La Ley General de Protección de Datos Personales (LGPD), Ley N ° 13.709, de 14 de agosto de 2018, prevé el tratamiento de datos personales, incluso en medios digitales, por una persona física o por una persona jurídica de dominio público o derecho privado, con el objetivo de proteger los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad de la persona natural.

La LGPD ya se discutía en Brasil desde 2010, y el tema de la protección de datos cobró protagonismo cuando, en 2016, la empresa Cambridge Analytica utilizó datos de usuarios de la red social Facebook, con el propósito de realizar una política personalizada y más precisa. campaña en la elección de Donald Trump.

Debido a la gran cantidad de datos generados constantemente, varios países como Japón, Estados Unidos, Argentina y miembros de la Unión Europea terminaron creando una legislación específica que regula la protección de datos.

La LGPD es muy similar al GDPR (General Data Protection Regulation), Ley que regula la protección de datos de todos los países que pertenecen a la Unión Europea. La LGPD exige que las empresas y los organismos públicos cambien la forma en que recopilan, almacenan y utilizan los datos de las personas. En el área de la salud, el impacto puede ser grande para quienes no cumplen con la Ley.

Sobre LGPD


Según el artículo 2 de la LGPD, algunos de los fundamentos de la disciplina de la protección de datos personales son el respeto a la privacidad y la inviolabilidad de la intimidad, el honor y la imagen. La Ley tiene como objetivo proteger tres tipos de datos:

  • Datos personales: información relacionada con una persona física identificada o identificable. Es decir, es información general relacionada con la vida de la persona, como dirección, fecha de nacimiento, profesión, etc.
  • Dado pessoal sensível: - datos personales sobre origen racial o étnico, convicciones religiosas, opinión política, pertenencia a un sindicato u organización de carácter religioso, filosófico o político, datos relacionados con la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física. Es decir, es información que tiene un carácter más personal y privado sobre la vida íntima del usuario.
  • Datos anonimizados: datos relativos a un titular que no puedan ser identificados, considerando el uso de medios técnicos razonables disponibles en el momento de su tratamiento. Estos datos, a su vez, se utilizan solo en casos muy concretos.

El conjunto estructurado de estos datos personales se denomina base de datos, siendo el paciente el titular de estos datos personales. Puede establecerse en una o varias ubicaciones, electrónica o físicamente. Esto significa que no solo el software debe cumplir con la Ley: las clínicas que aún tienen registros en papel deben tener cuidado para que estos datos no caigan en las manos equivocadas.

Las clínicas que no cumplan con los estándares impuestos por la LGPD estarán sujetas a sanciones que pueden ir desde una advertencia, con indicación de un plazo para la adopción de medidas correctivas, hasta el pago de multas. Estas multas pueden ser simples, hasta el 2% de los ingresos de la clínica, pero pueden llegar a un límite de hasta R $ 50.000.000,00 (cincuenta millones de reales) por infracción, o en algunos casos más graves, la clínica puede tener sus actividades suspendidas.

¿Cuáles son los principales problemas relacionados con la seguridad y la privacidad en clínicas, consultorios, hospitales y entornos sanitarios?


Tanto para quienes usan registros en papel como para quienes ya usan software de gestión, existen problemas relacionados con la privacidad y seguridad de los datos de los pacientes. El primero que podemos mencionar es el hecho de que secretarios, administradores y profesionales ajenos al equipo de salud tienen acceso a la historia clínica, lo cual es una práctica ilegal.

Los profesionales de la salud pueden pedirle a la secretaria cierta información sobre el paciente antes de iniciar la atención, pero cuando se trata de datos personales sensibles (como información sobre su salud, que se puede encontrar en su historia clínica), es una práctica ilegal. En los casos en los que aún existe el uso del papel, aunque la secretaria solo transporte la historia clínica del paciente de una habitación a otra, se convierte en algo ilegal, por el simple hecho de tener un documento en la mano que debe ser manejado únicamente por el sanitario. profesional.

