Mês: janeiro 2019

Os 5 pilares da Lei do Prontuário Eletrônico

2018 foi um ano bastante intenso devido às questões de privacidade e proteção de dados (GDPR e LGPD). Talvez por isso, a publicação da Lei nº 13.787, conhecida como Lei do Prontuário Eletrônico, passou quase despercebida. Ela aconteceu em 28 de dezembro/2018 e a maioria das pessoas sequer ouviu falar no assunto.

Contudo, trata-se de uma das legislações mais importantes para o sistema de saúde no Brasil. Isso porque ela afeta, de forma direta, todos os cidadãos brasileiros.

Quer saber exatamente do que se trata a Lei do Prontuário Eletrônico e o que ela diz? Então leia o artigo até o final e tire todas as suas dúvidas!

O que exatamente é a Lei do Prontuário Eletrônico?

A Lei do Prontuário Eletrônico (Lei nº 13.787) é a legislação responsável por regular a digitalização e a utilização de sistemas informatizados de prontuário de paciente. Sendo que ela se refere a 3 pontos relativos a esses prontuários, são eles:

  • A guarda;
  • O armazenamento; e
  • O manuseio.

Essa Lei incorpora a essa questão (prontuário de paciente) as regras da Lei nº 13.709, de 14 de agosto de 2018 (“LGPD” – Lei Geral de Proteção de Dados).

A Lei do Prontuário Eletrônico é curta, porém, bastante relevante. Em 5 pilares, ela estabelece como a LGPD se aplica aos controles de prontuários:

  • Define os requisitos para o processo de digitalização quando envolver o Prontuário Eletrônico;
  • Aborda os critérios para destruição de prontuários, seja em papel ou no formato eletrônico;
  • Estabelece alguns parâmetros para segurança da informação dos sistemas que lidam com o Prontuário Eletrônico;
  • Atribui os efeitos probatórios no uso destes documentos; e
  • Esclarece os prazos de armazenagem dos prontuários eletrônicos.

Requisitos da digitalização de prontuário

Obviamente, a digitalização de prontuário deverá ser realizada assegurando a integridade, a autenticidade e a confidencialidade do documento digital.

Os métodos de digitalização devem então manter preservadas de maneira integral as informações contidas nos prontuários de paciente em papel.

Além disso, a autenticidade deverá ser assegurada pela utilização de certificado digital. Sendo que ele deve ser emitido no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) ou outro padrão legalmente aceito.

Destruição dos documentos originais

Em relação à destruição dos documentos originais, estes poderão ser destruídos após a sua digitalização. Obviamente, esse processo deve ser realizado de acordo com a Lei do Prontuário Eletrônico.

Também é necessário haver a aprovação da comissão especial, que deverá ser criada para realizar a permanente revisão de prontuários e avaliação de documentos. Ela será responsável por certificar a integridade dos documentos digitais e avalizar a eliminação dos documentos que os originaram.

Caso a comissão identifique documentos de valor histórico, eles serão preservados de acordo com o disposto na legislação arquivística.

A segurança da informação no âmbito da Lei do Prontuário Eletrônico

A segurança da informação é um elemento essencial da nova lei. Por isso, os meios de armazenamento de documentos digitais deverão proteger as informações de uma série de ações não autorizadas. São elas:

  • O acesso;
  • O uso;
  • A alteração;
  • A reprodução; e
  • A destruição.

Isso deve ocorrer por meio de um sistema especializado de gerenciamento eletrônico de documentos.

Efeito probatório para os fins de direito

Outro aspecto bastante relevante dos Prontuários Eletrônicos é o efeito probatório para todos os fins de direito. A nova lei assegura que, uma vez que a digitalização, a guarda, o armazenamento e o manuseio dos documentos tenham sido realizados de acordo com a Lei do Prontuário Eletrônico, o documento digitalizado terá o mesmo valor probatório do documento original.

