Como evitar vazamento de dados de pacientes

Com a repercussão de casos como o da atriz Klara Castanho e da influenciadora digital Gabi Brandt, nas quais as informações sensíveis de saúde foram vazadas e se tornaram públicas sem autorização, o debate sobre vazamento de dados em hospitais, especialmente por colaboradores, ficou cada vez mais relevante. Atualmente, no caso da Klara Castanho, o hospital responsável pode pagar uma multa de até R$ 50 milhões por conta do vazamento de dados sensíveis.

A Lei Geral de Proteção de Dados Pessoais (LGPD) é clara quanto à responsabilidade de um eventual vazamento de dados, em especial os dados sensíveis. A responsabilidade é da empresa. Caso haja envolvimento do colaborador e, se identificado, devem ser aplicadas medidas disciplinares previstas no código de conduta moral e ética das empresas ou nas regras, procedimentos e normas internas.

A segregação entre dados e informações previstos pela LGPD fica entre as informações que são usuais e corriqueiras, como CPF, endereço, telefone e dados sensíveis, por exemplo, tipo de sangue, religião, prontuário médico, entre outros.

Os hospitais devem tomar um cuidado especial com os dados sensíveis. A área de segurança de dados e informações deve adotar as melhores práticas para controle e rastreabilidade. A segurança, controle e rastreabilidade malfeitos, ou sem os recursos necessários expõem o hospital a grandes riscos de vazamento de dados e informações não autorizadas pela administração ou pelo paciente.

Independente se para figuras públicas ou não, os cuidados com a segurança das informações devem ser classificados em riscos possíveis de serem corridos pela empresa — neste caso, o hospital, um controle interno adicional, por exemplo, a uma base de dados diferenciada poderia ser criada e bloquear o acesso — inclusive para equipes da própria TI, para acesso seria possível considerar a senha de três pessoas diferentes.

Sem dúvida, a segregação de bases de dados dos cuidados regulares que devem ser aplicados a todas as demais bases de dados da empresa, por exemplo: base de dados de cliente, fornecedores, dados pessoais, base de dados de pessoas classificadas como públicas. Vale lembrar que cada nova camada de controle, significa – direta e indiretamente — maiores custos para a empresa custodiante desses dados e informações.

A cultura de proteção de dados deve ser perseguida permanentemente pela empresa, acompanhada de procedimentos como treinamento periódico sobre a segurança das informações dos pacientes, pop-up na tela dos computadores com lembretes sobre o assunto, folhetos na sala de café, no jornal interno, em rápido discurso do presidente e assim por diante.

Dentre as penalidades previstas em lei para a violação de dados pessoais, estão:

  • Advertências;
  • Diversos tipos de multas;
  • Bloqueios e eliminação de dados pessoais;
  • Suspensão do funcionamento de bancos de dados;
  • Tornar a infração pública e proibir de maneira parcial ou total o colaborador de exercer atividades relacionadas ao tratamento de dados.

A ausência desses procedimentos pode dar a entender para colaboradores, fornecedores e pacientes se a instituição trata com seriedade ou não a correta proteção de dados e informações das pessoas físicas relacionadas ao hospital.

*Ivo Cairrão é sócio-fundador e conselheiro no Grupo Iaudit, empresa especializada em consultoria empresarial, auditoria e tecnologia da informação com mais de 20 anos no mercado.

Related posts

ABSeed Ventures investe R$ 2 milhões na Clinia

Abramge criar comitê para conhecer profundamente os problemas da judicialização da saúde

Hospital PUC-Campinas inicia serviço de Telemedicina