Especialista em Segurança da Informação explica como a Lei Geral de Proteção de Dados vem expandindo seu papel nas organizações de Saúde e o que ainda falta para uma adequação mais sólida à regulamentação.

Apesar do ganho de notoriedade desde que entrou em vigor, em setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) ainda está em fase de adaptação e ajustes. Em sua essência, a regulamentação foi desenvolvida para proteger os direitos fundamentais de liberdade e privacidade dos cidadãos com relação aos seus dados pessoais, mesmo que sejam compartilhados com organizações. Como em qualquer lei relativa a regulamentos de privacidade, há requisitos específicos que devem ser cumpridos e, um deles, é uma compreensão clara e completa da lei por todas as partes envolvidas. 

Embora navegar no ambiente seja difícil em qualquer circunstância, é especialmente desafiador em uma indústria de ritmo acelerado como a da Saúde, que também deve operar em diretrizes rígidas. Elas incluem tanto entender como os regulamentos afetam as diferentes áreas de negócios quanto garantir que esses desafios sejam abordados antes que se tornem problemas sérios de governança e gerarem impacto na segurança da informação.  

Para entender melhor como a LGPD se consolida no cenário atual e as lacunas que ainda existem em matéria de conformidade, conversamos com o especialista em segurança da informação Fabio Ferreira, sócio consultor da Lozinsky Consultoria. 

1 - Há cuidados específicos para as organizações de Saúde no que se refere à LGPD? 

Sim, há várias precauções que uma organização de Saúde precisa tomar com relação à Lei Geral de Proteção de Dados. Não é apenas uma questão de legislação, de obediência a uma lei, mas acima de tudo se trata de questões de privacidade relacionadas aos dados dos pacientes.

Portanto, além de assimilar e colocar em prática o próprio conceito da LGPD, as organizações de Saúde precisam ser adequadas às questões de privacidade que implicam em alguns aspectos da legislação, mas que também envolvem uma série de comportamentos mesmo de colaboradores ou médicos que trabalham com dados pessoais sensíveis. 

2 - A LGPD não é uma novidade, mas sabemos que vários desafios impactaram a sua adoção — e na saúde, certamente a pandemia da Covid-19 foi protagonista na lista de prioridades das organizações. Como você avalia o atual status de adoção à norma? As organizações do setor já se adequaram? 

Durante a pandemia, as empresas precisaram de uma forte atualização tecnológica para continuar operando. A maioria dos funcionários, então, permaneceu conectada a suas organizações por meio do trabalho remoto. Como resultado, os departamentos de TI foram forçados a aumentar o nível de segurança da informação. Sendo assim, de certa forma, não é exagero dizer que alguns benefícios foram obtidos com a pandemia no que se refere à adequação à Lei Geral de Proteção de Dados.

O próprio fato de cada funcionário estar focado na segurança da informação ajudou o desenvolvimento dessas organizações em termos de LGPD. Porém, devido à falta de fiscalização mais consistente por parte do governo, há uma forte tendência entre as empresas de adiar os investimentos em conformidade. Mas é verdade que alguma adequação básica já foi amplamente realizada.

Por exemplo, a maioria das empresas hoje já tem um formulário de consentimento ou política de privacidade publicado em seu website e informam sobre o uso de cookies. Então, embora seja verdade que houve um processo de amadurecimento em relação à lei, isso muitas vezes foi apenas incipiente, porque muitos não entendiam como se concentrar em lidar com a legislação e a deixaram para depois. Agora, o que precisa realmente ser feito é debater mais sobre conceitos, conscientização e outros aspectos.

3 - Quais os principais erros cometidos na adoção da LGPD na Saúde? 

Um erro básico cometido foi iniciar tudo que a gente chama de uma adequação jurídica, que é só pró-forma, e esquecer dos conceitos de segurança da informação e do interno da organização e do uso dos dados. Então, todo mundo teve a política de privacidade, tratou de cookie e de vários aspectos considerados um pouco mais legais, como termo de consentimento, por exemplo. Mas muitos se esqueceram e relegaram um pouco o aspecto técnico, que está mais ligado a realmente melhorar o controle de acesso das aplicações, segregar quem pode ver determinadas informações.

Especificamente em relação à Saúde, o fato é que se trata de um dado muito sensível, que pode impactar demais a vida da pessoa com uma informação exposta. Aí, nesse sentido, a gente viu algumas organizações de Saúde relegando a organização de LGPD somente a um projeto e esquecendo de envolver a organização como um todo. Não pode só envolver pessoas que trabalham com dados.

A organização de Saúde precisa estar consciente dos riscos e do porquê a LGPD é importante. Acho que isso é um pouco o que gerou essa dificuldade de engajar médicos, enfermeiros e outros profissionais que trabalham na frente.

4 - A demanda por um sistema de Saúde interoperável é antiga. Com a chegada do open health, dá-se um passo nessa jornada. Como o compartilhamento de dados na Saúde interfere na adequação à LGPD? 

De maneira alguma entendo que o open health atrapalha a adequação à LGPD. A única questão que tem de ser observada é que o compartilhamento precisa ser claro para o titular dos dados. Ele deve ter a consciência de que o prontuário médico dele, de que as suas informações médicas estão sendo compartilhadas e, nesse sentido, ter mecanismos para saber com quem é feito esse compartilhamento, com qual o intuito está sendo compartilhado e qual seria a maneira em que ele poderia acessar esse compartilhamento para que não ocorresse mais.

Então, eu entendo que a LGPD dá mais tranquilidade para o usuário em fazer esse compartilhamento dos seus dados pessoais de uma maneira em que, a qualquer momento, ele possa revogar ou acompanhar o que está sendo feito. A lei não veio para impedir o tratamento de dados, mas para colocar um padrão de clareza, para dar o controle dessa informação ao titular dos dados. 

5 - LGPD x Segurança da Informação: um caminho sem volta?

A LGPD foi uma grande fomentadora de transformações em segurança da informação por conta da aplicabilidade de uma eventual multa que ela traria. Então, organizações que nunca haviam se preocupado com segurança da informação acabaram por direcionar investimentos, esforços, contratar equipe e realmente assimilar que a ideia de exposição de dados tem um risco para a empresa.

Por outro lado, não foi só a LGPD, mas como as questões de ransomware, de criptografia das informações fizeram com que elas elevassem o cuidado. Então, são dois grandes fomentadores da evolução da segurança da informação nas empresas, principalmente as brasileiras.