrônicos e aos sistemas de gestão e controle.
Contudo, ainda sim a realidade que se apresenta é uma enorme quantidade de documentos físicos que circulam diariamente entre as salas de recepção, os consultórios médicos e as fichas do arquivo.
Esses arquivos não raras vezes estão armazenados em locais de fácil acesso a terceiros, como um armário na sala de recepção ou um móvel dentro da sala de um dos médicos.
Sob um ponto de vista de proteção e segurança dos dados, esse cenário pode trazer grandes riscos às clínicas, principalmente pelo fato de que a maior parte dos incidentes de segurança ocorrem por falha humana.
Ou seja, quando documentos estão em locais desprotegidos e de difícil organização/gestão, as chances de que se percam, sejam destruídos ou danificados, ou ainda, que sejam intencionalmente divulgados (vazados) por um terceiro de má fé, são altas.
No próximo tópico, o checklist das medidas de segurança será de grande valia na hora de implementar padrões de segurança aos dados pessoais e informações.
Fugindo da LGPD, aqui vale ressaltar outra obrigação legal imposta aos médicos que se torna ameaçada pelos riscos mencionados acima: A necessidade de guarda dos prontuários dos pacientes pelo período de 20 anos.
Nesse sentido, as medidas organizacionais se mostram novamente aliadas das pequenas organizações, o que é um ponto positivo considerando que a sua implementação pode ser mais simples e menos custosa do que se imagina e, consequentemente, muito mais acessível a qualquer porte de empresa.
Por isso uma cultura forte de privacidade e proteção de dados, bons treinamentos e diretrizes claras serão os aspectos determinantes para uma empresa estar ou não em conformidade com a lei de proteção de dados.
4. BÔNUS – 9 Medidas de Segurança para incorporar à sua Clínica
Recentemente a ANPD, Autoridade Nacional de Proteção de Dados, publicou um checklist elencando as medidas de segurança da informação para direcionar agentes de pequeno porte, em geral.
Em razão do seu papel orientativo, o checklist tem o objetivo de subsidiar as medidas de adequação dos agentes de pequeno porte, oferecendo parâmetros para implementação da nova legislação.
Conforme conceito definido pela própria Autoridade, a segurança da informação é o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação.
Esse conjunto de ações impacta todo o ambiente institucional das empresas, com objetivo de prevenir, detectar e combater as ameaças digitais.
Aqui, não diferente do exposto acima em relação a adequação à LGPD, as medidas administrativas e técnicas são igualmente adaptadas à realidade dos agentes de pequeno porte, e não necessitam de grandes alterações para trazer segurança e efetividade no tratamento dos dados pessoais.
Abaixo segue o checklist que reúne as sugestões das 9 principais medidas de segurança que podem ser seguidas, segundo a ANPD:
1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
- Estabelecer uma política de segurança da informação simplificada, que estabeleça controles relacionados ao tratamento de dados pessoais, como cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico e uso de antivírus.
- Realizar revisões periódicas da política de segurança da informação.
- Gerenciar contratos e aquisições com observância ao tratamento adequado dos dados pessoais.
2. CONSCIENTIZAÇÃO E TREINAMENTO
- Realizar a conscientização dos funcionários, via treinamentos e campanhas sobre as suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais conforme disposto na LGPD e normas da ANPD.
- Informar e sensibilizar todos os funcionários da organização, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, sobre as obrigações legais existentes na LGPD e em normas e orientações editadas pela ANPD.
- Informar os funcionários sobre:
- Criar um ambiente organizacional que incentive usuários de sistemas da empresa, tanto clientes quanto funcionários, a informar incidentes e vulnerabilidades detectadas.
3. GERENCIAMENTO DE CONTRATOS
- Estabelecer contratos com cláusulas de segurança da informação que assegurem a proteção de dados pessoais, tais como:
- Assinar termos de confidencialidade (non-disclosure agreement - NDA) com os funcionários da empresa.
4. CONTROLE DE ACESSO
- Implementar um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais.
- Configurar funcionalidades no sistema de controle de acesso que possam detectar e não permitir o uso de senhas que não respeitem um certo nível de complexidade.
- Implementar um adequado gerenciamento de senhas, estabelecendo controles tais como:
- Proibir o compartilhamento de contas ou de senhas entre funcionários.
- Aplicar o princípio do menor privilégio (need to know).
- Utilizar a autenticação multi-fator para acessar sistemas ou base de dados que contenham dados pessoais.
- Implementar um sistema de controle de acesso aplicável a todos os usuários que acessam o sistema de TI (caso o agente de tratamento possua rede interna de computadores).
5. SEGURANÇA DOS DADOS PESSOAIS ARMAZENADOS
- Coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida, minimizando a coleta de dados.
- Implementar soluções de pseudonimização, como a criptografia, para cifrar dados pessoais.
