RESUMO
Apresentamos e discutimos a construção de um instrumento de compliance para tratamento de dados pessoais e dados pessoais sensíveis do Núcleo Telessaúde UFSC, com base na Lei Geral de Proteção de Dados Pessoais. Trata-se da elaboração de diretrizes para um Relatório de Impacto à Proteção de Dados Pessoais visando à preservação da dimensão humana do dado e à preservação de direitos. A pesquisa foi qualitativa e exploratória, tendo o relato de experiência como metodologia. O levantamento bibliográfico e a análise documental permitiram a investigação, realizada em 2022, de processos, etapas e fluxos do tratamento dos dados. A análise dos dados foi qualitativa, por comparação dos resultados com a legislação vigente e com a adequação ao princípio da autodeterminação informativa. Os resultados demonstraram que as propostas para o relatório contribuíram para um tratamento de dados mais adequado ao ordenamento jurídico e, consequentemente, mais humanizado
We present and discuss the construction of a compliance instrument for the processing of personal data and sensitive personal data of the Telessaúde UFSC Center, based on the General Data Protection Law. It is a model for the elaboration of guidelines for the construction of an Impact Report on the Protection of Personal Data that collaborates to the preservation of the human dimension of data and the preserva-tion of rights. The research was qualitative and exploratory, adopting experience report as methodology. Bibliographical research and documental analysis enabled the investigation of the processes, stages and flows of data processing, carried out in 2022. Data analysis was carried out qualitatively, comparing the results with current legislation and adequacy to the principle of informative self-determination. Results showed that the proposed guidelines for the report contributed to a data processing more appropriate to the legal system and, consequently, more humanized
Presentamos y discutimos la construcción de un instrumento de cumplimiento para el tratamiento de datos personales y datos personales sensibles del Núcleo Telessaúde UFSC, con base en la Ley General de Pro-tección de Datos. Es la preparación de directrices para un Informe de Impacto de Protección de Datos Per-sonales para preservación de la dimensión humana de los datos y preservar los derechos. La investigación cualitativa y exploratoria adoptó un relato de experiencia como metodología. El levantamiento bibliográfico y el análisis documental permitieron la indagación de procesos, etapas y flujos de procesamiento de datos, realizados en 2022. El análisis de datos fue cualitativa, mediante la comparación de los resultados con la legislación vigente y la adecuación al principio de autodeterminación informativa. Los resultados mostra-ron que las directrices propuestas para el informe contribuyó a un tratamiento de datos más adecuado al ordenamiento jurídico y, en consecuencia, más humano
Assuntos
Humanos , Telemedicina , Privacidade , Bibliografia , Pesquisa Qualitativa , Serviços de SaúdeRESUMO
BACKGROUND: Since the COVID-19 pandemic, there has been a boost in the digital transformation of the human society, where wearable devices such as a smartwatch can already measure vital signs in a continuous and naturalistic way; however, the security and privacy of personal data is a challenge to expanding the use of these data by health professionals in clinical follow-up for decision-making. Similar to the European General Data Protection Regulation, in Brazil, the Lei Geral de Proteção de Dados established rules and guidelines for the processing of personal data, including those used for patient care, such as those captured by smartwatches. Thus, in any telemonitoring scenario, there is a need to comply with rules and regulations, making this issue a challenge to overcome. OBJECTIVE: This study aimed to build a digital solution model for capturing data from wearable devices and making them available in a safe and agile manner for clinical and research use, following current laws. METHODS: A functional model was built following the Brazilian Lei Geral de Proteção de Dados (2018), where data captured by smartwatches can be transmitted anonymously over the Internet of Things and be identified later within the hospital. A total of 80 volunteers were selected for a 24-week follow-up clinical trial divided into 2 groups, one group with a previous diagnosis of COVID-19 and a control group without a previous diagnosis of COVID-19, to measure the synchronization rate of the platform with the devices and the accuracy and precision of the smartwatch in out-of-hospital conditions to simulate remote monitoring at home. RESULTS: In a 35-week clinical trial, >11.2 million records were collected with no system downtime; 66% of continuous beats per minute were synchronized within 24 hours (79% within 2 days and 91% within a week). In the limit of agreement analysis, the mean differences in oxygen saturation, diastolic blood pressure, systolic blood pressure, and heart rate were -1.280% (SD 5.679%), -1.399 (SD 19.112) mm Hg, -1.536 (SD 24.244) mm Hg, and 0.566 (SD 3.114) beats per minute, respectively. Furthermore, there was no difference in the 2 study groups in terms of data analysis (neither using the smartwatch nor the gold-standard devices), but it is worth mentioning that all volunteers in the COVID-19 group were already cured of the infection and were highly functional in their daily work life. CONCLUSIONS: On the basis of the results obtained, considering the validation conditions of accuracy and precision and simulating an extrahospital use environment, the functional model built in this study is capable of capturing data from the smartwatch and anonymously providing it to health care services, where they can be treated according to the legislation and be used to support clinical decisions during remote monitoring.
