A transformação digital trouxe um inegável benefício às organizações de Saúde, mas também ampliou a responsabilidade delas com relação ao tratamento dos dados pessoais

A Lei Geral de Proteção de Dados (LGPD) trouxe mudanças importantes para as empresas do setor de saúde por exigir, cada vez mais, a criação de políticas seguras e transparentes sobre o uso, a coleta e o armazenamento de dados pessoais. Conforme a saúde brasileira avança em sua jornada de transformação digital e de maior conectividade, mais intenso se torna o fluxo e o volume de dados gerados a partir das plataformas virtuais que demandam plena e instantânea proteção.

Para deixar o cenário da segurança de dados mais complexo, basta lembrar que, nos últimos meses, os ataques cibernéticos intensificaram-se em todo o planeta e a cibersegurança tornou-se uma preocupação constante entre os líderes das instituições de saúde, que, por norma, abrigam um número incalculável de dados — hoje, mais digitais que nunca. E a situação não deve melhorar muito nos próximos anos. Segundo um artigo publicado na Cybersecurity Ventures, até 2031, haverá um ataque de ransomware a cada dois segundos.

A permanente atenção com o fator humano 

Conforme o gerente de Segurança da Informação do Hospital Sírio Libanês (SP), Leandro Ribeiro, zelar pela segurança de dados pessoais na área da Saúde é algo bem maior do que salvaguardar um dado ou a imagem de uma empresa, afinal, reflete-se diretamente na proteção da vida. Portanto, a criação de uma política de proteção de dados eficiente requer mudanças efetivas, a começar pelos colaboradores da organização. Segundo o Fórum Econômico Mundial, 95% dos ataques cibernéticos são causados por erro humano. Por isso, é essencial estabelecer uma permanente agenda de capacitação e de conscientização de cada colaborador.

Este trabalho, a propósito, deve contemplar funcionários de todos os setores, sempre com o propósito de reforçar a importância de medidas simples, mas que exercem grande impacto na segurança dos sistemas e, consequentemente, no atendimento da LGPD, como a troca constante de senhas, passando pela utilização correta do fator de autenticação e culminando na participação frequente dos próprios treinamentos oferecidos pela empresa.  

Mais do que proteger os dados pessoais e sensíveis dos pacientes, essas mudanças significam defender vidas colocadas sob a proteção não apenas das equipes médicas, mas de toda a instituição de saúde. Conhecer cada aspecto da LGPD também faz parte dessa evolução no modus operandi da empresa, com o dever de tratar dados digitalizados conforme o que a lei preconiza. Por isso, investir em treinamento aos funcionários e criar um comitê que se debruce sobre o tema são medidas fundamentais para viabilizar que a empresa esteja sempre em dia com a lei.

Baixe grátis o eBook! Fique em conformidade com a LGPD - Descubra o que muda com essa lei e como adequar a sua instituição. Clique aqui!

É sempre bom lembrar das consequências do descumprimento 

Segundo Renata Rothbarth, advogada especialista em saúde digital do Mattos Filho, quando a LGPD foi publicada, cogitava-se a possibilidade de ela não se firmar. Porém, outros países estavam pressionando o Brasil sobre o dever de se ter um tratamento específico sobre qual a melhor forma de processar dados, compartilhar e fazer transferências internacionais. A União Europeia tem, dentre suas regras, apenas compartilhar e transferir dados regulados pela General Data Protection Regulation (GDPR) com países que tenham, pelo menos, uma legislação semelhante. Dessa forma, não havia mais dúvidas de que a LGPD havia chegado para ficar.  

As sanções pelo descumprimento da lei variam conforme a gravidade e a natureza das infrações e dos direitos pessoais dos afetados. A multa máxima é de 2% do faturamento da empresa, com limite de R$ 50 milhões por infração.

“Pode haver também algum tipo de advertência e prazo para a empresa remediar uma falha ou descumprimento de algum aspecto da regulamentação de proteção de dados, que não se limita só à LGPD. Agora, começamos a ver atos normativos da própria ANPD [Autoridade Nacional de Proteção de Dados] regulando temas em maior profundidade, por exemplo, em questão da dosimetria, dados de crianças e adolescentes, entre outros. Estamos no momento de discutir quais são os fatores que serão considerados pela autoridade para definir o valor daquela multa, quais as circunstâncias são consideradas atenuantes ou agravantes”, diz a especialista.

Segundo a advogada, no entanto, algumas das penalidades podem ser ainda piores do que a multa. Por exemplo, a exposição pública de um vazamento de dados pessoais de milhares de clientes é um prejuízo reputacional imenso, que pode derrubar não apenas a credibilidade, mas a própria empresa. Ainda mais grave do que perder esse ativo precioso, é ser impedido de tratar dados pessoais de seu banco por estarem bloqueados, temporária ou permanentemente. Esta punição, sim, pode acabar definitivamente com o negócio da empresa de saúde, além de colocar em risco a vida de muitos de seus pacientes. E ela completa:

“Às vezes, o risco não é só o que a empresa está assumindo, os profissionais de saúde também estão, porque, por essência, eles têm a obrigação de confidencialidade, sigilo com relação às informações que são trocadas, principalmente quando falamos no âmbito assistencial”, finaliza. Conteúdo apurado no HIS 2022.