Hospital das Clínicas Botucatu

“Você recebeu uma nova mensagem” – e agora?

Maíra Masiero — Wed, 15 Jan 2025 11:57:18 +0000

“Você recebeu uma nova mensagem” – e agora?

A partir da implantação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o HCFMB apresenta a nova fase do quadro LGPDicas, com a participação do Encarregado de Dados – DPO no âmbito do HCFMB e Diretor do Departamento de Infraestrutura, Marcelo Roberto Martins.

No contexto do tratamento de dados sensíveis na área da saúde, a utilização crescente de aplicativos de comunicação instantânea (Telegram® e WhatsApp®, por exemplo) para discussões sobre casos, segundas opiniões e condutas relacionadas aos pacientes, é uma prática que traz dúvidas à luz da Lei Geral de Proteção de Dados (LGPD). Embora a LGPD não especifique como devem ser utilizadas ferramentas desta categoria, o artigo 46 da Lei reforça o dever dos agentes de tratamento em adotarem medidas de segurança, técnicas e administrativas, capazes de proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Também de acordo com o guia LGPD do CREMESP, publicado em 2023, medidas de segurança devem ser implementadas para garantir a privacidade dos pacientes. O documento faz menção aos artigos 54 e 73 do Código de Ética Médica, que tratam da revelação de informações obtidas no exercício da profissão, destacando a necessidade de autorização do paciente para o compartilhamento de seus dados.

Marcelo Roberto Martins, Encarregado de Dados (DPO) do HCFMB

Embora a implementação efetiva de medidas de segurança para proteção de dados possa parecer difícil em relação aos aplicativos, existem diversas boas práticas e estratégias que contribuem na minimização dos riscos de incidentes envolvendo dados pessoais. Algumas delas incluem: configurar senhas ou reconhecimento biométrico/facial para acesso ao smartphone, configuração em duas etapas, restringir o acesso do dispositivo a terceiros, configurar nos grupos de discussão para que as mensagens sejam apagadas automaticamente após a visualização, realizar a exclusão periódica das mensagens após cumprir sua finalidade, adicionar somente membros que necessitam estar presentes para a finalidade do grupo e principalmente, se possível, não utilizar dados que identifiquem o paciente e, sim, somente o caso em discussão. Portanto, na próxima vez que você receber uma nova mensagem, já se sabe o que pode ser feito para mitigar os riscos.

Mudando o assunto, como havia mencionado no último artigo, trago a participação do Departamento de Auditoria e Informações em Saúde contando sobre os desafios, estratégias adotadas e avanços realizados dentro do nosso projeto de adequação da LGPD no HCFMB. Aproveito para agradecer desde já a colaboração do Departamento, na pessoa da Diretora Patrícia Frazão.

– – – – – – – – – –

“Iniciamos o projeto adotando a figura de um multiplicador que atuou como disseminador de informação entre os membros da área. “Foram vários envios e reenvios na plataforma DPONET em busca do modelo mais seguro e adequado ao tratamento de dados realizado, o que possibilitou uma ampliação do nosso horizonte na questão do uso consciente e da proteção dos dados pessoais”, relata Fernanda Giacoia Godoy Augusto, coordenadora do Núcleo de Contrato SUS e CNES.

Com essa estratégia, Tatiane Biazon Rossi Benvenutto, do Núcleo de Gestão da Qualidade, esclarece que todos os processos da sua área foram aprovados no primeiro envio e, devido à sua vivência na padronização de procedimentos, identificou a necessidade de elaborar um Procedimento Operacional Padrão (POP) para melhor orientar os usuários na utilização da plataforma DPONET.

A partir dessas experiências, surge a ideia da realização de uma oficina para todos os Departamentos, a fim de capacitá-los na ferramenta DPONET. Este trabalho, realizado em conjunto com o Encarregado de Dados, Departamento de Gestão de Pessoas, Núcleo de Ouvidoria, Gerência de Comunicação, Imprensa e Marketing e CIMED, mostrou, dentre outros benefícios, que, mais importante do que atender às exigências da plataforma, este é um momento de tornar nosso dia a dia mais seguro e adotar barreiras de segurança para impedir incidentes envolvendo dados pessoais tratados em nosso Hospital.“

Patrícia Guarnieri Frazão – Diretora do Departamento de Auditoria e Informações em Saúde do HCFMB

Olha o trem!

Maíra Masiero — Wed, 15 Jan 2025 11:57:18 +0000

Olha o trem!

A partir da implantação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o HCFMB apresenta a nova fase do quadro LGPDicas, com a participação do Encarregado de Dados – DPO no âmbito do HCFMB e Diretor de Infraestrutura do Hospital, Marcelo Roberto Martins.

Ao iniciar este artigo, uma lembrança de minha infância veio à mente. Todos os dias, eu atravessava uma linha férrea para chegar à escola e havia uma sinalização em forma de “X”, que minha querida mãe sempre me fazia ler: “Pare, olhe, escute e siga”.

Essa memória me fez refletir sobre a maneira com que desenvolvemos as atividades que envolvem dados pessoais. “Pare” e “olhe” – dar um tempo para observar o que estamos fazendo e como estamos fazendo possibilita sermos mais assertivos e nos proporciona momentos de reflexão para entender se os meios utilizados para atingir nossos objetivos ou finalidades cumprem as legislações que somos obrigados a cumprir.