RESUMO
A Lei Geral de Proteção de Dados dispõe sobre a proteção de dados pessoais e tem implicações significativas em inúmeras áreas, dentre as quais a saúde. Em âmbito sanitário, em virtude da quantidade relevante de dados sensíveis contendo informações sobre saúde, exige-se cautela dos agentes de tratamento, uma vez que seu processamento é mais suscetível de ocasionar alto risco para os direitos dos titulares. Nessa hipótese, o Regulamento Geral sobre a Proteção de Dados, a legislação europeia sobre proteção de dados pessoais, em seu art. 35, determina como obrigatória a realização das Avaliações de Impacto, o que não se demonstra evidente na legislação brasileira. Por meio de pesquisa exploratória, com base em levantamento bibliográfico e documental, investiga-se a importância dessas avaliações pelas instituições de saúde no tratamento de dados sensíveis, a fim de atestar não apenas o cumprimento com a legislação, mas igualmente com as estipulações presentes em códigos deontológicos que valorizam o sigilo,a privacidade e a confidencialidade na relação médico-paciente. Para tanto, são abordados, em um primeiro momento, os aspectos gerais da LGPD e uma perspectiva comparada em relação à GDPR. Em seguida, é exposta a associação entre o tratamento de dados sensíveis e a confidencialidade na assistência em saúde. Por fim, o trabalho conclui acerca da importância da realização da Avaliação de Impacto em dados sensíveis, ocasião em que se considera a experiência europeia de metodologia baseada nos risc.(AU)
The General Data Protection Law provides for the protection of personal data and has significant implications in numerous areas, including in healthcare. In the health field, due to the relevant amount of sensitive data containing information on health, itis required caution from the treatment agents, since its processing is more likely to cause a high risk to the rights of the data subjects. In this regard, the art. 35 of the General Data Protection Regulation, the European legislation on the protection of personal data, determines that the carrying out of Impact Assessments is mandatory, which is not evident in the Brazilian legislation. Through exploratory research, based on a bibliographic and documentary survey, the importance of these assessments by health institutions in the treatment of sensitive data is investigated, so as to attest not only compliance with legislation, but also with stipulationspresent in deontological codes that value secrecy, privacy and confidentiality in doctor-patient relationship. At first, general aspects of the Brazilian law and a comparative perspective regarding the European one are discussed. Secondly, it exposes the association between treatment of sensitive data and confidentiality in healthcare. It concludes that it is important to carry out the Impact Assessment on sensitive data, an occasion in which the European experience of risk-based methodology is considered.(AU)
La Ley General de Protección de Datos prevé la protección de los datos personales y tiene implicaciones significativas en numerosos ámbitos, incluido el sanitario. En éste, debido a la cantidad relevante de datos sensibles que contienen información sobre salud, se requiere precaución por parte de los agentes de tratamiento, ya que es más probable que su procesamiento cause un alto riesgopara los derechos de los titulares. En este sentido, el art. 35 del Reglamento General de Protección de Datos, la legislación europea en materia de protección de datos personales, determina que la realización de Evaluaciones de Impacto es obligatoria, lo que no es evidente en la legislación brasileña. A través de un estudio exploratorio, basadoen una encuesta bibliográfica y documental, se investiga la importancia de estas Evaluaciones por parte de las instituciones de salud en el tratamiento de datos sensibles, a fin de certificar no sólo el cumplimiento de la legislación, sino también de las estipulaciones presentes en los códigos deontológicos que valoran el secreto, la privacidad y la confidencialidad en la relación médico-paciente. Al principio, se discuten aspectos generales de la ley brasileña y una perspectiva comparada con respecto a laeuropea. En segundo lugar, expone la asociación entre el tratamiento de datos sensibles y la confidencialidad en la asistencia sanitaria. Concluye que es importante realizar la Evaluación de Impacto sobre datos sensibles, ocasión en la que se considera laexperiencia europea de una metodología basada en riesgo.(AU)
