A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) foi sancionada em 14 de agosto de 2018 e entrou em vigor em 18 de setembro de 2020, com sanções administrativas aplicáveis desde 1º de agosto de 2021.
A LGPD representa um marco histórico na regulamentação sobre o tratamento de dados pessoais no Brasil, estabelecendo regras claras para coleta, armazenamento, uso e compartilhamento de informações pessoais, tanto em meios físicos quanto digitais, por instituições públicas e privadas.
Contexto histórico
A proteção de dados no Brasil já era prevista implicitamente na Constituição Federal de 1988, que garante a inviolabilidade da intimidade e vida privada. Em 1993, o Código de Defesa do Consumidor trouxe dispositivos específicos sobre cadastros e bancos de dados. O Marco Civil da Internet (2013) avançou ainda mais na proteção da privacidade digital.
A LGPD brasileira foi inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, que entrou em vigor em 2018 e é considerado referência mundial em proteção de dados. O contexto de criação da lei brasileira também responde ao aumento expressivo de crimes cibernéticos no país, que em 2018 causavam prejuízos estimados em R$ 10 bilhões anuais.
Em 2019, foi instituída a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar e aplicar as sanções previstas na lei. Em 2022, a proteção de dados pessoais foi elevada ao status de direito fundamental pela Emenda Constitucional nº 115/2022.
Objetivos da LGPD
A lei tem como fundamentos:
- Proteger os direitos fundamentais de liberdade e privacidade
- Garantir o livre desenvolvimento da personalidade
- Promover a autodeterminação informativa (controle sobre os próprios dados)
- Criar segurança jurídica nas relações digitais
- Fomentar o desenvolvimento econômico e tecnológico responsável
LGPD na área da saúde
A aplicação da LGPD no setor de saúde é particularmente rigorosa, pois envolve dados pessoais sensíveis — categoria que recebe proteção mais restrita por lei.
O que são dados sensíveis na saúde
De acordo com o artigo 5º da LGPD, dados sensíveis são aqueles relacionados à:
- Saúde física e mental do paciente
- Diagnósticos, exames e tratamentos
- Histórico clínico e prontuários
- Condições genéticas
- Orientação sexual e identidade de gênero (quando relevantes ao tratamento)
- Informações biométricas
Todo dado relacionado à saúde é considerado sensível, independentemente de parecer menos crítico. Até informações aparentemente simples, como medicamentos comprados com frequência, podem revelar condições de saúde e são protegidas pela LGPD.
Tratamento de dados na saúde
"Tratamento" engloba qualquer operação realizada com dados pessoais: coleta, armazenamento, processamento, transmissão, compartilhamento, arquivamento e eliminação.
Para profissionais e instituições de saúde, a LGPD estabelece que:
1. Consentimento informado é essencial O paciente deve ser informado de forma clara sobre quais dados serão coletados, para que finalidade, quem terá acesso e por quanto tempo serão armazenados. O consentimento deve ser livre, explícito e inequívoco.
2. Finalidade específica Os dados só podem ser usados para o propósito informado ao paciente. Não é permitido usar informações coletadas para atendimento clínico em outras finalidades (como marketing) sem novo consentimento.
3. Necessidade e minimização Só devem ser coletados os dados estritamente necessários para o atendimento. Informações desnecessárias não devem ser solicitadas.
4. Transparência O paciente tem direito de saber quem são os responsáveis pelos dados (controlador e operador), como acessá-los, corrigi-los ou solicitar sua eliminação.
5. Segurança e sigilo Medidas técnicas e administrativas devem garantir a proteção dos dados contra vazamentos, acessos não autorizados e uso indevido.
Compartilhamento de dados
Na prática médica, é comum compartilhar dados entre profissionais (encaminhamentos), laboratórios, hospitais e operadoras de saúde. A LGPD permite esse compartilhamento, mas com condições:
- O paciente deve ser informado com quem seus dados serão compartilhados
- O compartilhamento deve ter finalidade específica e legítima
- Os receptores dos dados também devem cumprir a LGPD
- Informações protegidas por sigilo profissional continuam protegidas
Armazenamento e retenção
O Conselho Federal de Medicina (CFM) determina que prontuários médicos devem ser armazenados por pelo menos 20 anos em formato físico, ou permanentemente se digitais. A LGPD não conflita com essa exigência, mas adiciona requisitos de segurança sobre como esses dados devem ser mantidos.
