GDRP no setor de saúde e assistência social

O que é o GDPR?

O GDPR é a nova legislação da UE que substituirá a Lei de Proteção de Dados em 25 de maio de 2018. GDPR significa “Regulamento Geral de Proteção de Dados”. Há duas razões principais pelas quais o GDPR está sendo introduzido: colocar todos os estados membros da UE sob um regulamento comum e atualizar os regulamentos para refletir nossa nova era digital.

Anteriormente, diferentes países da UE seguiram regras e regulamentações diferentes quando se trata de compartilhamento de dados e privacidade, o que pode ficar bastante confuso quando os dados são compartilhados entre pessoas e empresas em diferentes países. O GDPR será aplicado em todos os 28 estados membros da UE, o que significa que todos estão seguindo as mesmas regras.

No Reino Unido, as empresas seguiram a Lei de Proteção de Dados de 1998 para garantir a segurança dos dados das pessoas. Mas a tecnologia e o compartilhamento de dados se desenvolveram muito desde 1998. Isso significa que a regulamentação atual pode não ser totalmente adequada às necessidades dos consumidores e aos tipos de tecnologia que estamos vendo hoje. O GDPR substituirá a Lei de Proteção de Dados para proteger melhor os dados contra violações e hacks.

Exemplos de dados pessoais

O GDPR se aplica a “dados pessoais”, ou seja, qualquer informação relacionada a uma pessoa identificável que possa ser identificada direta ou indiretamente, em particular por referência a um “identificador”.

O GDPR se aplica tanto aos dados pessoais automatizados quanto aos sistemas de arquivamento manual, nos quais os dados pessoais são acessíveis de acordo com critérios específicos. Isso pode incluir conjuntos de registros manuais ordenados cronologicamente contendo dados pessoais.

Exemplos de dados pessoais incluem, mas não estão limitados a:

• Nome
• Data de nascimento
• Preferências pessoais
• Dados de endereço ou localização
• Gênero/Sexualidade
• Número NHS/CHI
• Ocupação
• Detalhes de contato

“Processamento de dados” é uma frase que aparece regularmente em todo o GDPR. O processamento de dados inclui, mas não está limitado a, ler, armazenar e inserir tipos de dados.

Além disso, dados pessoais que foram pseudonimizados — por exemplo, codificados por chave — podem se enquadrar no escopo do GDPR, dependendo da dificuldade de atribuir o pseudônimo a um determinado indivíduo.

Quem afeta o GDPR

Essencialmente, o GDPR afetará todos em todos os 28 estados membros da UE, desde empresas grandes e pequenas até clientes e consumidores. Isso inclui TODOS os prestadores de cuidados que processam dados de identificação pessoal.

O que o GDPR muda

1. A escala de multas e o risco de reclamações privadas subsequentes de acordo com o GDPR significam que a conformidade real é essencial. O GDPR não é um desafio legal e de conformidade — é muito mais amplo do que isso, exigindo que as organizações transformem a maneira como coletam, processam, armazenam, compartilham e apagam dados pessoais com segurança. O engajamento da gerência sênior e a formação da equipe certa são fundamentais para a preparação bem-sucedida do GDPR.
2. As organizações precisarão mapear a coleta e o uso atuais de dados, realizar uma análise de lacunas de sua conformidade atual com o GDPR e, em seguida, criar e implementar um plano de remediação, priorizando áreas de alto risco.
3. O GDPR exigirá que fornecedores e clientes revisem as cadeias de suprimentos e os contratos atuais. Os contratos podem precisar ser renegociados para garantir a conformidade com o GDPR e os termos comerciais inevitavelmente precisarão ser revistos em muitos casos, devido ao aumento dos custos de conformidade e aos maiores riscos de não conformidade.
4. Os acordos de seguro precisarão ser revisados e a exposição à proteção cibernética e de dados será adicionada às apólices existentes ou adquirida como apólices independentes, sempre que possível. Os termos das políticas exigirão uma análise cuidadosa, pois há uma grande variação entre os termos e muitas políticas podem não ser adequadas para os tipos de perdas que podem ocorrer sob o GDPR.

