LGPD: Qual o impacto para profissionais da Fisioterapia?

Após um longo período de adaptações, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor no dia 1 de agosto de 2021. Porém, muitas empresas e corporações permanecem com dúvidas para entender e manter o tratamento dos dados dos clientes em conformidade com a Lei 13.709/2018.

Na área da saúde já existem regulamentações acerca dos dados sensíveis e sigilosos dos pacientes, mas ainda é preciso se atentar sobre o tratamento realizado com os dados pessoais dos pacientes. Ou seja, esclarecer ao titular as ações que sua clínica ou consultório terão com a coleta das informações e, a partir disso, obter o consentimento formal e armazenar em local seguro.

Neste artigo vamos explicar tudo sobre a LGPD, como se manter adequado perante à Lei e quais pontos você deve ficar atento no momento de optar por um serviço especializado e que faça o tratamento dos dados de seus pacientes, como no caso de sistemas de gestão. Continue acompanhando a leitura.

LGPD: O que é e qual é o objetivo principal?

Inspirada pelo GDPR (Regulamento Geral sobre a Proteção de Dados), que determina as regras do uso de dados para cidadãos europeus, a LGPD foi sancionada em agosto de 2018. A Lei assegura a privacidade e proteção de dados dos usuários em qualquer meio, garantindo os direitos do titular e a responsabilidade por parte de quem atua no tratamento dos dados.

A LGPD tem como principal objetivo evitar o uso indevido de dados pessoais e a utilização abusiva por parte das empresas, como define o site da LGPD Brasil. Dessa maneira, regulamenta o uso, administração, armazenamento e demais procedimentos que envolvam o manuseio dos dados de clientes, pacientes e colaboradores no ambiente on-line e offline.

Conforme a Lei Geral de Proteção de Dados Pessoais, as regras se aplicam a:

• Operação de tratamento realizada em território nacional;
• Atividade que tenha por objetivo a oferta ou fornecimento de bens ou serviços, ou o tratamento de indivíduos localizados no território nacional;
• Tratamento de dados pessoais que tenham sido coletados em território nacional.

Quais dados são coletados?

A área da saúde deve ter atenção redobrada às regras e adequações à LGPD, uma vez que a Lei regulamenta o uso de Dados Pessoais e Dados Pessoais Sensíveis. As determinações agem diretamente no processo de coleta e armazenamento de dados sensíveis em prontuários, eletrônicos ou não, e ao compartilhamento de informações com outros profissionais ou instituições. Neste caso, as informações de caráter pessoal e privado, ou seja, Dados Pessoais Sensíveis, se referem a origem racial ou étnica, convicção religiosa, opinião política, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, entre outros.

Isso não significa que eles não possam ser coletados, mas devem ser de forma regulamentada e controlada perante a Lei 13.709.

Tanto os Dados Pessoais, como os Dados Pessoais Sensíveis que serão coletados, devem ser expostos de forma clara e transparente, para o entendimento total das informações pelo usuário. Assim, é preciso utilizar um documento que contenha todas as informações, nomeando os dados que serão tratados, os direitos do titular, deveres por parte do controlador e os procedimentos realizados em casos de vazamento de informações.

Por isso, nos próximos tópicos abordamos o passo a passo do processo necessário para obter o consentimento de clientes, pacientes e colaboradores para o tratamento dos dados.

Entendendo as definições semânticas

Antes de falarmos sobre os direitos e deveres de cada parte, é preciso entender quais e como se definem os agentes atribuídos à Lei. Existem quatro agentes definidos, sendo titular, controlador, operador e encarregado.

Vamos às definições de cada agente:

• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem decisões referentes ao tratamento de dados pessoais;
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
• Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Em resumo, os agentes responsáveis pelo tratamento são o controlador e o operador, sendo o titular o usuário que é portador de todos os dados. A Lei define ainda a função de um encarregado para atuar no controle do cumprimento da LGPD e como canal de comunicação com a ANPD, em casos de vazamento de dados.

Como coletar os dados conforme a LGPD?

Além de esclarecer os dados que serão coletados do titular, como controlador e operador, é preciso estar ciente das responsabilidades definidas em Lei para realizar a prática do tratamento de dados. Com a LGPD, o registro de qualquer informação de pacientes, clientes e colaboradores passa a ser documentada via Termo de Consentimento.

