O QUE FAZER PARA IMPLEMENTAR A LEI GERAL DE PROTEÇÃO DE DADOS E NÃO SER PUNIDO
Primeiramente, você, dentista, precisa entender o que é a Lei Geral de Proteção de Dados ou LGPD. A lei já existe desde 2018, é a Lei 13.709/18, porém, o início da validade dela ainda é incerto, podendo ocorrer ainda esse mês de AGOSTO/2020 ou no ano de 2021.
Mas, você que é dentista, tem uma clínica ou consultório odontológico precisa começar a implantar a lei desde já, pois ela exige uma série de procedimentos e cuidados que levam tempo para serem realizados.
O que é a lei geral de proteção de dados?
Você gostaria que seus dados fossem usados por outras pessoas de forma indevida? Provavelmente, não! E por isso a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) foi criada, com a intenção de ser a base de todo um sistema protetivo dos dados pessoais no Brasil.
Essa lei foi inspirada na Lei europeia General Data Protection Regulation (GDPR), possuindo muitas semelhanças, e levou o Brasil para figurar dentro do cenário internacional de proteção de dados.
A idéia básica da lei pode ser resumida da seguinte forma: os dados pessoais, como o próprio nome já diz, pertencem às pessoas e por essa razão não podem ser tratados por quem utiliza esses dados – pessoas físicas ou empresas – da forma que bem entendem.
Para utilização desses dados terão que buscar um fundamento. Esse fundamento poderá ser o consentimento do titular dos dados, ou ainda outras hipóteses previstas na lei para utilizar os dados sem a necessidade de consentimento.
É bom que você entenda que a intenção da lei não é impedir o uso de dados pessoais, mas sim, permitir que eles sejam usados de forma prudente e sem abusos.
A LGPD se aplica pra os dentistas, cirurgiões-dentistas, clínicas e consultórios odontológicos?
A lei não faz qualquer distinção e nem afasta a sua aplicação para pequenas e grandes empresas, ela se aplica, inclusive, para as pessoas que utilizam dados com uma finalidade econômica.
Enfim, se você é dentista, cirurgião dentista, possui uma clínica ou consultório odontológico, você com certeza precisa cumprir a lei, já que você utiliza dados de seus pacientes, e, por isso, faz tratamento de dados pessoais. Aliás, a própria Lei do Prontuário Eletrônico determinou que esse tipo de prontuário deverá respeitar a LGPD.
Desse modo, sempre que você for cadastrar um paciente, você deve esclarecer a ele quais as informações você vai coletar e a razão dessa coleta, bem como informar se vai compartilhar esse dado e com alguma outra empresa ou pessoa.
Caso seu paciente seja menor de idade, os dados dele somente poderão ser tratados com o consentimento de um de seus pais ou responsável legal.
Além disso, os titulares dos dados poderão a qualquer momento pedir para ter acesso aos dados coletados, bem como que eles sejam alterados ou até excluídos, e você deverá cumprir caso o único fundamento de sua manutenção seja o consentimento do seu paciente.
A LGPD se aplica pra os dentistas, cirurgiões-dentistas, clínicas e consultórios odontológicos, mesmo se eles não coletarem dados dos pacientes pela internet?
Sim, a LGPD se aplica pra os dentistas, cirurgiões-dentistas, clínicas e consultórios odontológicos, mesmo se eles não coletarem dados dos pacientes pela internet.
Isso porque a lei não trata apenas de dados digitais, mas de dados físicos também. Se você anota o nome e e-mail do seu paciente em uma ficha, você está fazendo tratamento de dados e, por isso, tem que se adaptar a lei.
Ressalte-se, ainda, que não se tratam apenas dos dados pessoais dos pacientes, se você tem funcionários, você também coleta os dados deles e esses dados também devem ser resguardados da forma que determina a lei.
Mas o que são dados pessoais?
O dado pessoal é qualquer informação relacionada a uma pessoa que a identifica ou a permite identificá-la. E aí podemos dar como exemplo o nome, RG, CPF.
É bom frisar que dados pessoais indiretos que permitam a identificação de uma pessoa também deverão seguir o procedimento da lei. Um exame dentário sem apresentar um nome a princípio não identifica uma pessoa, contudo, em certas circunstâncias pode permitir essa identificação, quando por exemplo, esse exame vem com um número de cadastro desse paciente, o que, portanto, configura o dado em pessoal.
Ocorre que alguns dados são tão importantes por fazerem parte de uma esfera central de informações pessoais e privacidade do ser humano que a lei conferiu um tratamento mais rigoroso, são os chamados “dados pessoais sensíveis”.
São sensíveis os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Como visto, você que é dentista muitas vezes tem acesso a dados sensíveis de seus pacientes, já que receitas e laudos com exames trazem informações que devem ter um grau de atenção ainda maior.
Mas por que os dados são tão importantes?
A evolução da tecnologia permitiu que por meio de análise de dados fosse possível a entrega de produtos e serviços cada vez mais assertivos e customizados o que gera uma vantagem competitiva em relação a quem não possui estas informações.
Quem possui dados tem informação. E quem tem informação sai na frente da concorrência, conseguindo identificar perfis de consumo, potencialidades de mercado e diversas outras possibilidades lucrativas.
Por isso, iniciou-se um negócio rentável de compartilhamento de dados que acabou por desconsiderar, muitas vezes, a própria privacidade dos cidadãos.
Por isso, os países começaram a identificar a necessidade de regular a utilização dos dados para evitar sua utilização indevida.
E o que pode ser considerado tratamento de dados?
É toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração.
Ou seja, é impossível que você dentista não tenha contato com os dados de seus pacientes. O prontuário clínico, a ficha com anamnese, os odontogramas inicial e final, a evolução clínica, considerações e prescrições, atestados, receitas e encaminhamentos, o Termo de Consentimento Esclarecido, todos esses são documentos que fazem parte do seu dia a dia e contém dados pessoais dos seus pacientes.
Quem pode acessar os dados de seus pacientes?
Ponto importante diz respeito ao acesso de dados dos pacientes.
Com a lei é necessário um controle maior sobre os colaboradores que acessam dados dos pacientes, sendo necessário que você limite o acesso apenas a quem tem uma justificativa para acessá-los.
Se você possui um arquivo com fichas, por exemplo, vale a pena você também limitar o acesso ao mesmo.
É bom que você entenda que a LGPD não trata apenas de necessidades jurídicas, mas você também deverá implementar práticas de segurança da informação, a começar por um antivírus e um firewall para impedir acessos indesejados aos dados armazenados.
Riscos de não cumprir a lei de proteção das informações pessoais e privacidade
O risco que mais chama atenção de quem não cumpre a lei é a possibilidade de receber multas pesadíssimas da Autoridade Nacional de Proteção de Dados (ANPD).
A lei prevê multa de até 2% do faturamento da empresa, no seu último exercício, limitado a R$ 50.000.000,00 (cinquenta milhões de reais) por cada infração cometida.
Contudo, esse pode não ser o risco mais importante. Há outros riscos mais evidentes como, por exemplo, a possibilidade de sofrer processos judiciais dos clientes da empresa. A imagem das empresas que não protegem devidamente as informações pessoais e privacidade de seus clientes será manchada e poderá impactar nos negócios.
A ocorrência de vazamento de dados obrigará a empresa a adotar uma atitude para conter o dano, o que pode significar um custo muito maior que a prevenção do mesmo. Enfim, os perigos para empresas que não cumprem a lei são diversos, achar que “a lei não vai pegar” é uma aposta fadada ao fracasso, já que a criação de leis protetivas de dados é uma tendência mundial em países democráticos e está cada vez mais sendo evidenciada.
Como vocês, dentista e consultórios, podem se adaptar e proteger as informações pessoais e privacidade dos seus clientes?
O primeiro passo para implantar a lei no seu consultório é buscar identificar quais são os dados pessoais que você está tratando, de pacientes, empregados e fornecedores. Faça uma lista de todos os dados que são coletados.
Após, você terá que definir o motivo que você coleta os dados, e verificar a necessidade de tempo que necessitará mantê-los armazenados, relembrando as normas que fixam prazos, por exemplo, para o arquivamento dos prontuários.
Após essa fase inicial, você precisará de um conhecimento técnico um pouco mais apurado para conseguir identificar se a coleta é necessária e qual fundamento da lei deve ser utilizado para justificá-lo.
Não pense que basta você pedir o consentimento para seus pacientes que estará resguardado, já que alguns dados são mantidos por outros fundamentos, como o prontuário que deve ser arquivado por exigência regulamentar.
É fundamental que você seja auxiliado por um profissional habilitado para lhe auxiliar, já que ele vai conseguir identificar quais são os riscos mais urgentes que você deve resolver imediatamente.
A partir de então será necessário revisar contratos, criar uma política de privacidade, termos de uso, criar procedimentos e ter um novo mapeamento de toda a jornada de tratamento de dados no consultório, seja de pacientes ou funcionários, de modo que cada tratamento de dado tenha por base um fundamento da lei e proteja as informações pessoais e privacidade de todos.
Um ponto é fundamental: a implementação destas normas são específicas para cada modelo de consultório e clínica. É impossível copiar o programa de uma outra pessoa ou empresa, ainda que seja no mesmo ramo, para adaptar para sua empresa.
Cada negócio tem suas próprias características e somente através de uma análise customizada será possível mitigar os riscos mais graves.
Caso sua empresa necessite tirar dúvidas acerca dessa nova lei, entre em contato conosco. Somos certificados em Proteção de dados e Segurança da Informação pela empresa holandesa EXIN – “Privacy & Data Protection Essential” e “Information Security Management Foundation” – e poderemos lhe ajudar nessa jornada.