‍

Direitos dos indivíduos‍

De acordo com o GDPR, os indivíduos terão direitos ampliados, incluindo os seguintes:

1. O direito de ser informado— você deve informar às pessoas por que você está processando os dados e fornecer um aviso de privacidade para informar as pessoas e com transparência sobre como você usa os dados pessoais.
2. O direito de acesso— você deve confirmar que seus dados estão sendo processados e dar acesso às suas informações pessoais.
3. O direito de retificação— você deve permitir que as informações das pessoas sejam alteradas se as informações estiverem imprecisas ou incompletas.
4. O direito de ser esquecido— o direito ao apagamento também é conhecido como “o direito de ser esquecido”. Esse direito permite que um indivíduo solicite a exclusão ou remoção de dados pessoais quando não houver motivo convincente para seu processamento contínuo.

‍

Responsabilidade

O GDPR exige que “o controlador seja responsável e possa demonstrar a conformidade com os princípios”.

Os dados que você processa devem ser:

1. Obtido de forma legal, justa e transparente
2. Para uma finalidade específica e legítima
3. Adequado, relevante e necessário de acordo com o propósito declarado
4. Processados e mantidos com segurança de forma adequada ao tipo de dados que estão sendo mantidos
5. Preciso e atualizado, mantido apenas pelo tempo necessário

‍

Responsabilidade

Os controladores de dados e os processadores de dados podem ser responsabilizados, portanto, você precisará:

1. Siga medidas de governança abrangentes, mas proporcionais
2. Faça uso das ferramentas de boas práticas descritas pelo Gabinete do Comissário da Informação (ICO), como avaliações de impacto na privacidade
3. Minimize o risco de violações

‍

GDPR contém os princípios abaixo e exige que os dados pessoais sejam:

1. Processado de forma legal, justa e transparente em relação aos indivíduosColetados para fins específicos, explícitos e legítimos e não processado posteriormente de maneira incompatível com esses propósitos. O processamento adicional para fins de arquivamento no interesse público, para fins de pesquisa científica ou histórica ou para fins estatísticos não deve ser considerado incompatível com os propósitos iniciais.
2. Adequado, relevante e limitado ao que é necessário em relação às finalidades para as quais são processados.
3. Preciso e, quando necessário, atualizado. Todas as medidas razoáveis devem ser tomadas para garantir que os dados pessoais imprecisos, tendo em conta as finalidades para as quais são processados, sejam apagados ou retificados sem demora.
4. Mantido em um formulário que permite a identificação dos titulares dos dados por não mais do que o necessário para os fins para os quais os dados pessoais são processados. Os dados pessoais podem ser armazenados por períodos mais longos, desde que os dados pessoais sejam processados exclusivamente para fins de arquivamento de interesse público, para fins de pesquisa científica ou histórica ou para fins estatísticos, sujeitos à implementação das medidas técnicas e organizacionais apropriadas exigidas pelo GDPR, a fim de salvaguardar os direitos e liberdades dos indivíduos.
5. Processado de forma a garantir a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais apropriadas

Como demonstrar conformidade

A nota de orientação do Gabinete do Comissário da Informação afirma que você deve:

1. Implementar medidas técnicas e organizacionais apropriadas que garantem e demonstram que você está em conformidade. Isso pode incluir políticas internas de proteção de dados, como treinamento de pessoal, auditorias internas e atividades de processamento e revisões de políticas internas de RH.
2. Mantenha a documentação relevante nas atividades de processamento.

‍

Você precisará garantir que as informações pessoais sejam:

1. Processado de forma justa, legal e transparente
2. Coletado para fins específicos e limitados
3. Adequado, relevante e limitado ao que é necessário
4. Preciso e atualizado
5. Mantido em um formulário que permite a identificação pelo tempo necessário e não mais
6. Processado de forma a garantir a segurança adequada

‍

Há penalidades significativas para aqueles que não cumprem, incluindo uma multa de até €20 milhões ou 4% do lucro total da empresa. Qualquer violação de dados também precisa ser relatada às autoridades relevantes dentro de 72 horas e, se houver um risco envolvido para o titular dos dados (ou seja, as pessoas a quem os dados dizem respeito), você também deverá informar seus clientes.

Obter a certificação GDPR

Você pode obter a certificação GDPR, mas não precisa. A conformidade com o GDPR é autocertificada. O GDPR reconhece expressamente as “certificações externas” como mecanismos aceitáveis para demonstrar conformidade, no entanto, não exige nenhuma.

Onde os dados do GDPR são armazenados

Como prestador de cuidados, você provavelmente terá dados armazenados em vários meios diferentes.