O Termo de Consentimento para Tratamento de Dados Pessoais é um documento que deve expressar todos os dados do titular que serão coletados, esclarecer os direitos do mesmo e os deveres como controlador e operador. A Lei também reitera a possibilidade de exclusão dos dados a qualquer momento, à pedido do titular, sob solicitação formal e que possa ser documentada.

Como isso impacta os profissionais da Fisioterapia e outras áreas da saúde?

Na área da saúde, antes do cadastro de pacientes e colaboradores será preciso solicitar a assinatura do Termo de Consentimento para Tratamento de Dados Pessoais por parte do titular dos dados. Em seguida, o termo deve ser armazenado de forma segura, por exemplo, em meio digital no arquivo do prontuário eletrônico de pacientes, ou em pastas físicas de documentações, prática que é menos segura e recomendada.

Dessa forma a clínica ou consultório de Fisioterapia deixa clara a existência do tratamento e acesso aos dados. Sendo o tratamento definido pela Lei 13.709 como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

As clínicas devem se adequar conforme a Lei para a correção de dados incompletos e o devido consentimento dos titulares, a eliminação de dados desnecessários ou excessivos e informar quais dados são compartilhados e, neste caso, para quais instituições ou entidades. Além disso, é preciso estar preparado em casos de não consentimento pelo titular e da revogação do consentimento, ambas possibilidades previstas em Lei e sob direito do titular.

Os Dados Pessoais e Dados Pessoais Sensíveis a serem coletados precisam estar explícitos pelo controlador para ser compreendido em sua totalidade pelo titular. A clínica precisa estar atenta para não exercer a coleta excessiva e desnecessária de dados e informar a forma de uso de cada um deles.

Como, por exemplo, informar ao paciente a importância do número de telefone para que a clínica possa enviar lembretes via SMS para lembrar dos atendimentos ou o e-mail para envio de lembretes, mensagens em datas comemorativas e campanhas de e-mail comunicando os produtos e serviços da clínica.

Em seu art. 7º a Lei aborda o tratamento de dados como cumprimento de obrigação legal ou regulatória em casos de tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias. Isso não exclui o cumprimento das demais obrigações para tratamento dos dados, mas serve como justificativa ao conversar com o titular dos dados para o consentimento. Além, é claro, de dar subsídio para a coleta de dados pessoais para fins profissionais de atendimento e tratamento, como acontece na área da saúde.

Sobre o Termo de Consentimento para Tratamento de Dados Pessoais

O Termo de Consentimento pode ser um documento redigido pela própria clínica. Neste caso, fique atento para definir um responsável pela LGPD que ficará encarregado de manter a empresa em conformidade com a Lei, planejar as ações que serão feitas e se comunicar com a ANPD, como falamos anteriormente.

Outra possibilidade é baixar modelos prontos da internet e adaptar a forma que será utilizada pela sua clínica. Lembre-se de editar os dados que serão utilizados e os fins de utilização. A ZenFisio disponibiliza um modelo gratuito que foi redigido para uso em clínicas e consultórios de Fisioterapia. O documento é editável, basta você baixar o material e adaptar conforme desejar. Clique na imagem abaixo para acessar a página e fazer o download agora:

O Termo de Consentimento deve iniciar esclarecendo o objetivo da assinatura e consentimento do titular, assim como, a devida identificação com nome completo, número da Carteira de Identidade e número do Cadastro de Pessoas Físicas (CPF).

Em seguida, esclareça e identifique sua clínica como o controlador dos dados, responsável pelo uso e tratamento dos mesmos. Neste tópico, adicione as informações relativas à pessoa jurídica. Os itens a seguir demonstram os demais esclarecimentos que devem ser abordados no Termo de Consentimento para Tratamento de Dados Pessoais.

• Definição dos dados que serão utilizados;
• Finalidade do tratamento dos dados;
• Compartilhamento dos dados, se houver;
• Responsabilidade pela segurança dos dados por parte do controlador;
• Término do tratamento dos dados;
• Direitos do titular;
• Direitos de revogação do consentimento.

Muitas das informações inseridas no termo variam com a rotina de atividades de cada clínica ou consultório, por isso é importante ter atenção e preencher todos os itens conforme o trabalho que o seu negócio se propõe.