O “escute” se relaciona com a importância do envolvimento dos atores e do encarregado de dados nas atividades que tratam dados pessoais, especialmente as novas. Além de ajudar a organização a avaliar os riscos relacionados ao processamento desses dados, a Lei Geral de Proteção de Dados (LGPD) estabelece a obrigatoriedade da consulta ao Encarregado sempre que ocorrer uma mudança no tratamento de dados que possa afetar ou trazer algum impacto à privacidade dos titulares dos dados, conforme previsto no artigo 38.

Assim, é fundamental que todos estejamos atentos ao tema da proteção de dados visando uma mudança da mentalidade corporativa, a fim de estabelecer uma cultura proativa, positiva e crítica nas atividades que envolvem dados pessoais e, desta forma, “seguir” em busca da adequação e conformidade com a LGPD.

Marcelo Roberto Martins, Encarregado de Dados (DPO) do HCFMB

Voltando ao nosso projeto de adequação à LGPD no HCFMB, em breve, realizaremos visita aos gestores de departamentos para verificar o andamento do mapeamento de dados no DPONet, conforme planejado em nosso último encontro. Utilizaremos a listagem (planilha) das atividades que tratam dados pessoais, enviadas ao encarregado de dados, como base para verificar o andamento e o avanço desse cadastramento.

Com o objetivo de compartilhar experiências, convidei alguns colaboradores para participar de nosso próximo artigo e contar dos desafios no processo de mapeamento de suas atividades que envolvem dados pessoais. Eles não apenas lideraram as adequações em suas respectivas áreas, mas também foram os idealizadores das estratégias de treinamento realizadas no mês passado. Bem-vindos, Sheila (Núcleo de Ouvidoria), Tatiane, Fernanda e Patrícia (Departamento de Auditoria e Informações em Saúde), Daniele (Departamento de Gestão de Pessoas) e Rodrigo (CIMED), além de Maíra (GCIM), parceira no LGPDicas.

Para finalizar, trago um pensamento chinês que traduz a ideia de compartilhamento: “Se dois homens vêm andando por uma estrada, cada um com um pão, e, ao se encontrarem, trocarem os pães, cada um vai embora com um. Se dois homens vêm andando por uma estrada, cada um com uma ideia, e, ao se encontrarem, trocarem as ideias, cada um vai embora com duas”. Portanto, juntos, é possível facilitar o desenvolvimento de nossas tarefas e, quando não nos atentarmos a algum ponto importante, teremos alguém ao nosso lado para avisar: olhe o Trem!

É tempo de pensar e de realizar

combr — Wed, 15 Jan 2025 11:57:18 +0000

É tempo de pensar e de realizar

A partir da implantação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o HCFMB apresenta a nova fase do quadro LGPDicas, com a participação do Encarregado de Dados – DPO no âmbito do HCFMB e Diretor da Gerência de Tecnologia da Informação (CIMED), Marcelo Roberto Martins.

Recentemente, iniciamos os treinamentos com Departamentos e Unidades Externas do HCFMB para a utilização da ferramenta DPOnet e para a prática de mapeamento de atividades que lidam com dados pessoais. As oficinas estão sendo bem participativas e temos observado um melhor entendimento sobre o que é necessário para nos adequarmos à LGPD.

Atualmente, estamos trabalhando na estratégia pós-oficina, que consiste no acompanhamento do mapeamento de todas as atividades enviadas pelas áreas ao Encarregado de Dados e, em breve, pretendemos divulgar como isso será realizado.

Aproveito para esclarecer uma dúvida que surgiu quando uma atividade mapeada é aprovada na plataforma DPOnet e classificada com risco alto ou severo. Neste ponto, a atividade será acompanhada pela instrução: “Aguardando inativação do processo devido ao risco calculado ou vinculação de medidas de segurança administrativas e técnicas aplicadas para abordar o risco calculado. Clique aqui para visualizar o Registro de Melhora Contínua (RMC) de risco”. De forma resumida, um RMC descreve quais ações deverão ser tomadas ou adotadas para que a atividade mapeada seja realizada com mais segurança.

Marcelo Roberto Martins, Encarregado de Dados (DPO) do HCFMB

Assim sendo, temos dois caminhos: o primeiro é questionar a continuidade da atividade. Se a resposta é “Não”, na prática, deixamos de realizar essa atividade, não vamos mais continuar tratando dados pessoais e, portanto, não há necessidade do mapeamento. Já o segundo caminho é adotar medidas de segurança, tanto administrativas quanto técnicas, para minimizar os riscos de incidentes com os dados pessoais.

Para ilustrar, vamos usar o exemplo da folha de ponto. Imaginemos que essa atividade seja classificada como risco alto. É impossível inativar essa atividade, pois temos obrigações legais referentes ao controle de folha de frequência. Portanto, precisamos adotar medidas que possam eliminar ou mitigar os riscos de incidentes.

Administrativamente, podemos definir um protocolo de como a informação deve ser tramitada dentro das áreas (bem como entre diferentes setores), compondo, assim, uma política maior que podemos denominá-la de política de governança de segurança de dados e informações.