Otra actividad común es el hecho de que la secretaria usa el sello del profesional de la salud e incluso firma con su nombre cuando no está en la clínica o está ocupado con otro paciente. Esto puede ocurrir en documentos como certificados, declaraciones de asistencia e incluso recetas de medicamentos, lo cual está completamente prohibido.

Otro punto que se ha visto mucho, son las indicaciones de medicamentos por teléfono, por parte de las secretarias. Es importante recordar que solo un profesional calificado puede recetar medicamentos y solo él conocerá la mejor opción para el paciente.

En cuanto al uso del software, existe un problema relacionado con el inicio de sesión del usuario: en algunos casos, solo se utiliza una contraseña para que varias personas accedan al sistema. Algunas empresas de tecnología cobran en función del número de usuarios registrados, por lo que en clínicas y hospitales se acostumbra utilizar la misma contraseña para más de 10 enfermeras, por ejemplo.

Con el software de Ninsaúde, Apolo, los clientes pueden registrar tantos usuarios y profesionales de la salud como deseen, evitando este tipo de problemas. Sin embargo, es importante saber que el usuario aún puede actuar incorrectamente por sí mismo.

Antes de continuar, necesitamos saber: ¿usted utiliza software médico seguro para realizar sus citas? Te invitamos a descubrir Ninsaúde Apolo, un software online que se puede utilizar en una tableta, smartphone o de forma tradicional, en ordenadores. Obtenga más información en nuestro sitio web apolo.app.

¿Cuáles medidas se deben tomar?


Para minimizar los riesgos y evitar sanciones, una de las primeras medidas a tomar es abandonar el registro en papel. Por ley, los registros médicos convencionales deben conservarse durante al menos veinte años, contados a partir de la fecha del último registro de atención del paciente.

Sin embargo, uno de los mayores problemas del papel es que puede cambiar con el tiempo, haciendo que los documentos sean ilegibles o incluso provocando su pérdida total, como en casos de inundaciones, incendios o ciclones. La conservación de los documentos en papel tiene tres premisas: preservación, protección y mantenimiento, y para mantenerlos intactos es necesario protegerlos de la acción de cinco tipos de agentes que pueden dañarlos, a saber:

  • Agentes físicos: la luminosidad, la temperatura y la humedad son agentes que pueden dañar fácilmente sus registros en papel. La luz es uno de los factores más agravantes en el proceso de degradación de los materiales bibliográficos, mientras que la temperatura puede deteriorar el documento incluso si las condiciones de conservación son buenas, así como la humedad excesiva, que puede dañarlo fácilmente.
  • Agentes químicos: la acidez del papel, cuando se encuentra en niveles altos, puede reducir su vida útil, y más aún cuando se combina con factores como las altas temperaturas y una gran variación en la humedad relativa del aire. La contaminación del aire es también una de las principales causas de la degradación química del papel. Es importante saber que la tinta, uno de los compuestos más importantes de la documentación, también puede cambiar con el tiempo.
  • Agentes biológicos: los insectos, hongos y roedores pueden causar graves daños a los registros en papel. La mayoría de los hongos producen pigmentos que manchan el papel, mientras que los principales insectos que causan daños son los barrenadores y gorgojos, polillas, termitas y cucarachas.
  • Agentes ambientales: una mala ventilación junto con el polvo promueven la aparición de agentes biológicos en los materiales gráficos, que pueden resultar en su daño.
  • Agentes humanos: además de que dichos documentos puedan caer en manos de personas no autorizadas, su manejo inadecuado, como tener las manos sucias o comer al consultarlos, grasa y sudor en las manos, son algunos de los factores de deterioro.

Ahora que conocemos los riesgos del uso de registros en papel, vamos a destacar a continuación algunas medidas adecuadas con respecto a los registros electrónicos.

Control de acceso


Si bien todos estos registros se encuentran en posesión del profesional de la salud en su lugar de atención (clínica, consultorio, hospital, etc.), este documento es propiedad del paciente, y el establecimiento debe proporcionarlo siempre que sea necesario, tal como lo garantiza la ley. que cualquier ciudadano tiene derecho a acceder a todos y cada uno de los datos sobre él.