- Orientar os funcionários para não desativar ou ignorar as configurações de segurança de estações de trabalho.
- Evitar a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, como pendrives e discos rígidos externos.
- Inventariar e cifrar dados de dispositivos externos e armazená-los em locais seguros.
- Realizar backups offline, periódicos e armazená-los de forma segura.
- Formatar e sobrescrever mídias físicas que contenham dados pessoais antes de descartá-las, ou, quando não for possível a sobrescrita, destruir as mídias físicas.
- Estabelecer no contrato de serviço o registro da destruição/descarte (caso o agente de tratamento utilize serviços de terceiros para o descarte).
6. SEGURANÇA DAS COMUNICAÇÕES
- Utilizar conexões cifradas (TLS/HTTPS) ou aplicativos com criptografia fim- a- fim para serviços de comunicação.
- Instalar e manter um sistema de firewall e/ou utilizar um Web Application Firewall (WAF – Filtro de Aplicação).
- Proteger e-mails via adoção de ferramentas AntiSpam, filtros de e-mail e, integrar o antivírus ao sistema de e-mail.
- Remover quaisquer dados sensíveis e outros dados pessoais que estejam desnecessariamente disponibilizados em redes públicas.
7. GERENCIAMENTO DE VULNERABILIDADES
- Atualizar periodicamente todos os sistemas e aplicativos utilizados, mantendo-os em sua versão atualizada (instalar patches de segurança disponibilizados pelos fornecedores).
- Adotar e atualizar periodicamente softwares antivírus e antimalwares. Realizar varreduras antivírus periódicas nos dispositivos e sistemas utilizados.
8. DISPOSITIVOS MÓVEIS
- Utilizar técnicas de autenticação multi-fator para controle de acesso de dispositivos móveis – como smartphones e laptops.
- Implementar funcionalidades que permitam apagar remotamente os dados pessoais armazenados em dispositivos móveis
9. SERVIÇOS EM NUVEM
- Realizar um contrato de acordo de nível de serviço com o provedor de serviços em nuvem, contemplando a segurança dos dados armazenados.
- Avaliar se o serviço oferecido pelo provedor do serviço em nuvem atende os demais requisitos de segurança da informação estabelecidos.
- Analisar os requisitos para o acesso do usuário a cada serviço em nuvem utilizado.
- Utilizar técnicas de autenticação multi-fator para acesso aos serviços em nuvem relacionados a dados pessoais.
Portanto, recapitulando tudo que listamos acima, em síntese, os 3 pontos de maior atenção às Clínicas de Pequeno Porte são:
1. Atenção aos dados pessoais sensíveis (àqueles relacionados à saúde do paciente). Tenha cautela na forma como esses dados transitam pela clínica e, principalmente, implemente políticas internas que definam diretrizes e fluxos claros para serem seguidos.
2. Atenção à forma de coleta e armazenamento dos dados pessoais. Sabemos que o setor da saúde é altamente regulado, portanto, já existem normativas estabelecendo que somente os profissionais da saúde diretamente vinculados ao paciente podem ter acesso ao seu prontuário.
Além disso, o espaço físico das salas de recepção e consulta também merecem atenção. Se atente às informações e a categoria de dados que são solicitados aos pacientes. Se questione se essas informações podem ser respondidas na presença de terceiros, sejam outros pacientes ou profissionais.
Essa é uma questão relevante para ser observada, inclusive, nas teleconsultas. Realizar o atendimento do paciente em local apropriado, que mantenha o sigilo, a privacidade e a proteção dos seus dados é essencial.
3. Atenção aos documentos físicos. Prontuários, fichas médicas e demais documentos devem ter fluxos muito bem estabelecidos para não serem extraviados ou danificados. Além disso, o local onde serão armazenados deve ser seguro e ter medidas efetivas a protegê-los.
Apontados os três pontos que, na nossa opinião, são os de maior relevância na adequação de clínicas de pequeno porte, é possível perceber que a LGPD não é nenhum bicho de 7 cabeças e, além de ser necessária, é viável a sua implementação em qualquer porte de empresa.
4. Bônus com o checklist de medidas de Segurança da Informação, que foi elaborado pela própria ANPD. O documento pode ser baixado clicando aqui.
Por fim, evidencia-se que as medidas organizacionais para instituições de menor porte podem representar a maior parte do seu projeto de adequação à LGPD, incluindo medidas de Segurança da Informação.
Orientações práticas, fluxos bem definidos e profissionais treinados e conscientizados são a chave da sua conformidade com a Lei Geral de Proteção de Dados.
Caso queira se aprofundar nos novos preceitos trazidos pela legislação, aqui eu contei TUDO O QUE VOCÊ PRECISA SABER SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS, destrinchando os termos com exemplificações práticas.
1.Lei Geral de Proteção de Dados/LGPD - Lei nº 13.709/18
2.Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
3.Art.5º, inciso II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
