Nova lei de preservação do sigilo de dados de Saúde e a Privacidade de Dados nas empresas

Começamos o ano de 2022 com a nova lei 14.289/22 promulgada, que basicamente obriga as empresas, inclusive do setor de saúde, a manterem em estrito sigilo as informações de pessoas que possuem determinadas enfermidades, como Tuberculose, HIV, Hepatite e Hanseníase. Ou seja, nem mesmo o RH poderá ter acesso a essas informações sem um consentimento da pessoa.

A LGPD já controlava e punia a divulgação sem autorização de dados sensíveis de saúde, porém essa nova lei traz um cuidado específico, em relação às enfermidades citadas. Dessa forma, se torna imprescindível e urgente que os processos mapeados dentro das áreas de Recursos Humanos sejam revistos, e que alguns mecanismos possam ser implementados, como:

  • Controle do acesso a esses dados estritamente feitos pela área médica, de forma a não identificar pessoas;
  • Garantia de que a classificação da informação esteja sendo corretamente aplicada e com a devida rotulagem dos documentos, de forma a sinalizar dados médicos sensíveis e sigilosos;
  • Controle em relação ao consentimento ao acesso a esses dados, para o caso em que seja necessário identificar a pessoa;
  • Análise e classificação das bases legais que suportam o direito dos profissionais do RH e outros colaboradores da área médica, jurídica, entre outras, a realizarem os devidos tratamentos dos referidos dados. (Nem todos os tratamentos de dados necessitam de consentimento, depende do enquadramento da base legal que é feito pelo jurídico);
  • Reforçar as campanhas de conscientização dos colaboradores, de forma que todos sejam informados sobre os processos relacionados ao tratamento de dados médicos sensíveis;
  • Medidas de segurança como:
  1. Anonimização – Técnica aplicada de forma a não ser possível a identificação do Titular dos dados pessoais;
  2. Tokenização de dados – Técnica que substitui o dado por um Token, que impede a visualização por usuários não autorizados;
  • Implementar criptografia desses dados em repouso, nos casos em que a identificação seja permitida;
  • Execução de auditoria de DUE Diligence nos parceiros externos, como consultorias jurídicas, corretoras de seguro saúde e toda a cadeia de compartilhamento por onde esses dados trafegam, de forma a garantir que as melhores práticas de segurança da informação sejam adotadas pelos parceiros de negócios;
  • Atenção especial para criptografia nos sistemas de Backup e Archiving, bem como na destruição segura dos dados;
  • Para documentos físicos, como laudos de exames, declarações e outros documentos, a corporação deverá ter atenção na segurança física do local onde esses dados são armazenados, seja na própria corporação ou nas empresas terceiras contratadas para digitalização e arquivamento dessas informações.

Em caso de descumprimento da lei 14.289/22, a empresa ou pessoa que cometer a infração pode sofrer sanções administrativas, além de indenizar a vítima por danos materiais e morais, podendo ter esse valor agravado em caso de intencionalidade na divulgação dessas informações.

Confira também o artigo: Privacy by Design ou o pós implementação da LGPD: o que as empresas precisam para garantir a privacidade no seu dia a dia

Para preservar e reforçar a garantia da Constituição Federal à dignidade da pessoa humana, a nova lei reforça a LGPD e avança além das áreas de saúde, para abarcar todas as demais áreas, sem distinção entre empresas públicas e privadas. Exigindo, assim, que todas modifiquem seu “modus operandi” em relação a dados de saúde.

Então, a partir de agora, será necessário mudar os processos culturais e tecnológicos para garantir que os direitos dos titulares sejam respeitados. Ou seja, as empresas não podem esperar por uma futura e incerta auditoria de ANPD, mas devem já começar a se preparar e ficar atentas, a partir de então, em relação aos processos individuais de vítimas de divulgações como essas.

A lei já está em vigor e as mudanças devem ocorrer rapidamente. Por isso, é importante buscar um especialista em proteção e privacidade de dados, ou em cibersegurança para possíveis revisões.

Visite nosso site para saber mais sobre as soluções GFT de tecnologia e cibersegurança.

Post a Comment

* indicates required

O tratamento de dados é feito pela GFT Technologies SE. O comentário ficará visível para todos os usuários e os dados relacionados a ele serão processados com base no seu consentimento expresso ao deixar o comentário. Você tem o direito de retirar seu consentimento a qualquer momento. Para mais informações, veja nossa Política de Privacidade.