por Carlos Souza*
O setor da saúde é seguramente um dos mais
complexos em diferentes aspectos e apresenta desafios constantes, seja pela
natureza de suas atividades, que envolve riscos, ou pela vasta legislação e
regulamentação aplicáveis. Com a chegada da LGPD (Lei Geral de Proteção de
Dados), adicionou-se uma visão que, até então, nenhuma organização estava
acostumada a tratar: o fluxo e a natureza sensível de dados pessoais nos
processos de negócio.
O dado pessoal se refere à informação relacionada
à pessoa natural identificada ou identificável. Já o dado pessoal sensível diz
sobre a origem racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou à organização de caráter religioso, filosófico ou
político, além de estar relacionado à saúde ou à vida sexual, genética e
biometria
Alguns setores utilizam dados pessoais e dados
pessoais sensíveis de maneira intensiva, sendo a área da saúde um exemplo
legítimo deste cenário. Este setor também contempla uma parcela expressiva dos
ambientes que estão sujeitos aos desafios de adequação à LGPD e seus impactos.
Independentemente do nível de maturidade de suas
operações, certificações e acreditações, empresas deste segmento vivenciam o
elevado esforço necessário para entender os requisitos da Lei, bem como o
impacto das futuras sanções que serão aplicadas em caso de descumprimento.
Dentre as sanções passíveis de aplicação pela
ANPD (Autoridade Nacional de Proteção de Dados), duas possibilidades se
destacam a multa simples de até 2% do faturamento da pessoa jurídica e a
publicização da infração após devidamente apurada e confirmada a sua
ocorrência. A primeira pode gerar impacto financeiro severo e comprometer a
continuidade das operações da organização. A outra afeta com intensidade a
reputação corporativa e a visão do mercado sobre a integridade das operações.
Entretanto, existem boas notícias. Uma
organização adequada à LGPD seguramente terá elevação de maturidade
significativa em relação aos seus processos de negócio, controles e ambiente
informatizado. Desta maneira, desenha-se mais claramente que a jornada de
conformidade se baseia em um projeto multidisciplinar e primariamente
fundamentado em Gestão de Processos de Negócio, Tecnologia da Informação e
Comunicação (TIC) e Jurídico.
A realização de inventário formal das operações
de processamento de dados e sistemas de apoio é o início de um roteiro de
conformidade, além de um entregável estabelecido por requisitos da lei.
Considerando um hospital em sua estrutura tradicional, será observada e desdobrada
a capilaridade dos processos e subprocessos que tratam dados pessoais.
A avaliação de maturidade, resultante do
confronto de estado atual contra os requisitos da LGPD, na maioria dos casos,
indicará inicialmente baixa conformidade, um resultado que será direcionador
para suportar a identificação de lacunas que serão tratadas por meio de um
sólido plano de ação estruturado para geração de benefícios no curto, médio e
longo prazos.
Em tempos de Covid-19, nos quais a Telemedicina
está impulsionada, todo ambiente virtual que suporta e conecta paciente ao
médico está intimamente ligado à LGPD e, em particular, merece atenção sob o
ponto de vista de segurança de informação. A consciência sobre a coleta e
tratamento dos dados minimamente necessários de pacientes e o desenho seguro de
seus fluxos nos ambientes pertencentes à área da saúde, certamente ajudará a
mitigar riscos de vazamento e geração de incidentes indesejados.
Diante de
todos estes aspectos, a LGPD não deve ser temida ou sua implantação vista como
algo que beira a impossibilidade. Engajamento, mudança cultural, gestão dos
direitos de titulares de dados e seus consentimentos são elementos fundamentais
para a estruturação de um programa efetivo e eficaz de governança, que reflete
positivamente em toda a organização.
* Carlos Souza é gerente de riscos e performance na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.