Quanto custa o vazamento de dados?
O segundo dia de LGPD na Prática aconteceu no último dia 14, com Luis Gustavo Kiatake – Presidente da Sociedade Brasileira de Informática em Saúde (SBIS) – discorrendo sobre a Lei e a Qualidade dos Sistemas na Saúde Suplementar. O evento foi muito rico em informação. Partindo disso, o SindHosp decidiu disponibilizar aqui as respostas para aquelas perguntas que, por conta do horário, não haviam sido respondidas durante a conversa:
Dúvida: Alguns convênios não aceitam documentos digitalizados, nestes casos, é necessário guardar os documentos físicos?
Gustavo Kiatake: É importante acertar essas questões na contratualização. Contudo, o TISS já definiu que mensagens assinadas digitalmente não podem ter o seu equivalente solicitado em papel.
Dúvida: O convênio pode exigir o prontuário do paciente?
Gustavo Kiatake: Se tiver como finalidade o faturamento, a operadora pode solicitar informações clínicas para avaliar a autorização ou o pagamento. Importante que a contratualização indique quais e em que situações serão solicitadas. Pedir outras informações clínicas não associadas a esse processo precisa da autorização do paciente. O prestador precisa justificar o compartilhamento de dados clínicos principalmente se para finalidades que não autorização e faturamento.
Dúvida: Qual termo de consentimento deve ser usado em clínicas?
Gustavo Kiatake: O CFM indicou que cada prestador e cada situação pode ter uma característica distinta que precise ser contemplada nesse termo.
Dúvida: Em qual categoria PEP se enquadra?
Gustavo Kiatake: Laboratórios.
Dúvida: E-mail é um comprovante válido pela LGPD?
Gustavo Kiatake: O e-mail é uma evidência considerada no processo judicial, e assim ajuda na comprovação de autoria, assim como biometria e outras tecnologias. Contudo, é necessário avaliar a força probante deste instrumento versus o contexto a que se apõe. Há situações que são exigidas assinaturas qualificadas, aquelas que são geradas com certificados ICP-Brasil, as quais possuem o mais alto grau de equivalência jurídica às assinaturas manuscritas. No caso em que isso não é possível de ser aplicado, como vejo na questão da coleta de consentimento de um paciente, devem ser utilizadas as melhores tecnologias disponíveis. E-mail, posse de celular, biometria, carimbo de tempo, certificação digital, protocolos, são opções na implementação de recursos de autoria, integridade e rastreabilidade.
Dúvida: Alguns exames solicitam informações como peso e altura do paciente, isso pode continuar sendo requerido?
Gustavo Kiatake: Se for justificável no processo clínico assistencial, sim. Importante que o paciente esteja ciente desse processo e sua finalidade.
Dúvida: O espelho da conta do paciente, enviado para as operadoras por meios físicos, pode ser reduzido ou depende também de contrato? Como endereço, data de nascimento, nome completo…
Gustavo Kiatake: Houve um trabalho na ANS justamente para reduzir o envio de dados àqueles efetivamente necessários. Se a mensagem TISS contiver aquela informação, ela pode ser enviada.
Dúvida: A operadora pode exigir cópia da descrição cirúrgica para autorizações de cirurgias?
Gustavo Kiatake: Se for para efeitos de autorização e pagamento sim.
Dúvida: Na guia SADT, podemos criar um processo para que paciente assine a guia digitalmente? É válido para o convênio?
Gustavo Kiatake: A forma de comprovação da presença do paciente pode ser discutida com as operadoras. Uma opção é a lista de presença em papel.
A LGPD na Prática continua e conta com você nessa jornada do conhecimento!
Inscreva-se para participar das próximas conversas com referências no assunto!
A discriminação na gestão de dados realmente existe?
Dúvida: O que é considerado discriminação na Gestão de Dados?
Marcelo Nogueira: Há um debate muito grande atualmente sobre se as decisões amparadas por algoritmos são realmente isentas. O modelo matemático é frio, mas as bases que são usadas para construí-los podem refletir padrões existentes de preconceito ou discriminação "embutidos" na amostra. Seria o caso de um score de crédito ter com uma variável importante – tecnicamente falando, dizemos que a variável discrimina – que exclua, por exemplo, um grupo de CEPS, ou pontue pessoas de um gênero melhor que do outro. Um exemplo menos abstrato onde se tente evitar isto é um processo de seleção de pessoas onde você só vai saber quem é o ganhador ao final do processo. Na outra ponta, seria uma pessoa nem ser chamada para o processo porque mora em uma região, pertence a uma etnia específica ou tem uma determinada religião.
Dúvida: As auditorias internas efetuam e utilizam as bases de dados para avaliar e testar as informações registradas, neste caso como fica a cobertura da LGPD?
Marcelo Nogueira: Eu entendo que as auditorias internas têm competência para acessar e avaliar os dados e processos da empresa. É uma função de compliance que trabalha justamente para garantir a segurança nos processos. O "contrato de trabalho" deve contemplar as salvaguardas de sigilo e privacidade inerentes à função. Este sempre foi o papel deste time, e estes cuidados sempre fizeram parte das atribuições desta função.
Dúvida: A LGPD permite o compartilhamento de dados de paciente com a empresa na qual ele trabalha?
Marcelo Nogueira: A questão principal aqui é: com que finalidade? Seria importante entender de quais dados estamos falando, se de dados pessoais ou de dados sensíveis. No caso de dados sensíveis, me parece mais natural que, se o paciente quiser, ou ele autoriza o compartilhamento ou ele mesmo o informa a empresa. No caso de dados pessoais, teríamos que analisar a finalidade.
A LGPD na Prática continua e conta com você nessa jornada do conhecimento!
Inscreva-se para participar das próximas conversas com referências no assunto!
Recursos Humanos e a LGPD: uma relação de investimento em pessoas
O terceiro dia da jornada LGPD na Prática reuniu profissionais da Gestão de Pessoas e outras áreas relacionadas à Saúde para um aprofundamento dinâmico sobre a normativa. O advogado Lucas Bonafé, do escritório Machado Nunes, discursou sobre as principais implicações da LGPD para a atuação do setor de Recursos Humanos.
Durante o diálogo com os serviços de Saúde, Bonafé reforçou a necessidade de aliar os sistemas de tecnologia aos processos internos, bem como, promover investimento nos colaboradores. Afinal, por trás dos sistemas, a equipe é a única capaz de aumentar e manter o nível de segurança nas organizações.
O advogado da Machado Nunes esclareceu ao vivo as principais dúvidas das organizações, trazendo temas como compliance interno e avaliação de riscos. Confira a seguir a resolução da pergunta respondida após a transmissão ao vivo!
Dúvida: Como deve ser o uso do WhatsApp na empresa?
Lucas Bonafé: O WhatsApp é a ferramenta de mensagens instantâneas mais adotadas pelos brasileiros, porém quando você utiliza para fins profissionais em aparelho particular, a instituição não poderá armazenar os registros necessários acerca da conversa.
Deste modo, encaminho algumas sugestões para diminuir os impactos:
1. Utilize o WhatsApp apenas para conversas pontuais ou informais;
2. Desligamentos: Caso um colaborador vá para novos desafios profissionais e ele esteja em um grupo de conversas, é papel do administrador retirá-lo do grupo;
3: Compartilhamento de documentos: Nunca compartilhe documentos fora dos canais oficiais de comunicação da instituição.
A LGPD na Prática continua e conta com você nessa jornada do conhecimento!
Inscreva-se para participar das próximas conversas com referências no assunto!
Em iniciativa inédita do SindHosp, LGPD na Prática discute estruturação nos serviços de Saúde
A estreia do grande evento digital LGPD na Prática engajou os serviços de saúde! Foi uma tarde produtiva, com troca de diálogo ministrada pelo advogado Lucas Magalhães, do escritório Machado Nunes.
Os participantes aproveitaram o primeiro módulo do evento para esclarecer as principais dúvidas sobre a implantação e estruturação da LGPD nas organizações. Confira a seguir a resolução das perguntas que foram respondidas após a transmissão ao vivo!
Dúvida: Hoje em dia o parente, acredito que até terceiro grau desde que comprove o grau de parentesco, pode solicitar cópia do prontuário do paciente falecido. Isso muda com a LGPD?
Lucas Magalhães: O prontuário do paciente somente pode ser fornecido mediante seu consentimento, independentemente do grau de parentesco, conforme determinado pela Res. 1.605/2000 do CFM. Este cenário se mantém com a LGPD.
Dúvida: Como arquivar o consentimento?
Lucas Magalhães: Não existe uma regra específica sobre isso, o importante é garantir a confidencialidade (acesso devidamente segregado para que somente aqueles autorizados). O nível de segurança vai depender da relevância da informação para a instituição. Tanto um armário com chave controlado pelo gestor do departamento, quanto uma base de dados criptografados são adequados, a depender do tipo de informação. A melhor pessoa para responder essa pergunta é seu gestor de segurança da informação, após uma análise de riscos corporativos e criação de uma política de gestão de acessos.
Dúvida: Como agir quando o paciente não assinar o termo de consentimento?
Lucas Magalhães: Se o paciente se encontra em um cenário “ou autoriza ou não presto o serviço”, provavelmente o consentimento não era a base legal mais adequada. Se a legislação ou regulamentação te obriga a fornecer consentimento, seria o caso de recusar a prestação do serviço mesmo.
Dúvida: Posso exigir que o funcionário da minha organização use um celular coorporativo e orientar que quando acabar o plantão deixe o celular dentro da instituição?
Lucas Magalhães: Este é um critério que a política de gestão de ativos de informação precisa decidir. Esse tipo de postura não é ilegal por si só. O importante é sempre entender como os equipamentos são utilizados, para que as novas regras não conflitam diretamente com a cultura já existente, mas se integrem.
Dúvida: O termo de consentimento deve ser em duas vias?
Lucas Magalhães: O importante é manter uma prova do consentimento (quando necessário, lembrando que agora ele é uma exceção). Se sua instituição quiser deixar uma via com o titular de dados, não vejo problema com isso. Necessário pela lei não é.
A LGPD na Prática continua e conta com você nessa jornada do conhecimento!
Inscreva-se para participar das próximas conversas com referências no assunto!