La Llei General de Protecció de Dades preveu la protecció de les dades personals i té implicacions significatives en nombrosos àmbits, inclòs el sanitari. En aquest, a causa de la quantitat rellevant de dades sensibles que contenen informació sobre salut, es requereix precaució per part dels agents de tractament, ja que és més probable que el seu processament causi un alt risc per als drets dels titulars. En aquest sentit, l'art. 35 del Reglament General de Protecció de Dades, la legislació europea en matèria de protecció de dades personals, determina que la realització d'Avaluacions d'Impacte és obligatòria, la qual cosa no és evidenten la legislació brasilera. A través d'un estudi exploratori, basat en una enquesta bibliogràfica i documental, s'investiga la importància d'aquestes Avaluacions per part de les institucions de salut en el tractament de dades sensibles, a fi de certificar no només el compliment de la legislació, sinó també de les estipulacions presents en els codis deontològics que valoren el secret, la privacitat i la confidencialitat en la relació metge-pacient. Al principi, es discuteixen aspectes generals de la llei brasilera i una perspectiva comparada respecte a l'europea.(AU)
Assuntos
Humanos , Segurança Computacional , Avaliação do Impacto na Saúde , Relações Médico-Paciente , Privacidade , Confidencialidade , Princípios Morais , Direitos Humanos , Bioética , ÉticaRESUMO
Motivado pela adoção do Regulamento Geral sobre a Proteção de Dados pela União Europeia, o legislador brasileiro aprovou a Lei Geral de Proteção de Dados, expressamente tornando a proteção de dados pessoais um direito fundamental e reconhecendo a existência de uma categoria de dados específica, denominada de dados pessoais sensíveis, cujo conceito abarca os dados relativos à saúde e que recebem tratamento específico desse diploma legal. O objetivo do presente estudo foi analisar como a Lei Geral de Proteção de Dados trata a proteção de dados relativos à saúde. Para tanto, utilizando método dedutivo e análise bibliográfica, o estudo foi dividido em duas partes. Na primeira foi exposto o conceito jurídico de dados trazido pela Lei Geral de Proteção de Dados, bem como a definição legal de dados sensíveis. Na segunda parte discutiu-se como essa lei trata os dados relativos à saúde. De modo geral, conclui-se que, com a entrada em vigor da Lei Geral de Proteção de Dados, profissionais da saúde, clínicas médicas, hospitais e centros de saúde, entre outros, que realizarem tratamento de dados pessoais sensíveis relacionados à saúde deverão adotar medidas para adaptar tais atividades à legislação o mais brevemente possível, a fim de evitar sanções que podem ir desde a aplicação de multas pecuniárias até a proibição do uso de dados pessoais sensíveis.
Motivated by the adoption of the General Data Protection Regulation by the European Union, the Brazilian legislator approved the General Data Protection Law, expressly making the protection of personal data a fundamental right and recognizing the existence of a specific category of data, known as sensitive personal data, the concept of which encompasses data relating to health and which receive specific treatment in this legal document. The objective of the present study was to analyze how the General Data Protection Law deals with the protection of health-related data. To this end, using a deductive method and bibliographic analysis, the study was divided into two parts. In the first part, the legal concept of data brought by the General Data Protection Law was exposed, as well as the legal definition of sensitive data. The second part discussed how this law deals with health data. In general, it is concluded that, with the entry into force of the General Data Protection Law, health professionals, medical clinics, hospitals and health centers, among others, who process sensitive personal data related to health should adopt measures to adapt their activities to the legislation as soon as possible, in order to avoid sanctions that can range from the imposition of financial fines to the prohibition of the use of sensitive personal data.