Além disso, podemos adotar medidas técnicas, como a utilização de envelopes para tramitar a folha e a inclusão do nome do gestor do departamento já impresso na folha de freqüência, a fim de evitar a necessidade de um carimbo que, muitas vezes, traz dados adicionais e que, para essa atividade, não são necessários. É importante lembrar que um dos princípios da LGPD é o da necessidade, ou seja, devemos utilizar apenas os dados necessários para cumprimento da atividade mapeada.

Por fim, como diz o ditado: “se tem um limão, faça uma limonada”. Não estamos falando apenas de um exercício obrigatório de mapeamento das atividades que tratam dados pessoais, mas sim de poder discutir essas atividades em uma perspectiva de eficiência e segurança, envolvendo os atores em discussões voltadas para melhorias e mudanças que tragam avanços e eficácia a nossos processos e atividades. Ou seja, é tempo de pensar e realizar.

Fique atento!

Toda vez que for cadastrado um processo no DPOnet, é necessário, ao final, enviá-lo para revisão. Caso contrário, ficará constando como pendente.

Marcelo Roberto Martins – Encarregado de Dados (DPO) do HCFMB

LGPD e Projeto Lean nas Emergências: todos ajudam!

combr — Wed, 15 Jan 2025 11:57:18 +0000

A partir da implantação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o HCFMB apresenta a nova fase do quadro LGPDicas, com a participação do Encarregado de Dados – DPO no âmbito do HCFMB e Diretor da Gerência de Tecnologia da Informação (CIMED), Marcelo Roberto Martins.

Sabemos que a Lei Geral de Proteção de Dados (LGPD) é uma legislação que traz mudanças significativas em relação ao tratamento de dados pessoais, estabelecendo regras para garantir a privacidade e os direitos dos titulares dessas informações. Assim, a implementação da LGPD requer uma mudança cultural nas organizações, com a adoção de novas práticas e processos para garantir a conformidade.

Para tanto, é fundamental realizar algumas atividades, como o mapeamento dos dados pessoais coletados, armazenados e processados pela organização. Com isso, é possível estabelecer um plano de ação para adequação à LGPD e lidar com incidentes de violação de dados pessoais, incluindo procedimentos para identificação, notificação e correção desses incidentes.

Marcelo Roberto Martins, Encarregado de Dados (DPO) do HCFMB

Nesta direção, é importante destacar os esforços de alguns setores do HCFMB que iniciaram a elaboração do mapeamento de seus processos que tratam dados pessoais, como também da Comissão de Avaliação de Documentos e Acesso (CADA) do HCFMB, que contribuiu em relação à gestão de documentos; das campanhas de divulgação apoiadas pela Imprensa, do suporte dos Núcleos de Gestão da Qualidade e Padronização, Auditoria e Segurança Interna (CIMED) e por fim, chamo atenção à implantação do projeto “Lean nas Emergências”, que entendo como uma oportunidade a mais no sentido de contribuir para a adequação à LGPD.

Embora a metodologia Lean e a LGPD possuem abordagens diferentes, é possível afirmar que uma pode influenciar positivamente na outra. A metodologia Lean é voltada para a eliminação de desperdícios e melhoria contínua de processos, o que pode ajudar a se adequar à LGPD ao eliminar processos desnecessários que possam expor dados pessoais sem autorização.

Por outro lado, a LGPD pode incentivar a adoção de práticas de segurança da informação e privacidade de dados, que também são fundamentais para a redução de desperdícios e para a melhoria da eficiência dos processos. Além disso, a LGPD também pode ser vista como uma oportunidade para avaliar processos do ponto de vista da privacidade dos dados, identificando e eliminando potenciais riscos de violação. Assim, a LGPD e a metodologia Lean podem se complementar e oferecer uma contribuição considerável para a melhoria contínua da gestão de dados e de processos organizacionais.

Termino fazendo uma referência ao primeiro artigo da série LGPDicas, de nosso Superintendente, “LGPD – Todo mundo ajuda”, e peço permissão para acrescentar: “LGPD e Lean – todos ajudam”.

Fique atento!

A troca de informações pessoais por meio de aplicativos, principalmente do WhatsApp, pode contribuir para incidentes envolvendo dados pessoais. Dúvidas sobre o assunto? Escreva para LGPD_encarregado.hcfmb@unesp.br.

Marcelo Roberto Martins – Encarregado de Dados (DPO) do HCFMB

LGPD – Todo mundo ajuda

combr — Wed, 15 Jan 2025 11:57:18 +0000

LGPD – Todo mundo ajuda

Proteção, segurança e privacidade. Três palavras que fazem parte de nossa vivência cotidiana e que também devem estar presentes em nosso ambiente de trabalho.

A partir disso e da implantação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o HCFMB lança a nova fase do quadro LGPDicas, com a participação do Encarregado de Dados – DPO no âmbito do HCFMB e Diretor da Gerência de Tecnologia da Informação (CIMED), Marcelo Roberto Martins.

“O LGPDicas tem o objetivo de, periodicamente, levar a todos que, de alguma forma, atuam ou prestam serviços ao HCFMB, informações sobre a LGPD, dicas de como implementá-la e compartilhar as ações que estão sendo realizadas em nosso Hospital, para que possamos estar adequados a seus princípios”, afirma Marcelo.

