Os prontuários médicos são documentos fundamentais para o atendimento de saúde, uma vez que armazenam dados pessoais sensíveis e informações clínicas detalhadas sobre os pacientes. Contudo, à medida que a tecnologia avança, a proteção desses dados se torna mais desafiadora, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD) e da Lei dos Prontuários Médicos.
Ambas as legislações reforçam a necessidade de proteger esses dados, especialmente por serem classificados como dados sensíveis, o que requer medidas de segurança mais rigorosas para prevenir acessos não autorizados, vazamentos e outros incidentes cibernéticos.
Nos últimos anos, o Brasil enfrentou uma série de vazamentos de dados no setor de saúde. Entre os casos mais alarmantes está o da Unimed Porto Alegre, em 2023, quando falhas de segurança em endpoints do sistema resultaram na exposição de informações médicas e pessoais de pacientes.
Além disso, em 2020, o Hospital Israelita Albert Einstein sofreu um vazamento após um colaborador acidentalmente publicar logins e senhas em um repositório público, expondo dados de milhões de brasileiros.
Outro incidente marcante foi o vazamento de informações de 243 milhões de cidadãos cadastrados no SUS, decorrente de um erro de configuração nos sistemas do Ministério da Saúde.
Além disso, em 2023, uma clínica de cirurgia plástica em São Paulo sofreu um ataque cibernético que expôs imagens íntimas de pacientes, gerando danos psicológicos significativos e ações judiciais.
Esses incidentes revelam não apenas as vulnerabilidades do setor de saúde, mas também a urgência em implementar soluções mais robustas para proteger dados sensíveis. As informações contidas nos prontuários são altamente valiosas para criminosos cibernéticos, que podem usá-las para extorsão, roubo de identidade, fraudes financeiras e venda ilegal em mercados clandestinos.
Além disso, a facilidade de acesso a esses dados, essencial para o trabalho eficiente dos profissionais de saúde, acaba por se tornar um fator que amplifica os riscos de exposição.
É crucial entender que o vazamento de dados de saúde não afeta apenas o indivíduo exposto, mas também compromete a confiança pública na instituição, resultando em danos à reputação e potencial perda de pacientes. Isso se soma às penalidades previstas pela LGPD, que podem chegar a 2% do faturamento da empresa, com limite de R$ 50 milhões, além de processos judiciais por danos morais e materiais.
Para mitigar esses riscos, é essencial que todas as clínicas médicas, odontológicas e outras instituições de saúde adotem uma estratégia proativa de adequação à LGPD. A contratação de uma consultoria profissional é fundamental para o desenvolvimento de políticas de segurança adequadas, análise de vulnerabilidades e implementação de soluções tecnológicas. Somente com um suporte especializado é possível garantir a conformidade e a segurança dos dados médicos, seja na forma digital ou física.
Além disso, é indispensável que todos os colaboradores recebam treinamento contínuo sobre as melhores práticas de segurança da informação. A conscientização de funcionários é um passo crítico para reduzir erros humanos, que são uma das principais causas de incidentes de segurança. Os treinamentos devem abordar desde o uso adequado de sistemas até a gestão segura de informações sensíveis, reforçando o compromisso da instituição com a proteção de dados e a privacidade dos pacientes.
Concluindo, a proteção de dados no setor de saúde não é apenas uma exigência legal, mas uma necessidade imperativa para garantir a privacidade dos pacientes e a integridade das instituições. A adequação à LGPD deve ser conduzida de forma rigorosa e estratégica, e a melhor maneira de assegurar essa conformidade é por meio de consultores experientes. Esses profissionais são capazes de realizar análises completas de vulnerabilidades, desenvolver políticas de segurança personalizadas e implementar tecnologias apropriadas para proteger dados sensíveis.
Além disso, o treinamento contínuo das equipes é indispensável, pois a conscientização e o conhecimento prático dos colaboradores são fundamentais para prevenir erros humanos e garantir um ambiente mais seguro. Isso envolve desde o uso seguro dos sistemas de gestão de prontuários até a compreensão de práticas adequadas de segurança digital.
Por fim, recomenda-se a contratação de seguro cibernético, hoje com muitas opções viáveis no mercado, tornando-se uma camada adicional de proteção que pode ajudar a mitigar os impactos financeiros e operacionais em caso de incidentes de segurança. Este tipo de seguro oferece cobertura para custos relacionados à resposta a incidentes, como notificação de clientes, reparação de sistemas, além de despesas legais e de relações públicas.
Portanto, a combinação de consultoria especializada, treinamento contínuo e seguro cibernético é a abordagem mais eficaz para garantir não apenas o cumprimento das leis, mas também para proteger a reputação e a continuidade das operações das instituições de saúde. A segurança da informação deve ser uma prioridade estratégica para todos os players do setor, assegurando um ambiente confiável e seguro para o tratamento dos dados mais valiosos: os dados de saúde dos cidadãos.
Walter Calza Neto, sócio do CNK Advogados.