Assim, também poderão ser implementados sistemas de certificação para a verificação da conformidade normativa dos processos à Lei do Prontuário Eletrônico.

Prazo de armazenagem dos dados dos pacientes

Um dos aspectos mais importantes estabelecidos na nova lei foi o prazo de armazenagem de dados dos pacientes.

A obrigação legal é uma das maneiras de manter os dados. Assim, ainda que sem consentimento do titular, a Lei do Prontuário Eletrônico definiu o prazo mínimo de 20 (vinte) anos, a partir do último registro, para os prontuários poderem ser eliminados ou devolvidos ao paciente.

É importante destacar que isso vale para qualquer forma de armazenamento, podendo ser em papel, digitalizados, microfilmados, arquivados eletronicamente em meio óptico ou aqueles gerados e mantidos originalmente de forma eletrônica.

O processo de destruição precisa ser todo documentado. Porém, devem ser resguardados a intimidade do paciente e o sigilo e a confidencialidade das informações.

Podem ser estabelecidos (em regulamento) prazos diferenciados para a guarda de prontuário de paciente, em papel ou digitalizado, de acordo com o potencial de uso em estudos e pesquisas nas áreas das ciências da saúde, humanas e sociais, bem como para fins legais e probatórios.

Conclusão

Embora ainda pouco divulgada e conhecida, a Lei do Prontuário Eletrônico é de grande relevância. Até porque, trata-se de uma legislação que afeta todas as pessoas. Nesse sentido, vale ressaltar que, além das pessoas físicas (que terão seus dados tratados pelos hospitais e afins), essa Lei deve ser alvo de grande atenção por parte das instituições de saúde, já que elas precisam se adequar às novas regras.

A relevância da análise jurídica e técnica (tecnológica) para a adaptação das empresas à LGPD.

Seguindo o que aconteceu na União Europeia com a entrada em vigor da GDPR (General Data Protection Regulation – Regulamentação Geral de Proteção de Dados), foi aprovada no Brasil, no começo do segundo semestre de 2018, a LGPD (Lei Geral de Proteção de Dados).

Ela estabelece uma série de requisitos relativos à proteção de dados pessoais, que são aqueles que direta ou indiretamente permitem a identificação de um indivíduo, tais como:

  • Nome;
  • Endereço;
  • RG;
  • CPF;
  • Números de telefone;
  • Números de IP;
  • Dados financeiros;
  • Perfil de compra.

Intuito da Lei Geral de Proteção de Dados e exigências para a correta adequação

O intuito da LGPD é proteger a privacidade dessas e quaisquer outras informações relacionadas a uma pessoa. Desse modo, ela estabelece uma série de direitos para os titulares dos dados e obrigações para as empresas que possuem esses dados pessoais.

E, na prática, isso abrange praticamente todas as empresas, já que, mesmo no caso daquelas que não lidam com dados de clientes/usuários, há a posse de dados pessoais dos seus funcionários.

Sendo que, para as empresas que possuem listas de plano de saúde, bases de dados de marketing e sites com centenas, milhares ou até milhões de usuários, é ainda mais relevante se adaptar rapidamente às novas exigências referentes ao uso de dados pessoais.

A LGPD tem a função exatamente de regulamentar a utilização dessas informações por parte das empresas. Os dados podem sim ser usados, porém, a Lei prevê 10 formas/requisitos para fazer isso, sendo o consentimento o requisito mais destacado. Outras formas de uso dos dados são por obrigações legais ou regulatórias, por direito contratual, para proteger a vida, a saúde, o crédito e etc.

Sendo que há a necessidade de que tudo isso esteja mapeado dentro das empresas para provar que elas estão cumprindo as regras. E isso, na maioria das empresas, vai envolver a área de informática, embora não seja obrigatório. Porém, para as organizações que não têm os dados pessoais informatizados, será ainda mais difícil cumprir a Lei, já que tudo terá que ser feito manualmente.

