Blog

Digitalização de prontuários do paciente (Lei 13.787 de 27 Dez 18)

Hoje quero comentar sobre a Lei 13.787, de 27 Dez 18 que dispões sobre a digitalização e a utilização de sistemas informatizados para a guarda, armazenamento e manuseio de prontuários do paciente.

A referida Lei informa que os dados do prontuário são regidas pela Lei nº 13.709, de 14 de agosto de 2018, a qual em seu primeiro artigo esclarece que esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Cita ainda o Art. 2º  A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade; (Grifos Nossos)

IV – a inviolabilidade da intimidade, da honra e da imagem; (Grifos Nossos)

Ou seja, qualquer sistema informatizado que trate de dados pessoais deve possuir todos os meios necessários para proteger a privacidade e intimidade do paciente. Isso determina um grau de responsabilidade dos hospitais, clinicas e laboratórios quanto a guarda e proteção dos dados.

Aqui chamo atenção principalmente para o descarte de produtos de hardware, pois é muito comum um computador, notebook ou qualquer outro tipo de máquina sofrer algum tipo de dado e ser descartada, sem que o HD ou a memória seja efetivamente apagada e que impossibilite o uso dos dados.

Já houve casos em que computadores com defeitos em peças periféricas sejam consertados e exponham dados de resultados de exames, prescrições evoluções, etc. Principalmente quando na instituição não há uma política de descarte de material de TI.

Mas vamos voltar para a Lei 13.787, a qual dentre outros atributo determina que o processo de digitalização de prontuário de paciente será realizado de forma a assegura que o prontuário ou qualquer outro documento relacionado ao paciente (exames, anotações, evoluções, etc.):

  • a integridade (Todos os dados, sem exceção ou exclusão)
  • a autenticidade (Uma vez registrados, não sejam alterados e possuam rastreabilidade de acesso)
  • confidencialidade (Que os dados sejam incrementais, ou seja apresentem evolução passo a passo e que não seja possível nenhum tipo de alteração);

Cita ainda a Lei que os métodos de digitalização devem reproduzir todas as informações contidas nos documentos originais e que no processo de digitalização será utilizado certificado digital emitido no âmbito da Infraestrutura de Chaves Públicas Brasileira ou outro padrão legalmente aceito.

Um das regulamentações interessantes da lei se refere ao fato de que os documentos originais poderão ser destruídos após a sua digitalização, observados os requisitos de integridade, autenticidade e confidencialidade.

Mas faz uma ressalva que isso somente será possível após análise obrigatória de comissão permanente de revisão de prontuários e avaliação de documentos, especificamente criada para essa finalidade. Isso deve se traduzir através de evidências rastreáveis como uma ata de reunião contendo a relação resumida dos registros a serem digitalizados.

A comissão deverá:

  • Constar a integridade dos documentos digitais;
  • Avalizará a eliminação dos documentos que os originaram.
  • Determinar documentos de valor histórico que serão preservados de acordo com o disposto na legislação arquivística.

Por lógica, a Lei determina fortemente que os meios de armazenamento de documentos digitais deverão protegê-los do acesso, do uso, da alteração, da reprodução e da destruição não autorizados. Aqui chamo atenção para um pequeno mas muito importante detalhe. Os backups! Tomar cuidado com os backups, pois se o sistema não possuir um sistema efetivo de antivírus ou proteção dos dados, a organização pode realizar por exemplo um backup do vírus e assim os dados armazenados seriam da mesma forma corrompidos. O chamado backup do erro.

A Lei ainda determina que o documento digitalizado, desde que de processado de acordo com a legislação terá o mesmo valor probatório do documento original para todos os fins de direito. (Art. 5º). E decorrido o prazo mínimo de 20 (vinte) anos a partir do último registro, os prontuários em suporte de papel e “também os digitalizados” poderão ser eliminados, tomando o cuidado de resguardar a intimidade do paciente e o sigilo e a confidencialidade das informações.

Deste modo a legislação abrange todos os prontuários de paciente, independentemente de sua forma de armazenamento, inclusive aos microfilmados e aos arquivados eletronicamente em meio óptico, bem como aos constituídos por documentos gerados e mantidos originalmente de forma eletrônica.

Finalmente chamo muito a atenção ao sistema de TI que deve prover a segurança dos dados em uso, arquivados e descartados. Em resumo, lembre-se de verificar com o pessoal da TI:

  • Medidas de proteção ao acesso aos dados do paciente;
  • Como é realizado o backup? Possui um sistema que evite armazenar o erro, ou realizar o backup dos dados junto com um vírus que pode corromper o arquivo?
  • Ainda em relação ao backup, é realizado o teste de integridade? (Verificar se o que salvo, quando restaurado, possui todos os dados disponíveis e íntegros?)
  • Verificar como será feito o backup, principalmente pelo fato de que a Lei permite o descarte dos dados eletrônicos após 20 anos. O arquivo do backup conseguira ser aberto pela evolução do sistema?
  • Tome cuidado com upgrade ou troca de sistemas. Lembre que as vezes um arquivo de backup só abre num determinado sistema e não em outro.
  • Verifique que o sistema permite alterações do dados em uso e do backup. Se sim, a Lei não o salvaguarda e você não pode eliminar o prontuários impressos.
  • Como são descartados os hardwares? São adotados medidas de eliminação definitiva dos dados? Ou seja, às vezes um “computador” não funciona por causa de sistemas de apoio, mas a memória dos dados continua íntegra.
  • Cuidado com os sistemas de armazenamento na nuvem. Olhe com atenção o contrato, para verificar as questões de segurança do dados, backup, criptografia, integridade e rastreabilidade.

Célio Luiz Banaszeski

Diretor Executivo Exacta Consultoria Empresarial

Copyright © 2018

 

Sem comentários

Deixe uma resposta