Por: Mauro Mallet
Resumo
Saiba como implementar a LGPD em clínicas e hospitais seguindo um passo a passo detalhado para garantir a conformidade com a legislação e proteger os dados dos pacientes.
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020. Ela trouxe uma série de mudanças na forma como as empresas e organizações devem lidar com os dados pessoais de seus clientes e usuários. Para clínicas e hospitais, a implementação da LGPD pode ser um desafio, já que lidam com informações sensíveis e confidenciais de seus pacientes. Neste guia prático, apresentaremos um passo a passo detalhado de como implementar a LGPD em clínicas e hospitais, garantindo a conformidade com a legislação e a proteção dos dados dos pacientes.
Conheça a LGPD
O primeiro passo para implementar a LGPD em clínicas e hospitais é conhecer a lei e entender seus principais conceitos e termos. A LGPD estabelece que os dados pessoais são informações relacionadas a uma pessoa natural identificada ou identificável, como nome, endereço, e-mail, telefone, RG, CPF, entre outros. Além disso, a lei define o tratamento de dados como qualquer operação realizada com os dados pessoais, como coleta, armazenamento, uso, compartilhamento, entre outros.
Identifique os dados pessoais tratados pela clínica ou hospital
O segundo passo é identificar os dados pessoais tratados pela clínica ou hospital, conforme estabelecido no artigo 9º da LGPD. Mapeie todos os dados pessoais coletados, armazenados, usados, compartilhados ou transferidos pela instituição. Isso inclui informações dos pacientes, como nome, endereço, telefone, e-mail, data de nascimento, CPF, RG, histórico médico, diagnósticos, exames, entre outros.
Verifique a necessidade de consentimento
O terceiro passo é verificar a necessidade de consentimento dos pacientes para o tratamento dos dados pessoais, conforme estabelecido nos artigos 7º e 8º da LGPD. A lei estabelece que o tratamento de dados pessoais só pode ser realizado com o consentimento do titular dos dados ou por outra base legal prevista em lei. No caso das clínicas e hospitais, o consentimento pode ser obtido por meio de termos de consentimento informado assinados pelos pacientes ou por outra base legal, como o cumprimento de obrigação legal ou a execução de contrato.
Implemente medidas de segurança da informação
O quarto passo é implementar medidas de segurança da informação para proteger os dados pessoais dos pacientes, conforme estabelecido nos artigos 46º e 47º da LGPD. As clínicas e hospitais devem adotar medidas técnicas e organizacionais para garantir a segurança dos dados, como o uso de senhas seguras, a criptografia dos dados, a implementação de políticas de acesso e controle de usuários, entre outras medidas.
Nomeie um encarregado pelo tratamento de dados pessoais
O quinto passo é nomear um encarregado pelo tratamento de dados pessoais, também conhecido como Data Protection Officer (DPO), conforme os artigos 37º, 41º e 42º. O DPO é responsável por garantir a conformidade da instituição com a LGPD, receber e tratar as demandas dos titulares dos dados, monitorar o cumprimento da lei, entre outras atribuições.
Prepare um plano de contingência
O sexto passo é preparar um plano de contingência para lidar com possíveis incidentes de segurança da informação que possam comprometer os dados pessoais dos pacientes, conforme estabelecido no artigo 48º da LGPD. Esse plano deve incluir medidas para minimizar os danos causados pelo incidente, identificar a causa do incidente, comunicar os titulares dos dados afetados e tomar medidas para evitar que o incidente ocorra novamente.
Estabeleça políticas de privacidade e proteção de dados
O sétimo passo é estabelecer políticas de privacidade e proteção de dados que orientem a conduta dos funcionários da clínica ou hospital em relação aos dados pessoais dos pacientes, conforme estabelecido nos artigos 50º, 52º e 53º da LGPD. Essas políticas devem estabelecer regras claras sobre como os dados pessoais devem ser coletados, armazenados, usados, compartilhados e transferidos, além de orientar os funcionários sobre a importância da proteção da privacidade e dos dados pessoais dos pacientes.
Realize treinamentos com os funcionários
O oitavo passo é realizar treinamentos com os funcionários da clínica ou hospital para conscientizá-los sobre a importância da proteção da privacidade e dos dados pessoais dos pacientes e orientá-los sobre as políticas de privacidade e proteção de dados estabelecidas pela instituição, conforme estabelecido no artigo 49º da LGPD. A entidade responsável pelo tratamento de dados pessoais deve adotar medidas de conscientização e treinamento dos funcionários envolvidos no tratamento de dados pessoais, conforme previsto neste artigo. Os treinamentos devem ser realizados periodicamente e incluir informações atualizadas sobre as práticas de segurança da informação adotadas pela clínica ou hospital, conforme previsto no parágrafo único do artigo 46º da LGPD.
Verifique a conformidade dos fornecedores
O nono passo é verificar a conformidade dos fornecedores da clínica ou hospital com a LGPD, conforme estabelecido no artigo 46º. É importante avaliar se os fornecedores estão em conformidade com a lei e se estão adotando as medidas de segurança da informação necessárias para proteger os dados pessoais dos pacientes. Se um fornecedor não estiver em conformidade com a LGPD, a clínica ou hospital deve buscar alternativas para garantir a proteção dos dados pessoais dos pacientes.
Estabeleça um canal de comunicação com os titulares dos dados
O décimo passo é estabelecer um canal de comunicação com os titulares dos dados para atender às demandas relacionadas ao tratamento de seus dados pessoais, conforme estabelecido nos artigos 18º e 45º. A LGPD estabelece que os titulares dos dados têm o direito de acessar seus dados pessoais, corrigir dados incompletos, inexatos ou desatualizados, revogar o consentimento, entre outros direitos. A clínica ou hospital deve garantir que esses direitos sejam respeitados e estabelecer um canal de comunicação para atender às demandas dos titulares dos dados.
Conclusão
A implementação da Lei Geral de Proteção de Dados em clínicas e hospitais é essencial para garantir a privacidade e segurança dos dados pessoais dos pacientes. Seguindo os passos descritos neste guia prático, é possível implementar a LGPD de maneira eficiente e garantir a conformidade com a legislação. Além disso, é importante lembrar que a LGPD não é apenas uma obrigação legal, mas também uma oportunidade para fortalecer a confiança dos pacientes na clínica ou hospital e garantir a proteção de seus dados pessoais. Com medidas de segurança adequadas e uma política clara de privacidade e proteção de dados, as clínicas e hospitais podem proteger a privacidade e a confidencialidade das informações pessoais de seus pacientes.