Mais do que lidar com dados comuns, empresas de saúde trabalham muitas vezes com informações consideradas sensíveis pela Lei Geral de Proteção de Dados (LGPD). Pelas exigências legais mais corriqueiras e por especificidades desse mercado, a adequação à LGPD no consultório médico é imperativa, até para evitar pesadas sanções de órgãos públicos.
Junto às regras e à fiscalização, existe ainda o fato que cada vez mais os titulares dos dados estão cientes de seus direitos e das ações permitidas e vedadas para as empresas. Logo, qualquer erro pode gerar transtornos.
Portanto, veja os principais cuidados em questões gerais e específicas para atender à LGPD.
Limitação aos objetivos da coleta de dados
Sempre que informações são solicitadas a um paciente ou possível paciente, seja online ou presencialmente, ele tem de saber os objetivos da coleta, consentir com a finalidade do consultório e a empresa só pode usar os dados em ações para as quais obteve o consentimento.
Então, se a recepção pede os dados a um paciente para abertura de cadastro e prontuário médico, essas informações não podem ser usadas posteriormente para comunicações do marketing, a menos que essa finalidade seja informada na coleta e o titular dê o consentimento também para isso.
Em canais digitais, o pedido de consentimento é feito com formulários e botões. Já na coleta offline, aquela feita no atendimento presencial, pode-se pedir que o paciente assine um documento no qual autoriza o tratamento dos dados.
Coleta limitada ao mínimo necessário
Outro cuidado necessário para adequação à LGPD no consultório médico é solicitar e tratar apenas as informações essenciais aos objetivos informados aos pacientes.
Por exemplo, para abrir cadastro, enviar cobranças e nota fiscal e entrar em contato a respeito de horários de consultas e resultados de exames, a empresa não precisa do link do perfil do paciente na rede social, o que seria utilizado em publicidade. Essas comunicações podem ocorrer por telefone, WhatsApp e e-mail, tornando excessiva a coleta de outros meios de contato.
Tratamento de dados sensíveis
Essa categorização abrange informações como:
- orientação sexual;
- origem racial e étnica;
- dados de saúde;
- informações sobre a vida sexual;
- dados genéticos;
- biometria.
Na área da saúde, solicitar algumas dessas informações é necessidade frequente durante consultas e procedimentos. Porém, para coletá-las é preciso consentimento adicional e destacado do titular. Além disso, é vedado legalmente, mesmo com consentimento do paciente, o uso de qualquer dado sensível para objetivo não relacionado à promoção da saúde de quem está sendo atendido.
E sempre que um dado sensível não for fundamental para o atendimento médico, não deve ser pedido.
Revogação de consentimento e pedido de exclusão de dados
A qualquer momento, os titulares dos dados podem revogar a concordância manifestada anteriormente e solicitarem que a empresa exclua as informações da sua base. E quando acontece, a solicitação deve ser atendida imediatamente e sem pedido de esclarecimento.
A revogação e a solicitação de exclusão também podem ser parciais, mantidas as mesmas exigências de imediatismo e não interrogação de motivações.
Comunicação sobre mudanças no tratamento de dados
Qualquer alteração interna que afete coleta, filtragem, uso e demais ações de tratamento das informações deve ser informada aos titulares dos dados, para que concordem com os novos procedimentos aos quais seus dados serão submetidos.
Mesmo mudanças pequenas, como um parágrafo na política de privacidade do site, devem ser informadas a quem está na base de dados do negócio.
Controle interno de acesso
Atender à LGPD no consultório médico exige ajustes na infraestrutura de tecnologia, como para não permitir que qualquer profissional tenha acesso a toda a base armazenada.
Por exemplo, os dados sensíveis podem ser coletados apenas em situações específicas e devem ficar à disposição somente dos profissionais de saúde que precisam deles em consultas e para definição de procedimentos e medicações. Logo, funcionários do setor financeiro e da recepção não podem ter acesso a tais informações, pois seria uma violação à privacidade dos titulares.
Dados de menores de idade
Pacientes com 17 anos ou menos só podem ter informações tratadas mediante consentimento de um dos pais ou de responsável legal. No mais, todas as outras regras, tanto para dados comuns quanto sensíveis, se aplicam igualmente.
Existem duas exceções: percepção de que o menor de idade precisa de algum tipo de proteção e necessidade de contatar os pais ou responsáveis. Nesses casos, a coleta sem prévia autorização pode ser feita, mas as informações não podem ser armazenadas permanentemente, sendo usadas somente conforme a necessidade de contato ou proteção e depois descartadas.
Penalidades previstas
A empresa que cometer qualquer infração fica sujeita às seguintes penas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD):
- advertência: a ANPD emite uma advertência oficial indicando as infrações e solicitando medidas corretivas em prazo determinado;
- multa simples: a partir de 2% do faturamento do ano anterior;
- multa diária;
- publicização da ocorrência, o que afeta a reputação do negócio;
- bloqueio de dados envolvidos em ato vedado até efetivação das correções;
- eliminação das informações envolvidas na infração indicada;
- suspensão parcial do banco de dados por até seis meses, podendo o prazo ser prorrogado por mais seis meses;
- suspensão total ou parcial de coleta e tratamento de dados por seis meses, prorrogáveis por mais seis meses;
- proibição parcial ou total das atividades que envolvem dados coletados e tratados em desconformidade com a lei.
A providência tomada pela ANPD depende de fatores como grau de dano, recorrência, ações tomadas internamente para corrigir erros e evitar novas ocorrências e volume de informações envolvidas nas infrações.
O consultório pode ainda ter de responder judicialmente, ao mesmo tempo que é punido pela ANPD, se os titulares de dados que se sentirem lesados entrarem com processo, que pode culminar em sentença de pagamento de indenização.
A LGPD no seu consultório médico pode ser alcançada com as ações citadas ou precisa de outras medidas excepcionais? Tem alguma dica diferenciada para deixar? Comente abaixo.