A primeira edição do novo formato traz a participação do Superintendente do HCFMB, José Carlos Souza Trindade Filho.

Um novo ano inicia-se e, com ele, continuamos o desafio de construirmos, em nosso Hospital, uma cultura forte voltada à privacidade e proteção de dados pessoais, sendo eles dos nossos pacientes, colaboradores, terceiros, visitantes entre outros.

Com o intuito de avaliar o grau de maturidade das Instituições nos temas privacidade e segurança da informação, o Estado, por meio do Comitê Gestor de Governança de Dados e Informações, disponibilizou, no final de 2021, um questionário para ser preenchido por seus entes administrativos (diretos e indiretos), objetivando colher informações sobre os temas citados.

Já no final de 2022, como resultado desta ação do Estado, foi entregue ao HCFMB um relatório diagnóstico-situacional das nossas vulnerabilidades. frente ao que rege as boas práticas de segurança de informação bem como a Lei Geral de Proteção de Dados Pessoais (LGPD).

Frente ao cenário apresentado, devemos desenvolver ações voltadas ao enfrentamento das inconformidades apontadas a fim de eliminar ou mitigar tais ameaças.

Neste ponto, algumas já se iniciaram, como: (i) os boletins da LGPDicas que, neste ano, serão apresentados como artigos periódicos, trazendo novidades sobre a própria LGPD, ações da Autoridade Nacional de Proteção de Dados (ANPD) e no âmbito do complexo HCFMB; e (ii) mapeamento de processos que tratam dados pessoais e cadastramento na plataforma DPONET.

Em relação ao mapeamento dos processos nos setores do complexo, ratifico a necessidade de finalizar essa tarefa e, para isso, haverá a atuação tanto do Núcleo de Qualidade e CADA numa primeira fase e a do Núcleo de LPGD em fase final.

Desta forma, não poderia deixar de destacar o título deste primeiro artigo, “todo mundo ajuda”. É nesse sentido que a Superintendência apoia e incentiva a todos a se engajarem nessa jornada desafiadora, mas que nos trará inúmeros benefícios.

Convido-os a sempre lembrar: “os nossos próprios dados pessoais também são coletados, compartilhados, exibidos, replicados, e outros e é claro que desejamos que sejam tratados de forma adequada e dentro das normas legais. Concordam?

José Carlos Souza Trindade Filho – Superintendente do HCFMB

Protegendo a privacidade na área da saúde

combr — Thu, 09 Jan 2025 16:17:12 +0000

Protegendo a privacidade na área da saúde

A partir da promulgação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o HCFMB está com a nova temporada do quadro LGPDicas, com o intuito de trazer a todos que, de alguma forma, atuam ou prestam serviços ao HCFMB informações sobre a LGPD, dicas de como implantá-la e as ações do Hospital relacionadas ao tema.

A primeira edição de 2025 reforça a importância do respeito à confidencialidade e à privacidade das informações de pacientes, com a participação do Encarregado de Dados – DPO no âmbito do HCFMB e Diretor do Departamento de Infraestrutura, Marcelo Roberto Martins e com a colaboração da servidora Alice Rogatto e Silva.

O respeito à confidencialidade e à privacidade das informações de pacientes é essencial na área da saúde. Com a promulgação da Lei Geral de Proteção de Dados (LGPD) em 2018, esse dever ético se transformou em um dever legal.

A lei define dados de saúde como dados pessoais sensíveis pois, caso estas informações forem divulgadas ou vazadas, essa situação pode trazer danos aos titulares destes dados. Portanto, o tratamento de dados sensíveis, como os de saúde, deve possuir finalidade específica, clara e legítima. O tratamento também deve respeitar o princípio de necessidade (Art. 6º, III) da lei, ou seja, tratar apenas os dados pertinentes, proporcionais e não excessivos em relação à finalidade do tratamento. Isso significa que os dados só podem ser acessados ou processados por profissionais que necessitam destas informações para exercer uma atividade legítima e justificada, como a prestação de serviços de assistência à saúde. No ambiente clínico, isso significa, por exemplo, que profissionais da saúde podem acessar apenas os prontuários de pacientes que estão sob seu cuidado.

Marcelo Martins e Alice Rogatto

Quando um profissional acessa ou divulga dados de prontuários ou outras informações fora de sua área de atuação e sem justificativa válida, isso pode configurar uma violação da LGPD. Desde a promulgação da lei, foram vários os casos de punições por violações dos princípios desta Lei, fato que demanda atenção e respeito de profissionais perante a privacidade e confidencialidade dos dados da saúde. Um exemplo disso foi um caso julgado pela Justiça do Trabalho do Rio Grande do Sul em dezembro de 2024, em que uma profissional da assistência foi demitida por justa causa por acessar o prontuário da esposa de seu ex-marido, a qual não estava sob seu cuidado¹. A profissional confessou ter acessado os dados por motivos pessoais, alegando tê-lo feito por conta de uma disputa judicial com o ex-marido sobre os cuidados da filha. Por conta de sua confissão, o magistrado considerou que o ato configurou violação da privacidade dos dados e quebra dos deveres profissionais.