No caso daquelas que são informatizadas, basta adaptar o seu sistema e criar uma governança corporativa de dados (como eles foram coletados, quem pode acessá-los e usá-los, qual é o ciclo de vida deles desde a entrada na empresa até a eliminação…). Existem inclusive hipóteses em que, após ser concluída a finalidade para a qual o dado foi obtido, ele deve ser eliminado.

Além disso, é necessário armazenar as ações realizadas com os dados, pois a Autoridade Nacional de Proteção de Dados pode solicitar essa informação posteriormente.

Assim, é óbvio que todo o gerenciamento dessa governança de dados fica muito mais prático se for informatizado. Ou pode haver uma customização dos sistemas que as empresas já utilizam, pois alguns deles já possibilitam realizar a gestão da privacidade, por exemplo.

Solução completa para a devida adaptação da sua empresa à LGPD

Contudo, tudo isso passa por uma solução operacional de procedimentos e sistemas que vai muito além do simples aconselhamento jurídico.

Por isso, o PK Advogados buscou um parceiro técnico para criar uma solução completa para as empresas que estão se adaptando à LGPD. Assim, poderíamos fazer a implementação do diagnóstico que realizamos nas empresas que nos contratam para tratar dessa questão.

O parceiro escolhido foi a Cloud Target, exatamente pelo fato de eles já terem expertise no GDPR e, agora, na LGPD, especialmente no sentido de fazer essa análise tecnológica do ambiente do cliente e adaptar os seus sistemas para que ele fique em compliance com a legislação de proteção de dados.

Ou seja, através dessa parceria, oferecemos uma solução completa para aquelas empresas que querem se adaptar à LGPD de forma rápida e eficiente.

O PK Advogados entra com a parte jurídica, fazendo o diagnóstico da Lei e, eventualmente, identificando o gap do cliente em relação ao que ela estabelece.

E a Cloud Target assume a responsabilidade exatamente de eliminar esse gap e deixar a empresa em compliance à LGPD.

Além disso, também disponibilizando um serviço de acompanhamento, pois a adaptação à LGPD é contínua. Há uma adequação inicial, mas também é necessário continuar analisando e revisando os novos procedimentos referentes à obtenção e o uso de dados pessoais para verificar se a organização permanece fazendo tudo de acordo com as regras legais.

A sua empresa está enfrentando dificuldades para se adaptar à LGPD? Então marque uma reunião com o PK advogados para analisarmos a sua situação e montarmos um plano direcionado totalmente de acordo com as demandas identificadas!

Os 5 principais aspectos da criação da Autoridade Nacional de Proteção de Dados

Hélio Ferreira Moraes – sócio do PK Advogados

O governo anterior publicou no dia 28.12.2018 a Medida Provisória 869 (“MP 869”), que criou a Autoridade Nacional de Proteção de Dados (“ANPD”) e alterou também alguns artigos da Lei Geral de Proteção de Dados (“LGPD”) (Lei nº 13.709, de 14 de agosto de 2018). A criação da ANPD passou a vigorar desde a publicação da MP 869, portanto, em 28.12.2018, diferentemente do conteúdo da LGPD, sujeito a “vacatio legis“. A MP 869 tem prazo de vigência de 60 dias, prorrogáveis uma vez por igual período e está condicionada à aprovação do Congresso Nacional para transformação definitiva em lei. Vejamos então os principais aspectos regulamentados pela MP 869:

  • O encarregado, pessoa responsável dentro da empresa por conectar os envolvidos em uma operação de tratamentos de dados com os titulares e a ANPD, não precisa ser mais necessariamente ”pessoa natural”, abrindo uma avenida de oportunidades para terceirização e especialização nesse ramo para empresas de consultoria, contabilidade, escritórios de advocacia e compliance.

