Esta matéria tem como objetivo fornecer informações para nossos usuários e parceiros, sobre a oferta de controles de gestão de informação, para que as Instituições de Saúde proporcionem o mínimo de exposição de dados aos usuários não autorizados, em conformidade com a nova legislação.
A LEI
A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), sancionada em agosto de 2018, regulamenta o funcionamento e operação das organizações, estabelecendo regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão elevado de proteção e penalidades significativas para o não cumprimento da legislação, protegendo os direitos fundamentais de liberdade, privacidade e a livre formação da personalidade de cada indivíduo.
A lei define como TRATAMENTO DE DADOS toda operação realizada com informações individuais, como as operações de coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, fornecimento e controle da informação.
Também classifica as informações em três categorias: os DADOS PESSOAIS, que são qualquer informação que permita a identificação, direta ou indiretamente, de um indivíduo, tais como nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço, retrato em fotografia, entre outras; os DADOS SENSÍVEIS, que são Dados Pessoais que revelem características específicas e detalhadas sobre um indivíduo, como origem étnica, convicções religiosas, questões genéticas, biométricas, vida sexual ou informações de saúde, como antecedentes ou históricos médicos; e os DADOS ANÔNIMOS, que são as informações que, individualmente, não permitam a identificação do seu titular.
Além disso, a legislação determina os agentes de tratamento que atuam no mundo da Privacidade e Segurança de Dados, que são os TITULARES, pessoa física ao qual os dados se referem; os COLETORES, que realizam a captação de dados para um fim específico; os CONTROLADORES, que são responsáveis pelo controle e armazenagem das informações, bem como as decisões e definições referentes ao acesso e ao tratamento dos dados; os OPERADORES, que realizam o tratamento de dados conforme normas e regras definidas pelo Controlador; os ENCARREGADOS, que realizam as tarefas de interface com o público; além da AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS.
A Coleta e Operação dos dados deverão atentar às regras determinadas pelo agente Controlador, bem como às bases legais impostas pela lei, que prevê algumas hipóteses que tornam lícitos os tratamentos de dados, com destaque a duas principais: fornecimento de CONSENTIMENTO, realizada de forma explícita pelo titular, e o LEGÍTIMO INTERESSE, que poderá promover o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
NOSSOS PRODUTOS
Com relação aos nossos sistemas, tanto o SIGS – Solução Integrada para Gestão em Saúde, quanto o SGH – Sistema de Gestão Hospitalar, são agentes COLETORES de informações, sendo que a ARMAZENAGEM, MANUTENÇÃO, DESTRUIÇÃO e FORNECIMENTO destas informações são de responsabilidade do agente CONTROLADOR, ou seja, o próprio CLIENTE, uma vez que ele é o único detentor do direito de permitir acesso às ferramentas do sistema, gerenciar o banco de dados, bem como receber solicitações e fornecer informações a terceiros, e deverá desenvolver um plano de ação, para revisar todos os processos, documentos e autorizações necessários para aderência a referida Lei.
Quanto às ofertas de recursos, no SIGS estamos trabalhando para aprimorar seus controles, garantindo a conformidade com a legislação, sendo que o desenvolvimento está focado em três frentes:
Acesso aos dados e processos : Permissão de atribuição de senhas e níveis de privilégio de acesso aos processos e informações, de forma individual ou por grupos de trabalho, atribuídos exclusivamente pelo CLIENTE, garantindo que apenas a pessoa que precisa do acesso aos dados tenha autorização de consultá-los, dentro de processos específicos, registrados e controlados, com segurança de acesso e trilhas de auditorias completas.
Acesso às informações dos pacientes : As informações pessoais, como endereço e telefone, e as informações sensíveis, tais como as particularidades e os dados de tratamento dos pacientes, tem seu acesso autorizado por atribuição de senhas e privilégios, sendo que o acesso ao prontuário do paciente é rastreado e registrado.
Protocolos de consentimento : Disponibilidade de processos configuráveis para emissão de termos de consentimento e permissão, bem como o controle de solicitação e fornecimento de informações a terceiros.
Sobre o SGH , ele possui recursos para controle de acesso por senhas individuais e histórico para última alteração, inclusão e último acesso de cada registro da base de dados, não necessitando de adequações pois está em conformidade com a referida Lei, uma vez que ele é apenas um agente COLETOR, cabendo ao agente CONTROLADOR, toda a administração do acesso às informações, como descrito anteriormente.
MELHORES PRÁTICAS
Internamente, nossos consultores deverão ter conhecimento dos temas pertinentes à LGPD e quais as melhores práticas diante de situações em que as informações necessitarem ser compartilhadas e quais ações poderão ser tomadas ao identificar uma não conformidade.
Sigilo : Por força de contrato, a HSist tem com seus CLIENTES o compromisso da CONFIABILIDADE, que determina que deverá ser mantido SIGILO sobre dados e informações obtidas em função dos serviços prestados. Da mesma forma, os colaboradores têm com a HSist o mesmo compromisso, seja pelo contrato de trabalho, seja por instrumento particular, não podendo divulgar ou mesmo comentar as informações e dados, parciais ou totais, obtidas através da execução de suas funções ou pelo contato com colaboradores do CLIENTE.
Acesso aos sistemas dos clientes : Todo o acesso aos Sistemas, Banco de Dados ou qualquer outra informação do CLIENTE, deverá ser realizado sob autorização e orientação do ENCARREGADO do CLIENTE, que deverá validar a senha e autorizar as rotinas que poderão ser acessadas. Os acessos deverão ocorrer apenas nas instâncias de HOMOLOGAÇÃO ou DESENVOLVIMENTO, ficando o acesso à instância de PRODUÇÃO restrito a situações especiais e autorizadas.
Obtenção e uso de Backups : A prática de solicitação e uso de backups dos CLIENTE deverá ser abandonada, devendo ser utilizada apenas em situações especiais, quando não houver condições de acesso às bases de HOMOLOGAÇÃO ou DESENVOLVIMENTO, devendo a base e os arquivos de backups serem descartados logo após a sua utilização.
Inconformidades : Todas as inconformidades identificadas, como publicações no painel com dados pessoais ou outras práticas não aderentes, deverão ser informadas ao ENCARREGADO do CLIENTE e orientado a revisão da ação ou mesmo a exclusão ou correção da publicação.
Consultas, esclarecimento de dúvidas e orientações: Entrar em contato com nossa equipe de suporte.
