Com a repercussão de casos como o da atriz Klara Castanho e da influenciadora digital Gabi Brandt, nas quais as informações sensíveis de saúde foram vazadas e se tornaram públicas sem autorização, o debate sobre vazamento de dados em hospitais, especialmente por colaboradores, ficou cada vez mais relevante. Atualmente, no caso da Klara Castanho, o hospital responsável pode pagar uma multa de até R$ 50 milhões por conta do vazamento de dados sensíveis.
A Lei Geral de Proteção de Dados Pessoais (LGPD) é clara quanto à responsabilidade de um eventual vazamento de dados, em especial os dados sensíveis. A responsabilidade é da empresa. Caso haja envolvimento do colaborador e, se identificado, devem ser aplicadas medidas disciplinares previstas no código de conduta moral e ética das empresas ou nas regras, procedimentos e normas internas.
A segregação entre dados e informações previstos pela LGPD fica entre as informações que são usuais e corriqueiras, como CPF, endereço, telefone e dados sensíveis, por exemplo, tipo de sangue, religião, prontuário médico, entre outros.
Os hospitais devem tomar um cuidado especial com os dados sensíveis. A área de segurança de dados e informações deve adotar as melhores práticas para controle e rastreabilidade. A segurança, controle e rastreabilidade malfeitos, ou sem os recursos necessários expõem o hospital a grandes riscos de vazamento de dados e informações não autorizadas pela administração ou pelo paciente.
Independente se para figuras públicas ou não, os cuidados com a segurança das informações devem ser classificados em riscos possíveis de serem corridos pela empresa — neste caso, o hospital, um controle interno adicional, por exemplo, a uma base de dados diferenciada poderia ser criada e bloquear o acesso — inclusive para equipes da própria TI, para acesso seria possível considerar a senha de três pessoas diferentes.
Sem dúvida, a segregação de bases de dados dos cuidados regulares que devem ser aplicados a todas as demais bases de dados da empresa, por exemplo: base de dados de cliente, fornecedores, dados pessoais, base de dados de pessoas classificadas como públicas. Vale lembrar que cada nova camada de controle, significa – direta e indiretamente — maiores custos para a empresa custodiante desses dados e informações.
A cultura de proteção de dados deve ser perseguida permanentemente pela empresa, acompanhada de procedimentos como treinamento periódico sobre a segurança das informações dos pacientes, pop-up na tela dos computadores com lembretes sobre o assunto, folhetos na sala de café, no jornal interno, em rápido discurso do presidente e assim por diante.
Dentre as penalidades previstas em lei para a violação de dados pessoais, estão:
- Advertências;
- Diversos tipos de multas;
- Bloqueios e eliminação de dados pessoais;
- Suspensão do funcionamento de bancos de dados;
- Tornar a infração pública e proibir de maneira parcial ou total o colaborador de exercer atividades relacionadas ao tratamento de dados.
A ausência desses procedimentos pode dar a entender para colaboradores, fornecedores e pacientes se a instituição trata com seriedade ou não a correta proteção de dados e informações das pessoas físicas relacionadas ao hospital.
*Ivo Cairrão é sócio-fundador e conselheiro no Grupo Iaudit, empresa especializada em consultoria empresarial, auditoria e tecnologia da informação com mais de 20 anos no mercado.