Um processo clínico diz muito mais do que um cartão de crédito. Revela diagnósticos, tratamentos, antecedentes familiares e hábitos que acompanham uma pessoa toda a vida. Por isso o RGPD (Regulamento UE 2016/679) não trata o dado de saúde como mais um. Coloca-o na categoria de dados mais protegida, com obrigações que vão muito além do departamento jurídico ou dos sistemas de informação.
Numa clínica, num hospital ou num laboratório, grande parte dessas obrigações acaba nas mãos de quem atende o balcão, do enfermeiro que regista um episódio ou do administrativo que responde a um e-mail. Cumprir o RGPD na saúde é, antes de mais, uma questão de pessoas preparadas.
O que são dados de saúde para o RGPD?
Os dados relativos à saúde são os dados pessoais que revelam informação sobre o estado de saúde físico ou mental de uma pessoa, incluindo a prestação de cuidados de saúde. É assim que o artigo 4.º do RGPD os define, e abrange tudo, do diagnóstico ao número de processo clínico, de um resultado laboratorial ao simples facto de alguém ter ido a uma consulta.
O artigo 9.º classifica-os como categoria especial de dados. A consequência prática é direta. O seu tratamento é proibido, salvo se existir uma base específica que o permita, como o consentimento explícito da pessoa ou a prestação de cuidados de saúde por um profissional sujeito a sigilo. A base geral que serve para outros dados pessoais não é suficiente aqui.
Esta distinção importa porque eleva o nível de exigência. O mesmo descuido (um e-mail enviado ao destinatário errado, uma pasta partilhada sem controlo) tem um impacto e uma responsabilidade muito diferentes quando o que circula é informação de saúde.
O que exige o RGPD a uma organização de saúde?
O regulamento reparte a responsabilidade pelos dados por toda a organização. Três obrigações recaem de forma especialmente clara no dia a dia de quem trabalha com informação de doentes.
Segurança do tratamento como hábito diário. O artigo 32.º obriga a aplicar medidas técnicas e organizativas adequadas ao risco. Num contexto de saúde isso inclui a cifragem e o controlo de acessos, mas também algo menos visível. Cada pessoa deve saber tratar a informação com cuidado, não reutilizar palavras-passe, verificar a quem envia uma mensagem e compreender porque é registado o acesso a um processo clínico.
Responsabilidade proativa. O artigo 5.º pede que se consiga demonstrar o cumprimento, não apenas cumprir. Para uma organização de saúde significa que a formação, as políticas e os registos têm de estar documentados e disponíveis, porque o ónus da prova recai sobre o responsável pelo tratamento.
Avaliação de impacto quando o risco é elevado. O tratamento em larga escala de dados de saúde exige normalmente uma avaliação de impacto sobre a proteção de dados (artigo 35.º). Essa análise identifica os riscos do tratamento e as medidas para os mitigar, e mostra com frequência que o maior risco está no comportamento diário das pessoas mais do que na tecnologia.
Como se deteta e notifica uma violação de dados de saúde?
Quando ocorre uma violação de segurança que afeta dados pessoais, o RGPD inicia um relógio. O artigo 33.º obriga a notificá-la à autoridade de controlo no prazo de 72 horas a contar do momento em que se tem conhecimento dela. Se a violação implicar um risco elevado para as pessoas afetadas, o artigo 34.º exige ainda comunicá-la diretamente às mesmas.
Esse prazo só se cumpre se a organização der por ela a tempo, e é aqui que o fator humano volta ao centro. Segundo o relatório Verizon DBIR, o fator humano intervém em cerca de 6 de cada 10 violações de segurança. Na saúde, a pessoa que recebe um e-mail suspeito ou deteta um acesso invulgar é muitas vezes a primeira linha capaz de dar o alerta.
A diferença entre notificar dentro das 72 horas ou descobrir o incidente semanas depois quase nunca depende de uma ferramenta. Depende de quem viu algo estranho saber o que é um incidente e a quem reportá-lo sem receio de errar. Construir essa capacidade de deteção e reporte é uma tarefa de sensibilização, não de infraestrutura.
O que tem de conseguir demonstrar numa auditoria?
Perante uma inspeção ou uma auditoria, a pergunta não é se a organização deu uma sessão uma vez. É se consegue provar que as pessoas certas receberam a formação certa e que essa formação se mantém ao longo do tempo. Três evidências fazem a diferença:
- Registos de formação por público. Quem completou que conteúdo e quando, distinguindo o pessoal clínico do administrativo ou de direção, porque nem todos tratam o mesmo tipo de dado nem correm o mesmo risco.
- Políticas comunicadas e aceites. Não basta que exista uma política de tratamento da informação; é preciso conseguir mostrar que foi divulgada e que as pessoas a conhecem.
- Rastreabilidade das ações do responsável. Avaliações, lembretes, simulações e os seus resultados ao longo do tempo, para sustentar a responsabilidade proativa do artigo 5.º.
É o trabalho que fazemos na SMARTFENSE todos os dias, com programas de sensibilização mapeados nos artigos do RGPD, segmentados por público e com a evidência de formação pronta para auditoria. A plataforma transforma uma obrigação difusa em registos concretos que o responsável pelo tratamento pode apresentar quando lhos pedem.
O cumprimento vive nas pessoas
O RGPD na saúde não se resolve comprando uma tecnologia nem assinando um documento. Assenta em profissionais que reconhecem um dado sensível, sabem protegê-lo e agem a tempo quando algo falha. A tecnologia coloca as barreiras; as pessoas decidem se são respeitadas.
Se a sua organização trata dados de saúde e quer passar da boa intenção à evidência demonstrável, o primeiro passo é medir o que as suas equipas sabem e fazem hoje. Esse diagnóstico mostra onde está o risco real e por onde começar.
Descubra como abordar o cumprimento do RGPD a partir do fator humano e apoie-se na plataforma SMARTFENSE para deixar cada obrigação documentada.
Para aprofundar obrigações concretas, a sensibilização como requisito da proteção de dados pessoais, o controlo 6.3 da ISO 27001 sobre sensibilização e a profundidade técnica da NIS2 para responsáveis de conformidade são bons pontos de partida.
Deixe um comentário