Por fim, e mais importante, o documento deve apresentar um campo com local, data e assinatura do titular dos dados. A partir da assinatura do Termo de Consentimento certifique-se de manter o documento em local seguro.

Como falamos antes, uma prática que pode evitar a perda das informações, é anexar uma cópia do documento no prontuário eletrônico em sistemas de gestão. Além de seguro, isso permite ter o documento reunido junto ao cadastro completo do paciente ou colaborador. Abordaremos sobre as boas práticas para a segurança da informação a seguir.

Fiscalização, incidentes e multas

A Lei 13.709/2018 define em seu art. 52 as sanções administrativas que podem ser aplicadas pela autoridade nacional, se verificadas infrações perante a LGPD. Neste caso, o órgão responsável se refere à Autoridade Nacional de Proteção de Dados (ANPD).

A ANPD é o canal entre o cumprimento da lei e os responsáveis pela LGPD nas empresas, como mencionamos anteriormente. Essa autoridade nacional deve ser avisada prontamente pelos responsáveis das empresas em casos de:

• Ataques cibernéticos;
• Acesso de pessoal não autorizado;
• Situações acidentais ou ilícitas de destruição;
• Perda;
• Alteração;
• Comunicação ou qualquer ato de tratamento inadequado, ou ilícito.

Ao descumprir a Lei 13.709/2018, sendo uma infração devidamente comprovada, a clínica ou consultório poderá levar advertências com prazos para adoção de medidas corretivas, multa simples de até 2% sobre o faturamento bruto total, com o valor máximo definido de R$ 50 milhões e multa diária, respeitando o limite total referido na multa simples.

Sistemas de gestão: Os dados ficam seguros e em conformidade com a LGPD?

Cada vez mais sentimos a necessidade de armazenar nossos dados pessoais e com os quais trabalhamos, em um local seguro no meio digital. Muitos se perguntam sobre a real proteção que sistemas automatizados e de armazenamento detém, pelo fato de vermos muitos ataques cibernéticos acontecendo.

Mas o fato é que armazenar dados importantes de forma convencional, como fazíamos há muito tempo, já não pode mais ser considerado. Estamos sujeitos a roubos e incidentes de qualquer natureza ao manter documentos em arquivos. Isso sem citarmos a falta de praticidade, o tempo gasto e o trabalho gerado ao fazer tarefas manuais.

Por isso, considerar a utilização de um sistema de gestão é muito importante. Os serviços mantêm as informações em nuvem, ou seja, no meio digital, o que proporciona um acesso facilitado e segurança aos dados. Existem alguns pontos que fazem dos sistemas de gestão a melhor forma de armazenamento dos dados tratados conforme a LGPD.

Veja quais são eles:

• Armazenamento em nuvem;
• Facilidade no acesso;
• Backup;
• Criptografia;
• Servidor seguro;
• Estar em conformidade com a LGPD.

Continue acompanhando para entender a importância de cada um dos tópicos acima e como eles auxiliam na proteção e segurança das informações dos dados de seus pacientes, clientes e colaboradores.

1) Armazenamento em nuvem

Como falamos antes, o armazenamento em nuvem é o principal meio para evitar que em casos de invasões e acidentes em seu consultório ou clínica, os dados dos titulares sejam infringidos. O armazenamento em nuvem nada mais é do que o armazenamento na internet por um provedor.

Além de maior segurança, ter o armazenamento em nuvem evita que você invista em uma grande estrutura física para a proteção dos dados, ou seja, gastos com sala, equipamentos de computação, energia elétrica, entre outros.

O armazenamento em nuvem é um recurso tecnológico disseminado entre a população em diversos serviços, não apenas em sistemas de gestão. Por exemplo, plataformas de vídeos e músicas também utilizam esse recurso, o que só enfatiza a vantagem e segurança de se adaptar a essas novas tecnologias.

É por isso que o ZenFisio é um sistema em nuvem. Além de termos a garantia de segurança e proteção, também podemos disponibilizar essas mesmas vantagens aos nossos clientes. O armazenamento em nuvem utilizado pelo Sistema ZenFisio abre caminhos para outros benefícios, continue acompanhando.