Outros casos em que funcionários utilizam externamente e/ou divulgam dados confidenciais pertinentes ao ambiente de trabalho também podem gerar punição de acordo com a LGPD. Em março de 2023, em São Paulo, um funcionário pediu rescisão indireta de seu contrato, apresentando, como provas, planilhas do Sistema de Gerenciamento de Internação que comprovavam exigência de dobra de plantões, cuidado de pacientes em número superior ao determinado pelo Conselho e efetuação de pagamentos “por fora”². Contudo, o pedido de rescisão indireta do trabalhador foi julgado improcedente e ele foi responsabilizado por falta grave, sendo punido com dispensa por justa causa. A julgadora do caso arguiu que o funcionário violou a intimidade e a privacidade de terceiros, infringindo a LGPD com a utilização de dados sensíveis de forma ilícita. Ainda, o funcionário fez com que a empresa por onde trabalhava infringisse também a LGPD, pois esta era a controladora dos dados de seus clientes (pacientes) que foram “vazados”.

Como dito anteriormente, estes dois casos, assim como tantos outros, demonstram que o respeito à privacidade não é apenas um requisito legal amparado pela LGPD, mas um elemento ético central na relação entre profissionais da saúde e seus pacientes. Afinal, quando um paciente procura atendimento, ele confia que suas informações serão mantidas em sigilo e usadas apenas para seu tratamento. A quebra dessa confiança pode causar prejuízos tanto para o paciente, como para a reputação das instituições da saúde. Portanto, é necessário a adoção de práticas e normas robustas de privacidade e segurança da informação nestas instituições. Havendo respeito às boas práticas no tratamento de dados, o setor de saúde avança na construção de um ambiente mais seguro e respeitoso para todos, pacientes e profissionais.

1Fonte: https://www.trt4.jus.br/portais/trt4/modulos/noticias/50725782

2Fonte: https://ww2.trt2.jus.br/noticias/noticias/noticia/empregado-viola-lgpd-em-pedido-de-rescisao-indireta-e-e-punido-com-justa-causa

– Quer sugerir um tema para as próximas edições? Escreva para lgpd_encarregado.hcfmb@unesp.br.

Desafios da LGPD na pesquisa

combr — Tue, 12 Nov 2024 19:01:26 +0000

A edição de hoje elenca alguns desafios da LGPD na pesquisa, com a participação de Fábio Albuquerque Marchi, pesquisador no Instituto do Câncer do Estado de São Paulo (ICESP) e no Hospital das Clínicas da Faculdade de Medicina da USP.

A bioinformática depende fortemente de dados de pacientes para gerar resultados valiosos e contribuir para avanços na área da saúde. No entanto, a implementação da LGPD trouxe desafios significativos, especialmente no início, quando foi necessário revisar nossos processos e práticas para garantir conformidade com a nova legislação.

Um dos maiores desafios foi lidar com a coleta e o tratamento de dados sensíveis, incluindo registros médicos e imagens, que compõem parte do nosso trabalho. Em estudos que envolvem grandes volumes de informações, a obtenção de consentimento ou reconsentimento de todos os pacientes, muitas vezes, se mostrou inviável, limitando o escopo de algumas pesquisas e gerando, até o momento, dúvidas sobre como proceder de maneira eficiente e ética.

Além disso, a LGPD exigiu que adotássemos medidas mais rigorosas de segurança da informação. Implementamos sistemas que criam hierarquias de acesso, permitindo o controle rigoroso sobre quem pode visualizar e manipular determinados dados. Esses sistemas são projetados para garantir que as informações dos pacientes sejam acessadas apenas por colaboradores autorizados, minimizando o risco de acessos não autorizados e vazamentos. A implementação de controles de acesso também assegura que até mesmo dentro de uma equipe de pesquisa, o acesso a dados sensíveis seja restrito conforme a necessidade e o nível de envolvimento de cada membro do projeto.

Particularmente no caso de imagens médicas, enfrentamos desafios adicionais. Algumas imagens, mesmo sem dados sensíveis diretamente anotados, podem ser potencialmente usadas para reconstruir rostos humanos ou identificar características pessoais. Esse risco nos levou a adotar técnicas avançadas de anonimização e, em alguns casos, a restringir ainda mais o acesso a esses dados, garantindo que apenas o pessoal absolutamente necessário tenha permissão para manipulá-los.

Embora esses desafios sejam significativos e impactem diretamente nossas atividades, a LGPD também trouxe benefícios importantes. A conscientização sobre a importância da proteção de dados aumentou consideravelmente. Hoje, temos um controle muito maior sobre os dados que coletamos e utilizamos, o que, por sua vez, aumenta a confiança dos pacientes em nossos projetos e na pesquisa científica em geral.

Entretanto, ainda enfrentamos dificuldades. A interpretação da LGPD em relação à pesquisa continua gerando dúvidas em alguns aspectos. Alguns pontos podem ser subjetivos e interpretativos, criando inseguranças e demandando tempo para resoluções. Nesse sentido, destaco a importante participação do sistema CEP/CONEP, que tem contribuído ativamente para a disseminação de conhecimento por meio de instruções e orientações para toda a área da pesquisa.

