O setor da saúde é seguramente um dos mais complexos em diferentes aspectos e apresenta desafios constantes, seja pela natureza de suas atividades, que envolve riscos, ou pela vasta legislação e regulamentação aplicáveis. Com a chegada da LGPD (Lei Geral de Proteção de Dados), adicionou-se uma visão que, até então, nenhuma organização estava acostumada a tratar: o fluxo e a natureza sensível de dados pessoais nos processos de negócio.
O dado pessoal se refere à informação relacionada à pessoa natural identificada ou identificável. Já o dado pessoal sensível diz sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, além de estar relacionado à saúde ou à vida sexual, genética e biometria.
Alguns setores utilizam dados pessoais e dados pessoais sensíveis de maneira intensiva, sendo a área da saúde um exemplo legítimo deste cenário. Este setor também contempla uma parcela expressiva dos ambientes que estão sujeitos aos desafios de adequação à LGPD e seus impactos.
Independentemente do nível de maturidade de suas operações, certificações e acreditações, empresas deste segmento vivenciam o elevado esforço necessário para entender os requisitos da Lei, bem como o impacto das futuras sanções que serão aplicadas em caso de descumprimento.
Dentre as sanções passíveis de aplicação pela ANPD (Autoridade Nacional de Proteção de Dados), duas possibilidades se destacam a multa simples de até 2% do faturamento da pessoa jurídica e a publicização da infração após devidamente apurada e confirmada a sua ocorrência. A primeira pode gerar impacto financeiro severo e comprometer a continuidade das operações da organização. A outra afeta com intensidade a reputação corporativa e a visão do mercado sobre a integridade das operações.
Entretanto, existem boas notícias. Uma organização adequada à LGPD seguramente terá elevação de maturidade significativa em relação aos seus processos de negócio, controles e ambiente informatizado. Desta maneira, desenha-se mais claramente que a jornada de conformidade se baseia em um projeto multidisciplinar e primariamente fundamentado em Gestão de Processos de Negócio, Tecnologia da Informação e Comunicação (TIC) e Jurídico.
A realização de inventário formal das operações de processamento de dados e sistemas de apoio é o início de um roteiro de conformidade, além de um entregável estabelecido por requisitos da lei. Considerando um hospital em sua estrutura tradicional, será observada e desdobrada a capilaridade dos processos e subprocessos que tratam dados pessoais.
A avaliação de maturidade, resultante do confronto de estado atual contra os requisitos da LGPD, na maioria dos casos, indicará inicialmente baixa conformidade, um resultado que será direcionador para suportar a identificação de lacunas que serão tratadas por meio de um sólido plano de ação estruturado para geração de benefícios no curto, médio e longo prazos.
Em tempos de Covid-19, nos quais a Telemedicina está impulsionada, todo ambiente virtual que suporta e conecta paciente ao médico está intimamente ligado à LGPD e, em particular, merece atenção sob o ponto de vista de segurança de informação. A consciência sobre a coleta e tratamento dos dados minimamente necessários de pacientes e o desenho seguro de seus fluxos nos ambientes pertencentes à área da saúde, certamente ajudará a mitigar riscos de vazamento e geração de incidentes indesejados.
Diante de todos estes aspectos, a LGPD não deve ser temida ou sua implantação vista como algo que beira a impossibilidade. Engajamento, mudança cultural, gestão dos direitos de titulares de dados e seus consentimentos são elementos fundamentais para a estruturação de um programa efetivo e eficaz de governança, que reflete positivamente em toda a organização.
Carlos Souza, gerente de riscos e performance na ICTS Protiviti.