A Lei Geral de Proteção de Dados já está impactando empresas de diversas áreas, mas como já levantado em artigo anterior, a saúde sem dúvidas é um setor que precisará repensar seus modelos de negócios tendo em vista o tratamento ainda mais criterioso trazido pela lei com relação a dados sensíveis, que englobam dados de saúde, e a utilização de IA e Big Data para a otimização dos serviços de saúde.
Nesse sentido, para prevenir o uso indevido de dados a Lei traz a necessidade de definição prévia, pelo Hospital ou clínica médica, das finalidades para as quais o dado que está sendo coletado será utilizado, assim, deixa-se a ideia de maximização da coleta para caminhar para a minimização, coletando somente dados estritamente necessários para finalidade pretendida.
Além da minimização, temos os princípios da informação e transparência que permeiam a lei e buscam fortalecer o elo de confiança desta relação. Dessa forma, o paciente tem o direito de saber por meio de informações claras, precisas e facilmente acessíveis detalhes sobre a utilização dos seus dados, inclusive com relação ao compartilhamento com terceiros.
De agora em diante, os titulares relacionados ao Hospital possuem direitos que devem ser atendidos, são eles:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários;
V – portabilidade dos dados para outro fornecedor;
VI – eliminação dos dados pessoais tratados com o consentimento do titular;
VII – informação a respeito do compartilhamento;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento.
A partir desses novos direitos trazidos pela Lei, surge a necessidade de desenvolver mecanismos organizacionais e ferramentas capazes de viabilizar o seu exercício.
Mas o que muda na prática? O que os hospitais e profissionais da área da saúde devem fazer?
Dentre as medidas que fundamentam um processo de adequação e, portanto, os primeiros impactos da lei no dia a dia dessas organizações, elencamos:
- Mapeamento do fluxo dos dados e o risco relacionado a eles, nesse momento será possível entender o ciclo de vida dos dados desde a coleta até a sua eliminação;
- Abertura de um canal de comunicação, bem como desenvolver ferramentas para viabilizar o atendimento dos direitos dos titulares, lembrando que titular é qualquer pessoa física, ou seja, pacientes, colaboradores, fornecedores, parceiros comerciais e terceiros;
- Indicação do Encarregado (ou DPO), já que passa a ser obrigatória a nomeação de responsável por atender as requisições dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD);
- Gestão do consentimento00, ou seja, as autorizações que foram dadas pelos titulares devem estar inseridas em um processo de gestão e controle;
- Gestão de Terceiros, em que as empresas deverão se atentar às suas relações com todos os fornecedores com quem compartilham dados pessoais, já que a responsabilidade em caso de incidente de segurança será compartilhada.
Em resumo, todos os processos que tratam dados do paciente, ou seja, desde a coleta para agendamento de consultas, dados laboratoriais, resultados de exames e prontuários eletrônicos presentes em diversos setores dentro do hospital devem ser adequados. O core business dos negócios envolvendo a área da saúde estão permeados por dados pessoais, desde a simples coleta para agendamento até tratamentos complexos e estratégicos envolvendo inteligência artificial serão diretamente impactados.
A virada de chave de custo para oportunidade é o grande divisor de águas para a possibilidade de aproveitar os benefícios da mudança de cultura que virá nos próximos anos com relação à proteção de dados, e assim se preparar e se adiantar para colher os melhores frutos de uma adequação bem feita, que permitirá a perpetuação e capilarização de negócios com base na confiança e respeito à privacidade dos seus pacientes.