Apesar desses desafios, acredito fortemente que a LGPD é fundamental para garantir a privacidade e a segurança dos dados dos pacientes. Com o tempo e o aprimoramento das práticas, a comunidade científica certamente encontrará soluções para conciliar a proteção de dados com a necessidade de avançar em pesquisas inovadoras, especialmente aquelas que demandam um volume considerável de informações. É possível que ajustes sejam feitos na legislação para que ela possa se adaptar às especificidades da pesquisa científica, permitindo que dificuldades atuais sejam superadas de forma ética e segura.

Fabio Albuquerque Marchi
Doutor em Bioinformática pelo Instituto de Matemática e Estatística (IME) da USP, com pós-doutorado no A.C. Camargo Câncer Center. Atualmente, é Pesquisador no Instituto do Câncer do Estado de São Paulo (ICESP) e no Hospital das Clínicas da Faculdade de Medicina da USP.

Tratamento de Dados – Crianças e Adolescentes

combr — Mon, 16 Sep 2024 17:54:23 +0000

Tratamento de Dados – Crianças e Adolescentes

A partir da promulgação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o HCFMB apresenta a nova temporada do quadro LGPDicas, com a participação do Encarregado de Dados – DPO no âmbito do HCFMB e Diretor do Departamento de Infraestrutura, Marcelo Roberto Martins. Este texto conta também com a colaboração da servidora Alice Rogatto e Silva.

Marcelo Roberto Martins, Encarregado de Dados (DPO) do HCFMB, e Alice Rogatto e Silva, colaboradora do LGPDicas

Hoje, trazemos um tema que abrange tanto um aspecto profissional quando particular de nossas vidas. O tratamento de dados pessoais de crianças e adolescentes é um desafio tanto aos controladores dos dados pessoais desses “pequenos” titulares, quanto para os pais, avós ou responsáveis pelo menor.

O Estatuto da Criança e do Adolescente (ECA) define a criança como aquela com até 12 anos, enquanto o adolescente teria entre 12 e 18 anos. O Código Civil estipula que menores de 16 anos são “absolutamente incapazes” de exercer atos e deveres da vida civil, enquanto os maiores de 16 a 18 anos são “relativamente incapazes”.

A facilidade de acesso à Internet por meio de computadores e, principalmente, celulares, potencializa a exposição de dados pessoais de seus titulares e isso fica visível quando remetemos a uma pesquisa realizada pelo IBGE, em 2022, apontando que 54,8% de crianças entre 10 e 13 anos possuem celular.

Assim, temos um cenário onde de um lado, segundo a Legislação, encontram-se menores de idade que não possuem o mesmo discernimento e controle sobre seus dados pessoais do que adultos e, do outro, um mercado ávido por informação. Estendendo ainda o escopo, temos os mesmos titulares atendidos em nosso Hospital e, por consequência, também precisamos tratar seus dados para diversas finalidades, como: consultas, realização de exames, pesquisas, visitas, contratação de menores aprendizes, etc.

O que diz a LGPD

A Lei não prevê dados pessoais de menores de idade como sensíveis, porém ela traz obrigações mais rígidas quanto ao seu tratamento. Basicamente, o tratamento de dados de menores de idade deve ser realizado em seu “melhor interesse”. Isso significa que deverá atender aos interesses e direitos das crianças e adolescentes, não lhes causando nenhum prejuízo. Ainda, devem ser tratados dados mínimos necessários, sendo proporcionais e não excessivos à finalidade do tratamento de dados. Esses dados devem ser armazenados apenas pelo prazo necessário da finalidade do tratamento, podendo ser eliminados em seu término, exceto se houver uma hipótese autorizando sua manutenção.

De forma simplificada, todo tratamento de dados de menores deve ter uma finalidade e tempo específicos, definidos e claros, envolvendo o menor número necessário de dados pessoais e que seja baseado em seu melhor interesse ou hipótese legal de tratamento.

Desta forma, caso não ocorra uma base legal como condição para o tratamento de dados de menores de idade, a lei prevê que deverá haver consentimento específico e em destaque por um dos pais ou responsáveis, obtido pela instituição responsável pelo tratamento de dados. A instituição pode obter tal consentimento por meio de uma declaração, na qual simultaneamente informa os pais ou responsáveis sobre como serão tratados os dados, junto com a política de privacidade da instituição. Também é recomendado que a instituição indique a possibilidade de retirada de consentimento quando atingida a maioridade do titular.