Por lo tanto, el intercambio de la historia clínica o copias de la misma solo se puede proporcionar con la autorización del paciente, por lo que el software médico en el que se almacenará dicha información debe contener un estricto control de acceso.

El primer control de acceso que debe tener un software es mediante contraseñas. Cada persona que utiliza el software debe tener su acceso controlado mediante una contraseña por usuario. En el software Ninsaúde Apolo, además de contraseña y nombre de usuario, la persona debe completar el campo "cuenta", que se refiere al registro del establecimiento en Ninsaúde, lo que aumenta considerablemente la seguridad de los datos. Puede obtener más información sobre esto en nuestro artículo donde hablamos sobre la importancia de contraseñas bien elaboradas.

Luego de habilitar el acceso de estos usuarios a través de contraseñas, en Ninsaúde Apolo también es posible que el administrador del software limite las pantallas que usarán ciertos usuarios. Esta acción no solo evita que un usuario no autorizado vea la información financiera de la clínica, por ejemplo, sino que también evita el acceso a los datos del paciente, que está restringido solo a profesionales de la salud. Esta restricción de pantalla se puede realizar a través de grupos de usuarios.

En el caso de los profesionales de la salud, en algunos casos como la cirugía bariátrica por ejemplo (que es un tipo de procedimiento médico que necesita ser monitoreado por un equipo de salud multidisciplinar), cada profesional contribuirá de alguna manera en la preparación y recuperación del paciente, por lo tanto, todos los involucrados deben compartir información médica sobre el paciente.

En este caso, el software puede posibilitar la creación de grupos de profesionales, donde solo los profesionales que se encuentren en ese grupo pueden tener acceso a la información del paciente, siempre que éste lo haya autorizado.

Criptografía de datos


El cifrado de datos es un proceso que busca eliminar las posibilidades de que terceros obtengan acceso a los datos. El cifrado de datos estáticos y móviles es de suma importancia y difícil de implementar, por lo que ya se ha considerado un gran desafío tecnológico para algunas empresas y sigue siéndolo para otras.

En cuanto al uso de software, el cifrado de datos puede estar presente en varias etapas: almacenamiento de información, comunicación interna, comunicación entre la aplicación y el servidor de datos, inicio de sesión del usuario y pagos en línea.

En el software en la nube (como Ninsaúde Apolo), cuando la URL de la página web comienza con "https", indica que sus datos serán encriptados y transferidos a través de un protocolo seguro. También existe la presencia de un ícono de candado, generalmente en la esquina izquierda del navegador, que indica que su información permanece privada cuando se envía a este sitio.

En Ninsaúde Apolo, los datos se cifran automáticamente antes de escribirse en el disco. Cada clave de cifrado está cifrada con un conjunto de claves maestras. Las políticas de cifrado y claves se gestionan de la misma forma, en el mismo almacén de claves, que los servicios de producción de Google. En este mismo sentido, también hay criptografía en movimiento. Los datos en movimiento están encriptados con un certificado SSL de 2048 bits que cambia sus claves cada tres meses.

Otro detalle es que trabajamos con seguridad de punta a punta y encriptación de calidad Grado A, que protege los datos en tránsito de las principales vulnerabilidades de Internet. Además, Ninsaúde Apolo utiliza más de 30 centros de datos repartidos por Sudamérica, Norteamérica, Europa, Asia y el Pacífico, y con esta distribución absorbemos ataques distribuidos. Finalmente, nuestra infraestructura está certificada para cumplir con varios estándares y controles, así como para someterse a auditorías independientes de terceros para probar la protección de datos, la privacidad y la seguridad.

Ahora que sabe cómo proteger los datos de sus pacientes con Ninsaúde Apolo, su clínica también puede estar más segura. Si aún no es usuario del software, contáctenos a través del sitio web Apolo.app y obtenga más información.