2) Acesso facilitado e seguro

Sistemas de gestão com armazenamento em nuvem possuem a vantagem do acesso facilitado, em mais de um dispositivo e por mais de uma pessoa, de forma simultânea. Neste caso, o usuário precisa estar conectado a uma rede de internet e acessar as informações de onde quiser.

Sistemas como o ZenFisio também garantem a definição, por parte dos administradores das contas, aos acessos que cada usuário que a equipe pode ter. Ou seja, cada função pode ter especificações que permitem ou limitam a verificação de informações, o que garante um melhor controle dos dados pessoais e dados pessoais sensíveis de clientes, pacientes e colaboradores, conforme a LGPD exige.

3) Backups constantes

O backup nada mais é do que uma cópia. Ou seja, sistemas que realizam backups ou cópias de todas as suas informações, garantem que nenhum arquivo seja perdido e que permaneça armazenado de maneira segura.

O ZenFisio gera backups diários de todos os dados do sistema. Além disso, também disponibiliza o recurso para que os próprios usuários possam fazer a cópia de informações referentes aos contatos, usuários, movimentos financeiros, evoluções, avaliações e agendamentos armazenados no sistema.

Realizar backups deve ser uma prática constante! Isso serve para as informações do trabalho e também pessoais, assim evitamos que informações sejam perdidas e mantemos tudo atualizado.

4) Criptografia

A criptografia é uma comunicação de dados segura. Sites, aplicativos e serviços que utilizam a criptografia evitam, por meio do uso de protocolos seguros, que as informações dos clientes enviadas aos sistemas, sejam interceptadas e infringidas.

Existem algumas maneiras de verificar se um site ou um sistema em nuvem, como o ZenFisio, é seguro. Uma delas é verificando o endereço, ou seja, sites que utilizam o protocolo HTTPS são criptografados por uma chave de segurança. Outro jeito é identificando o símbolo de cadeado no endereço do site.

O ZenFisio possui uma navegação segura e criptografada, utilizando o protocolo de HTTPS. Isso garante a segurança e proteção dos dados contra-ataques. Falaremos disso, no próximo tópico.

5) Servidores seguros

Uma infraestrutura protegida com políticas avançadas de segurança e proteção contra riscos e ataques, garante ao usuário a utilização dos serviços de forma despreocupada.

Atualmente, a Amazon Web Service (AWS) se configura como a maior e mais segura infraestrutura de servidores disponíveis. Além da segurança, a AWS garante aos usuários uma rápida navegação, o que otimiza o dia a dia de quem utiliza seus recursos.

Por esses motivos que o Sistema ZenFisio tem seus servidores alocados na AWS, que também é utilizada pela Nasa e Casa Branca.

6) Conformidade com a LGPD

Assim como clínicas e consultórios de Fisioterapia e outras áreas da saúde devem estar adequadas a Lei 13.709 que define as regras da LGPD, qualquer serviço que você contrate e que seja responsável por tratar seus dados, também devem estar. Por isso, fique muito atento!

Antes de adquirir um serviço pesquise sobre as conformidades com a LGPD e entenda bem as definições semânticas que falamos anteriormente.

O ZenFisio está em conformidade com a LGPD e, sendo uma entidade jurídica, age como um operador, como visto no texto redigido nos Termos de Uso. Ou seja, o cliente que contrata nossos serviços são os controladores de todos os dados do titular. Por isso, é importante ficar atento a essas definições para saber como você irá atuar e quais responsabilidades terá perante a LGPD.

Agora que você já sabe tudo sobre LGPD e como um sistema de gestão, além de proteger os dados de seus pacientes, também organiza a rotina de toda a sua equipe, conheça mais sobre o Sistema ZenFisio. Especializado na área da Fisioterapia, o ZenFisio é um sistema que facilita o dia a dia com diversos recursos de atendimento, prontuário eletrônico, armazenamento de arquivos, movimentos financeiros integrados e recursos de marketing para você realizar uma comunicação eficiente e atrair novos clientes.

O Sistema ZenFisio oferece um período para teste grátis por até 14 dias. Saiba mais sobre todos os recursos e benefícios acessando o site: www.zenfisio.com. Esperamos você, para lhe auxiliar no que for preciso!

---

Leia mais artigos que podem ser úteis para você:

• Segurança e proteção de dados para clínicas e profissionais de Fisioterapia
• Software na nuvem: gestão completa da sua clínica e mais segurança para suas informações