Exemplos práticos

• Quando atendemos um menor para uma consulta, podemos utilizar, como base legal, a tutela da saúde e, assim, não precisamos do consentimento do pai ou responsável;

• Na visita de um menor a um paciente internado, seria necessário o consentimento de um responsável para a coleta de dados do mesmo;

• Na contratação de um menor aprendiz, há uma base legal para tratamento dos dados (celebração de contrato);

• Em caso de um estudo por órgão de pesquisa, dados de menores de idade podem ser tratados, contanto que garantida sempre que possível a anonimização. Em estudos de saúde pública, deve ser realizada a pseudonimização. Aqui, é importante que, na missão deste órgão de pesquisa, conste “pesquisa” como papel da Instituição;

• No caso de uma urgência para contatar pais ou responsáveis, a instituição controladora pode coletar os dados pessoais de menores sem o consentimento dos pais (melhor interesse do menor). Neste caso, esses dados deverão ser usados uma única vez e não deverão ser armazenados;

• Os pais e responsáveis também devem se manter alertas quanto ao uso de mídias sociais por seus filhos. Em 2021, uma matéria na revista Vice Itália relatou que um dos aplicativos mais utilizados para publicação de pequenos vídeos coletava dados pessoais de titulares sem que os mesmos possuíssem cadastro e que esses dados eram compartilhados com outro aplicativo. Ainda, Uma pesquisa publicada em 2022 sobre o uso de internet por crianças e adolescentes (TIC Kids Online Brasil) apontou que 58% das pessoas de 9 a 17 anos tinham esse aplicativo em seus celulares, 34% destas afirmaram ser a rede social mais utilizada e 48% das crianças de 11 a 12 anos afirmaram que este aplicativo era a mídia social mais utilizada.

Portanto, é importante entendermos que a LGPD traz destaque especial ao assunto e devemos nos preocupar com o tratamento de dados pessoais de menores no nosso Hospital, como também pelos inúmeros meios eletrônicos onde nossos pequenos passam grande parte de seu dia.

Você tem alguma sugestão de pauta para o LGPDicas? Envie um email para lgpd_encarregado.hcfmb@unesp.br.

Você conhece os tipos mais comuns de golpes online?

combr — Mon, 19 Aug 2024 10:47:20 +0000

Você conhece os tipos mais comuns de golpes online?

Imagem ilustrativa / Freepik

Marcelo Roberto Martins, Encarregado de Dados (DPO) do HCFMB, e Alice Rogatto e Silva, colaboradora do LGPDicas

Hoje em dia, são cada vez mais comuns os casos de golpes aplicados na internet pelos chamados “cybercriminosos”. Com o avanço da tecnologia, esses golpes são aplicados de formas diferentes, como por emails, redes sociais, ligações telefônicas, entre outras. Neste artigo, elencamos algumas das formas mais comuns de golpes, juntamente com algumas medidas de segurança e dicas de prevenção:

1. Roubo de identidade: é quando o criminoso finge ser outra pessoa, muitas vezes para obter vantagens ilícitas, como dinheiro. Esse crime pode causar um impacto significativo à vítima, que pode não só sofrer financeiramente com o golpe, mas também ter sua reputação abalada. Como o processo de reverter os danos causados por golpes desse tipo pode ser demorado, para prevenir um incidente como esse é recomendado que o acesso à suas contas pessoais, como conta bancária e mídias sociais, seja bem protegido com senhas fortes (com vários caracteres – letras, números, símbolos, etc) e a mesma não seja compartilhada. Um importante instrumento utilizado no HCFMB é o prontuário eletrônico do paciente, acessado por meio de senha que deve ser de uso individual e bem protegida;

2. Antecipação de recursos: é quando o golpista solicita um pagamento adiantado ou pede informações da vítima com a promessa de um benefício em troca, que nunca é dado. Casos como esses ocorrem, por exemplo, quando golpistas passam-se por médicos de um hospital e solicitam pagamento adiantado para realizar um procedimento ou exame em pacientes internados. Especificamente no HCFMB, devemos lembrar sempre que a instituição não cobra pelos serviços de assistência à saúde dos pacientes aqui atendidos. Assim sendo, recomendamos que, quando receber mensagens ou telefonemas com solicitações suspeitas, verifique a autenticidade do pedido e a identidade de quem fez a solicitação;

3. Phishing: a forma mais comum desse golpe é por email, onde por meio de mensagens, o golpista passa-se por uma pessoa ou organização confiável e bem conhecida, como um banco, hospital ou órgão governamental. Ao abrir a mensagem, a vítima pode ser direcionada a um site “fake” (semelhante ao verdadeiro) e, neste momento, são solicitados dados pessoais, inclusive senha, e todas as informações são direcionadas ao golpista sem que a vítima perceba o golpe.
Pode ocorrer também que, quando se abre uma mensagem deste tipo, ocorra a instalação de um programa malicioso no equipamento, ficando assim sua funcionalidade comprometida bem como seus dados pessoais.
Para se prevenir, recomendamos que desconfiem de sites que possuam algum erro em seu nome, não abra mensagens de destinatários desconhecidos e desconfie sempre de mensagens que solicitam usuário, senha, número de conta, etc. Uma dica para descobrir a veracidade de um site é utilizar informações de login erradas, pois, em sites falsos, não tem como verificar se a senha está correta ou não.

4. Golpes do WhatsApp: existem alguns tipos diferentes de golpes envolvendo o aplicativo. Por exemplo, para o golpe de clonagem do WhatsApp, o golpista, muitas vezes, obtém o número de celular da vítima em algum anúncio online. Em seguida, o criminoso finge pertencer a alguma empresa, e entra em contato com a vítima pedindo um código de verificação, o qual é usado para ativar o WhatsApp da mesma. Tendo controle da conta, o criminoso manda mensagem para seus contatos, pedindo dinheiro. Uma medida fundamental para se proteger de golpes do WhatsApp é habilitar a verificação de duas etapas do aplicativo, pois mesmo com o código de verificação, o golpista não conseguirá acessar o aplicativo devido ao código personalizado, definido pelo dono do celular. Ademais, recomendamos que jamais sejam compartilhados os códigos de verificação e, caso algum conhecido entre em contato pedindo dinheiro, que verifique a autenticidade do pedido.