Sanções e penalidades
O descumprimento da LGPD pode resultar em:
- Advertência com prazo para adequação
- Multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração)
- Multa diária
- Publicização da infração
- Bloqueio ou eliminação dos dados
- Suspensão parcial ou total das atividades
Além das sanções administrativas, há responsabilização civil e criminal por vazamento ou uso indevido de dados de pacientes.
Como a Klinity garante conformidade com a LGPD
A Klinity foi desenvolvida desde o início com conformidade total à LGPD. Implementamos medidas técnicas, administrativas e organizacionais para garantir a proteção dos seus dados e dos seus pacientes.
Bases legais do tratamento
Operamos sob bases legais claras previstas na LGPD:
- Consentimento: quando você cria uma conta e autoriza o tratamento dos dados
- Execução de contrato: para fornecer os serviços contratados
- Tutela da saúde: para processamento de dados relacionados à assistência à saúde
- Legítimo interesse: para melhorias do serviço, sempre respeitando seus direitos
Princípios aplicados
Finalidade: Seus dados são usados exclusivamente para fornecer o serviço de transcrição e geração de documentos clínicos. Nunca usamos seus dados para outros fins.
Adequação e necessidade: Coletamos apenas as informações essenciais para o funcionamento da plataforma. Não pedimos dados desnecessários.
Transparência: Você sempre sabe quais dados temos, como os usamos e pode acessá-los a qualquer momento.
Segurança: Implementamos criptografia de ponta a ponta (AES-256), armazenamento seguro e controles de acesso rigorosos.
Não discriminação: Seus dados nunca são usados para fins discriminatórios, ilícitos ou abusivos.
Direitos do titular
Como profissional de saúde usando a Klinity, você tem total controle sobre seus dados:
- Confirmação de existência de tratamento
- Acesso aos dados armazenados
- Correção de dados incompletos ou desatualizados
- Eliminação de dados mediante solicitação
- Portabilidade para outro fornecedor
- Revogação do consentimento a qualquer momento
Para exercer esses direitos, entre em contato com contato@klinity.com.
Seus pacientes também estão protegidos
Os dados dos seus pacientes (gravações, transcrições e documentos gerados) são tratados como dados pessoais sensíveis com a máxima proteção:
- Armazenados com criptografia
- Acessíveis apenas por você
- Nunca compartilhados com terceiros
- Nunca usados para treinar modelos de IA
- Eliminados permanentemente quando você solicitar
Encarregado de Dados (DPO)
A Klinity designou um Encarregado de Proteção de Dados (Data Protection Officer - DPO) responsável por:
- Aceitar reclamações e comunicações dos titulares
- Prestar esclarecimentos sobre tratamento de dados
- Orientar funcionários e colaboradores sobre práticas de proteção de dados
- Interagir com a ANPD quando necessário
Contato do DPO: dpo@klinity.com
Medidas de segurança implementadas
- Criptografia TLS 1.3 para dados em trânsito
- Criptografia AES-256 para dados em repouso
- Controles de acesso baseados em função
- Logs de auditoria de todos os acessos
- Backups automáticos criptografados
- Monitoramento contínuo de segurança
- Plano de resposta a incidentes
- Revisões periódicas de segurança
Conformidade internacional
Além da LGPD, a Klinity também atende aos requisitos da HIPAA (Health Insurance Portability and Accountability Act), lei norte-americana de proteção de dados de saúde, reconhecida como padrão ouro mundial.
Suas obrigações como profissional de saúde
Ao usar a Klinity, você continua sendo o controlador dos dados dos seus pacientes. Isso significa que você deve:
- Informar seus pacientes sobre o uso da plataforma
- Obter consentimento quando aplicável
- Garantir que apenas pessoas autorizadas acessem a plataforma
- Não compartilhar suas credenciais de acesso
- Manter senhas seguras
A Klinity atua como operador de dados, processando as informações conforme suas instruções e em conformidade com a lei.
Dúvidas sobre LGPD e a Klinity?
Se tiver questões sobre como tratamos seus dados ou sobre conformidade com a LGPD, entre em contato com nosso Encarregado de Dados: contato@klinity.com.
Artigos relacionados: