A Lei de Uso e Acesso aos Dados de 2025 is now law in the UK. Introduced as part of the government’s digital strategy, it updates the rules around how personal data is used, shared, and protected across sectors - including healthcare.

Para médico as práticas da Lei têm implicações significativas, especialmente na forma como você gerencia as informações dos pacientes, responde às solicitações de dados e interage com serviços de terceiros.

A Lei não substitui o GDPR do Reino Unido ou a Lei de Proteção de Dados de 2018, mas faz mudanças importantes na forma como essas leis são aplicadas. Grande parte dela entrará em vigor ao longo do próximo ano, portanto, as práticas gerais devem começar a se preparar agora.

Veja o que a nova legislação significa para você, sua equipe e seus pacientes.

Mais flexibilidade no gerenciamento de solicitações de acesso

GP practices often deal with Solicitações de acesso do titular dos dados (DSARs) - especially from patients who want to see their full medical record. Under current rules, practices have one calendar month to respond, which can be difficult when dealing with large files or vague requests.

A nova lei permite que você pause o prazo de um mês se a solicitação estiver sem detalhes essenciais ou precisar de esclarecimentos. Conhecido como 'parar o relógio', isso dá às práticas tempo para solicitar mais informações antes de continuar a contagem regressiva.

Essa mudança é especialmente útil quando um paciente solicita 'todas as informações' sem especificar um período de tempo ou tópico. Isso dá à sua equipe administrativa uma chance melhor de gerenciar as expectativas e responder com precisão.

O que você deve fazer:

• Atualize seus procedimentos internos para incluir essa nova flexibilidade.

• Certifique-se de que a equipe saiba quando e como solicitar esclarecimentos.

• Documente todas as pausas claramente caso seja auditado ou questionado.

One of the most significant updates is the introduction of 'interesses legítimos reconhecidos como base legal para o processamento de dados pessoais. Anteriormente, a maior parte do processamento de dados de médicos de família baseava-se em tarefa pública, obrigação legal ou consentimento.

Esta nova base permite às organizações processar dados sem consentimento quando a atividade é de interesse público e quando existem salvaguardas. Exemplos incluem proteção, proteção da saúde pública, prevenção de crimes graves e resposta a emergências.

Para os médicos de família, isso pode oferecer uma via legal mais clara para compartilhar dados rapidamente com os serviços sociais, responsáveis pela proteção ou a polícia - especialmente quando esperar por instruções legais formais poderia atrasar a ação.

No entanto, isso não elimina a necessidade de uma documentação adequada - você ainda precisará:

• Explique o objetivo do uso dos dados.

• Garanta que seja proporcional e necessário.

• Registre seu processo de tomada de decisão.

Isso não é um atalho, mas permite que você aja com mais confiança quando for necessário compartilhar dados imediatamente para a proteção pública.

Anteriormente, você só podia transferir dados pessoais para fora do Reino Unido para países com uma “decisão de adequação” oficial. Isso dificultava o uso de softwares ou serviços hospedados no exterior.

O DUAA substitui esse modelo por uma abordagem baseada em risco. Agora você pode transferir dados para países fora do Reino Unido se estiver satisfeito de que as proteções existentes não são “materialmente inferiores” aos padrões do Reino Unido.

Isto é particularmente relevante para práticas que utilizam:

• Sistemas de registros de pacientes baseados na nuvem.

• Plataformas de agendamento online.

• Ferramentas de e-mail, SMS ou consulta por vídeo que armazenam dados no exterior.

Você precisará avaliar as salvaguardas e possivelmente atualizar seus contratos ou avaliações de impacto de proteção de dados (DPIAs).

Ação para as práticas:

• Identifique onde os dados do seu paciente são armazenados e processados.

• Trabalhe com seus fornecedores para confirmar a conformidade com a nova norma baseada em riscos.

• Mantenha registros de suas avaliações.

A Lei facilita o uso de dados pessoais em pesquisas científicas por empresas comerciais, desde que o propósito seja claro e medidas de proteção adequadas estejam em vigor.

Isto abre portas para práticas que apoiem uma gama mais ampla de projetos de pesquisa, incluindo parcerias com universidades, trusts do NHS e empresas de tecnologia em saúde. Pode facilitar a participação em iniciativas baseadas em dados para melhorar a saúde da população ou o design de serviços.

A legislação também estabelece as bases para esquemas de dados inteligentes - sistemas seguros e regulamentados onde as pessoas podem permitir que terceiros autorizados acessem seus dados para fins específicos.

Embora ainda esteja em desenvolvimento, os dados inteligentes na saúde podem eventualmente permitir que os pacientes:

• Compartilhe partes do seu prontuário de saúde com ferramentas ou aplicativos digitais.

• Acesse serviços personalizados usando informações em tempo real.

• Transfira registros com mais facilidade entre serviços.

As práticas ainda não devem implementar nada, mas você deve estar ciente de que esses esquemas provavelmente aparecerão nos próximos anos.

O Escritório do Comissário de Informação (ICO) terá maiores poderes para auditar e investigar organizações, incluindo clínicas de atenção primária.

Ao mesmo tempo, todas as organizações devem agora oferecer um caminho claro e acessível para que as pessoas possam reclamar se acreditarem que seus dados foram usados de forma indevida ou mal gerenciados. Você precisará responder a essas reclamações dentro de 30 dias.

Isso se aplica mesmo que a reclamação seja sobre o tempo de retenção dos dados, como eles são compartilhados ou o que está escrito em um prontuário do paciente.

O que você precisa fazer:

• Atualize seu aviso de privacidade com uma seção clara de reclamações.

• Adicione um formulário simples ou uma rota de contato no seu site.

• Treine a equipe sobre como registrar e responder a reclamações de dados.

Se uma reclamação não for resolvida, os pacientes podem recorrer ao ICO - e a clínica pode enfrentar inspeções ou ações de fiscalização.

Embora muitas partes da Lei não entrem em vigor até 2026, é importante se preparar com antecedência. Aqui está uma lista de verificação prática para orientar seus próximos passos:

• Revise e atualize sua política de DSAR, incluindo como usar o recurso de parar o relógio.

• Verifique seu aviso de privacidade - ele explica claramente as bases legais, o compartilhamento de dados e as reclamações?

• Mapeie seus fluxos de dados, especialmente para transferências internacionais.

• Converse com seus fornecedores de sistemas de TI e clínicos sobre como eles atendem aos novos padrões de dados.

• Treine sua equipe, especialmente sobre o compartilhamento de dados de proteção e o tratamento de reclamações.

A Lei de Uso e Acesso de Dados de 2025 faz parte de uma agenda mais ampla do governo para simplificar a legislação de dados e apoiar a inovação. Para as clínicas gerais, ela traz novas oportunidades para compartilhar dados com mais confiança e colaborar em pesquisas e serviços digitais.

Mas também aumenta as expectativas em relação à transparência, capacidade de resposta e responsabilidade profissional. Como você se prepara agora influenciará sua conformidade e seus relacionamentos com os pacientes nos próximos anos.

If your practice would benefit from a data protection review, template updates, or help with team training, your local LMC or federation may already have resources in place.