Por fim, é importante que sempre estejamos atentos pois cada vez mais os golpes se sofisticam e tornam-se assim mais difíceis de serem notados. Especialmente no ambiente de trabalho, evite deixar seu computador ligado quando estiver longe de sua sala sem bloqueá-lo; evite deixar a tela aberta com informações que possam ser usadas por outros de forma indevida; tenha cuidado com lixos, rascunhos e anotações em sua mesa de trabalho que possam fornecer informações sobre você ou de terceiros, especialmente o prontuário do paciente, pois nunca podemos saber os perigos que podem estar à espreita.

Você conhece algum outro golpe não mencionado neste artigo? Envie um email para lgpd_encarregado.hcfmb@unesp.br.

Abrindo as portas para o futuro da saúde mais conectada

combr — Wed, 17 Jul 2024 12:11:59 +0000

Abrindo as portas para o futuro da saúde mais conectada

A utilização da telemedicina em nosso hospital representou um marco significativo na nossa jornada, no sentido de oferecer maior amplitude e abrangência no atendimento ao nosso paciente. É através da tecnologia que quebramos barreiras geográficas e conectamos pacientes a profissionais qualificados, independentemente de sua localização.

Marcelo Roberto Martins, Encarregado de Dados (DPO) do HCFMB, e Alice Rogatto e Silva, colaboradora do LGPDicas

Desta forma, pacientes que moram em regiões remotas podem ser atendidos com maior rapidez e facilidade, representando menor custo e maior conveniência aos mesmos.

Especificamente, a teleconsulta é um dos serviços da telemedicina, por meio do qual pacientes são atendidos à distância utilizando um canal de comunicação, a Internet, e equipamentos como computador, notebook, smartphone, câmeras de vídeos, e outros.

Porém, ao adentrarmos nesse novo universo de possibilidades, a segurança e a confidencialidade dos dados se tornam pilares fundamentais. A Lei Geral de Proteção de Dados (LGPD) e a Lei da Telemedicina (Lei nº 14.510/2022) nos guiam na construção de um ambiente digital seguro e confiável, onde as informações dos pacientes são protegidas com o máximo rigor.

Desta forma, trazemos algumas práticas e medidas de precaução que devem ser observadas, tanto do lado do paciente quanto do profissional de saúde.

Medidas para o paciente:

– Escolha um local tranquilo e livre de interrupções durante a consulta;
– Certifique-se de que a iluminação seja adequada e que o som esteja claro;
– Utilize fones de ouvido com microfone;
– Mantenha a câmera do dispositivo ligada e posicionada em um ângulo que permita ao médico visualizar seu rosto com clareza.
– Utilize uma rede de internet segura e confiável, de preferência à sua rede doméstica;
– Evite realizar teleconsultas em redes públicas, como cafés ou aeroportos;
– Mantenha o software antivírus e anti-malware do seu dispositivo atualizado;
– Informe-se sobre a política de privacidade da plataforma de teleconsulta utilizada.

Medidas para o profissional de saúde:

– Utilize uma plataforma de teleconsulta confiável e segura, que atenda aos requisitos da Lei Geral de Proteção de Dados (LGPD), da Lei da Telemedicina (Lei nº 14.510) e que tenha a certificação fornecida pela Sociedade Brasileira de Informática em Saúde (SBIS) ou garanta que todos os requisitos presentes no manual de certificação da SBCIS foram preenchidos;
– Mantenha a plataforma de teleconsulta atualizada com as últimas versões de software;
– Realize as teleconsultas em um local privado e confidencial, livre de interrupções;
– Utilize um dispositivo seguro, da Instituição e com acesso à internet confiável;
– Mantenha seus dados de login e senha em sigilo.
– Obtenha o consentimento formal do paciente para a realização da teleconsulta.
– Informe o paciente sobre os riscos e benefícios da teleconsulta.
– Esclareça ao paciente como seus dados serão coletados, armazenados e utilizados.
– Armazene os dados dos pacientes em um local seguro e protegido, de acordo com as normas da LGPD.
– Limite o acesso aos dados dos pacientes para apenas aos profissionais de saúde envolvidos no atendimento.
– Utilize canais de comunicação seguros para trocar informações com os pacientes, como e-mail criptografado ou uma plataforma segura de mensagens instantâneas.
– Evite enviar informações confidenciais dos pacientes por SMS ou redes sociais.
– Mantenha o software de comunicação atualizado com as últimas versões de segurança.

Lembre-se: A segurança na teleconsulta é um compromisso compartilhado entre o paciente e o profissional de saúde. Ao seguir estas medidas de precaução, você contribui para um atendimento seguro, confiável e de qualidade e juntos, construiremos um futuro de saúde mais seguro, acessível e conectado!

Quer sugerir um tema para as próximas edições? Escreva para lgpd_encarregado.hcfmb@unesp.br.