 

  • Compartilhamento de dados pessoais na saúde passa a ser menos restritivo, pois o polêmico parágrafo 4º do artigo 11 da LGPD, que restringia drasticamente o compartilhamento de dados na saúde apenas para o caso de portabilidade consentida, sempre que o objetivo fosse obter vantagem econômica, ganhou a possibilidade do compartilhamento desses dados também ser realizado quando necessários para prestação de serviços de saúde suplementar. Embora a hipótese ainda não contemple a vastidão desse mercado, que envolve toda a gestão de usos de planos e seguros de saúde pelos funcionários das empresas, já minimiza os impactos restritivos, pois na prática quase todas as empresas precisam compartilhar dados pessoais de saúde ao menos com os planos e seguros de saúde.

 

  • A revisão de decisões automatizadas, prevista como um direito dos titulares de ser realizada por pessoa natural no artigo 20 da LGPD, ganhou um novo contorno totalmente novo. O artigo original, que gerou bastante polêmica dado o potencial conflito entre a inovação tecnológica e a garantia dos direitos fundamentais de personalidade, permitia que os titulares de dados pessoais pudessem solicitar a revisão humana de uma decisão automatizada realizada no tratamento de uma base de dados pessoais destinadas a definição de perfil pessoal, profissional, consumo, crédito ou outros aspectos de sua personalidade. A MP 869 ao excluir desse artigo a expressão “por pessoa natural” continua concedendo o direito de revisão de uma decisão de sistema automatizado, mas já não vincula mais a necessidade desta revisão ser realizada por agente humano, o que do ponto de vista tecnológico atende as aspirações inovativas, embora deixe dúvidas sobre as garantias dos cidadãos.

 

  • A ANPD foi modificada para integrar a administração direta, sob a gestão direta pela Presidência da República, o que traz uma visão da importância estratégica que os dados pessoais representam atualmente, por outro lado, ascende os riscos de conflitos de interesse com os direitos de privacidade dos cidadãos. Além disso, a ANPD foi criada sob a gestão de um Conselho Diretor, composto por 5 membros indicados pelo Presidente da República, com mandatos fixos de 4 anos, e a definição estratégica de suas diretrizes por um Conselho Nacional de Proteção de Dados Pessoais, composto por 23 membros não remunerados, sendo 11 indicados pelo Poder Público e os demais pela iniciativa privada. Também o compartilhamento de dados pessoais entre órgãos do poder público foi ampliado, permitindo que, dentre outras hipóteses, estes dados sejam compartilhados entre os órgãos públicos por meio de contratos e convênios.

 

  • Vacatio Legis, que é o prazo dado em algumas leis entre a sua publicação e a data em que passa a ser efetiva, foi alterada de 18 para 24 meses, assim a data de entrada em vigor da LGPD foi prorrogada para agosto/2020, contanto que a MP 869 seja transformada em lei no prazo de tramitação. Ou seja, na prática o prazo de 18 meses, que já estava em 14 meses no final do ano, pois a maior parte das empresas ainda não havia despertado para entender como cumprir a LGPD, ganhou um folego extra até agosto/2020, mas se a MP 869 não for aprovada, tudo pode voltar ao prazo anterior de fevereiro/2020.

O prazo parece longo, mas muitas são as medidas para as empresas criarem seus sistemas de governança corporativa em proteção de dados e criarem uma cultura empresarial nesse sentido, além disso a aplicação da LGPD vai ser bastante extensa e todas as empresas vão ter que se adaptar, pois dados pessoais de funcionários, por exemplo, são dados que precisam estar protegidos de acordo com a nova legislação.

Apesar da criação da ANPD e as alterações na LGPD serem favoráveis para implantar a cultura de proteção de dados no país, o fato de terem sido realizadas por Medida Provisória traz um novo fator de incerteza, enquanto não for transformada em lei, pois a confirmação dos efeitos da MP depende de Decreto-Legislativo, sendo que o governo entrante já declarou que serão avaliados para fins de convalidação ou revisão todos os atos do governo anterior nos últimos 60 dias de mandato.

Scroll to top