Para estar em conformidade com o GDPR, você deve ter um motivo documentado para armazenar dados pessoais e uma explicação do motivo pelo qual eles são armazenados em cada formato. Você deve considerar onde seus dados são mantidos:

Registros em papel
Você deve garantir que todos os seus registros em papel sejam documentados e contabilizados, incluindo, mas não se limitando a, planos de cuidados, registros diários, gráficos, informações da equipe e detalhes de contato de terceiros.

Pendrives e discos rígidos criptografados padrão ou por software
De acordo com o padrão GDPR ou mesmo com software, as unidades USB criptografadas não serão compatíveis.

Uma unidade USB comum armazena todos os dados que você armazena nela, nunca removendo nada até que seja absolutamente necessário. Os arquivos não são realmente excluídos quando você pressiona a exclusão de um arquivo ou esvazia a lixeira - nem mesmo quando você formata rapidamente uma unidade USB comum - todos os dados, em alguns casos, ainda podem ser recuperados. Isso deixa a unidade USB padrão não apenas com traços do que foi armazenado nela, mas, em muitos casos, com cópias completas. Uma unidade USB criptografada por software também não é compatível, pois a criptografia geralmente pode ser removida.

Os pendrives e discos rígidos criptografados por hardware oferecem conformidade, pois há processadores criptográficos embutidos nos dispositivos.

Imprimindo a partir de um sistema de computador
Se você imprimir registros ou planos de cuidados a partir de uma plataforma digital, terá duas cópias. Ambas as cópias precisarão ser documentadas e fornecidas evidências de como elas são processadas.

A nuvem
Armazenar seus documentos com um provedor de armazenamento em nuvem ou um sistema de atendimento digital, como o StoriiCare, que usa armazenamento em nuvem, é uma boa maneira de se tornar compatível com o GDPR. Consulte seu provedor de nuvem para ver a documentação de conformidade com o GDPR.

Preparando-se para o GDPR

Recomendamos obter aconselhamento jurídico independente para apoiar seus preparativos, mas um bom ponto de partida, caso ainda não tenha feito isso, seria:

1. Faça perguntas ao (s) seu (s) fornecedor (es) de software para obter evidências de conformidade com o GDPR
2. Documente quais dados você está mantendo sobre quem e por quê
3. Entenda e defina por que você mantém esses dados
4. Avaliações completas de impacto na privacidade de dados (DPIAs) - os modelos podem ser encontrados on-line - Os clientes da StoriiCare receberão DPIAs
5. Defina uma política de escalonamento e notificação
6. Defina sua política de privacidade
7. Defina sua estratégia digital
8. Nomear um responsável pela proteção de dados (oficial de dados)
9. Identifique possíveis riscos de violação de dados e como mitigá-los
10. Eduque e treine a equipe sobre proteção e tratamento de dados. Aumente a conscientização geral sobre o GDPR em sua organização. Se você ainda não começou, comece agora!

Clientes StoriiCare e GDPR

O StoriiCare oferece um caminho mais rápido e fácil para se tornar compatível com o GDPR.

O StoriiCare atende a todos os requisitos de processamento de dados do GDPR. Juntamente com empresas como a Adobe, a AirBnB e a Netflix, usamos a Amazon Web Services (AWS), o maior provedor de nuvem do planeta, para hospedar os dados de nossos clientes. Forneceremos a todos os nossos clientes nossa documentação do GDPR, que pode ser usada junto com sua própria documentação para comprovar a conformidade.

O uso do StoriiCare oferece a tranquilidade e o conhecimento de que suas informações estão seguras e rapidamente acessíveis quando necessário, mas acessíveis apenas a indivíduos autorizados.

Como empresa, você ainda será responsável por garantir sua própria conformidade, mas se seus dados forem gerenciados por terceiros, como o StoriiCare, você poderá solicitar que eles documentem como eles gerenciam a conformidade com o GDPR.

• Veja algumas das empresas que também usam a AWS para armazenamento em nuvem - https://aws.amazon.com/solutions/case-studies/all/
• Leia mais sobre computação em nuvem e AWS aqui - https://aws.amazon.com/health/?nc1=f_dr
• Veja o centro de ajuda do AWS GDPR - https://aws.amazon.com/compliance/gdpr-center/

Obtendo ajuda com o GDPR

1. O ICO- Seu oficial de proteção de dados designado
2. Consultores independentes do GDPR
3. Aconselhamento jurídico
4. Seguro empresarial- Faça-nos uma pergunta!- https://aws.amazon.com/compliance/gdpr-center/- https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf