LGPD – Desafios extrapolam a tecnologia e envolvem mudança de cultura

LGPD – Desafios extrapolam a tecnologia e envolvem mudança de cultura

Sétimo encontro do #DiálogosDigitais Abramed reuniu especialistas para tratar dos melhores caminhos para adequação à legislação

11 de novembro de 2020

Em vigor desde 18 de setembro no Brasil, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) vem causando muitos debates e questionamentos. Influenciada pela legislação europeia e promovendo a regulamentação do tratamento de dados pessoais, a norma brasileira promove alterações nas rotinas empresariais e traz diversos impactos diretos ao setor de saúde.

Abordando os inúmeros desafios inerentes à adaptação à lei, o sétimo encontro da série #DiálogosDigitais Abramed reuniu, na noite de 10 de novembro, Fernando Torelly, CEO do Hcor; Marcelo Lorencin, presidente da Shift e diretor presidente da Associação Brasileira das Empresas Desenvolvedoras de Sistemas de Informação Laboratorial (LIS Brasil); e Teresa Gutierrez, sócia da Machado Nunes, para um bate-papo completo moderado por Rogéria Cruz, coordenadora do GT de Proteção de Dados da Abramed e Diretora Jurídica do Hospital Israelita Albert Einstein.

A LGPD entrou em vigor durante a pandemia de COVID-19, o que foi mais um entrave para as instituições de saúde que já estavam lidando com um cenário totalmente inesperado. “Um setor extremamente impactado pela pandemia teve de se adaptar ainda mais. E sabemos que proteção de dados é um processo contínuo e multidisciplinar que requer esforço de todos. Não há como relacionar a LGPD apenas à uma área”, comentou Rogéria ao dar início ao debate.

Bastante regulado, o setor de saúde já tinha boas percepções quanto ao tratamento de dados, principalmente por lidar com dados sensíveis. Porem é preciso lembrar que dentro do segmento existe uma variedade de empresas com diversos níveis de maturidade. E isso tornou necessário o investimento em um processo educacional, de mudança de cultura.

“A proteção de dados não deveria ser uma novidade para o setor que já tinha de contar com essa preservação de dados embutida em qualquer instituição. Mas vejo, hoje, que o aculturamento é necessário”, comentou Teresa enfatizando que a lei está inserida até mesmo em atitudes consideradas rotineiras como a troca de informações de pacientes por WhatsApp, uma plataforma que já se comprovou insegura.

Para Lorencin, esse processo de instrução também deve enfatizar que a adequação à LGPD não envolve apenas a tecnologia, como muitos empresários pensam. “O primeiro grande desafio está na cultura do Brasil e das empresas nacionais, pois o problema vai muito além da tecnologia da informação. É uma questão de compliance e de processos”, disse. Segundo o executivo, há pessoas que questionam quando que será lançada uma nova versão dos softwares com compliance 100% adequado à LGPD. “Não há uma compreensão de que não haverá essa ‘nova versão’. As versões lançadas incorporam novidades que auxiliam a adequação, mas há muito além disso”, declarou.

No HCor, por exemplo, onde há grande dedicação ao tema com reuniões semanais entre os envolvidos, há uma revisão da política de utilização de dispositivos pessoais na organização e um debate interno aquecido quanto ao desenvolvimento de uma plataforma substitutiva ao WhatsApp. “Pensamos em como criar uma ferramenta institucional para que o corpo clínico possa transitar informações de forma segura, pois hoje boa parte do segmento utiliza o WhatsApp”, declarou Torelly. O executivo também mencionou que dentro do hospital já foram levantadas 150 oportunidades de melhorias e ajustes que auxiliarão na adequação da instituição às normas impostas pela LGPD.

Investimentos necessários

A adequação à LGPD passa, impreterivelmente, por investimentos tanto em recursos humanos quanto em tecnologia da informação. Porém dentro de um setor tão complexo, onde há empresas de todos os portes e maturidades, esse processo não será igualitário para todos. “O que me preocupa não é apenas a aplicação da LGPD em si, mas a estrutura do nosso segmento. Temos mais de seis mil hospitais pelo país, poucos acreditados e poucos com condições de investir em segurança da informação”, pontuou Torelly.

O Hcor já contratou um Data Protection Officer (DPO) exclusivo para a instituição. “O tema  proteção de dados deixou de ser um projeto estratégico para se tornar um tema central da gestão e, a partir de agora, é um processo que não terminará nunca pois cada vez teremos mais informações importantes dos pacientes. Por isso entendemos que o DPO é um cargo de liderança, estratégico, que reporta direto ao CEO”, completou o executivo.

Teresa concorda com Torelly que a LGPD deve ser observada com continuidade. “Esse é um trabalho que nunca vai acabar, que não terá fim. É preciso investir dinheiro, investir em sistemas e aqueles que ainda não têm, por exemplo, prontuários eletrônicos implementados terão um passo ainda maior a ser dado”, enfatizou.

Autoridade Nacional de Proteção de Dados (ANPD)

Os cinco membros do primeiro conselho diretor da ANPD foram aprovados pela Comissão de Infraestrutura do Senado em meados de outubro e o órgão foi estabelecido para garantir a eficácia da LGPD. Para Lorencin, é importante que a Autoridade atue como uma facilitadora dos processos. Teresa concorda e reforça: “Esperamos que seja uma atuação mais consultiva nesse primeiro momento, que não seja apenas punitiva. Vamos torcer”.

Gestão de dados sem bloqueios

Para Lorencin é preciso empoderar o paciente, garantindo sua privacidade, mas sem coibir o trânsito relevante de informações que beneficiam o próprio paciente. “Os negócios vão sendo transformados pela tecnologia, mas sempre a favor do ser humano. Empoderar sim, trancar não”, disse.

Um bom exemplo de como a troca de informações entre players do setor pode impactar positivamente o paciente foi apresentada por Torelly. Segundo ele, as grandes instituições de saúde estão criando programas de atenção primária para atendimento aos colaboradores. Com isso, o médico da atenção primária tem todas as informações sobre doenças crônicas e acompanhamento dos profissionais. Paralelamente, o departamento de recursos humanos tem os atestados médicos. Na terceira vertente, os sistemas hospitalares têm as informações de atendimento nos prontos-socorros.

“Em três sistemas diferentes, a soma das informações pode predizer quem vai infartar no ano que vem e apontar eventos preditivos mais graves. Se essas informações não são trabalhadas, é tirada dessa pessoa a oportunidade de tratar aquele evento antes que ele de fato ocorra”, declarou lembrando que é fundamental que essa pessoa autorize a utilização desses dados diversos. “Pode ser que a pessoa não autorize, porém creio que com a explicação, 99% das pessoas vai permitir”, complementou.

Em Portugal, segundo Torelly, o médico da família tem total acompanhamento do paciente, inclusive recebendo um SMS quando ele é internado em algum hospital. Também por mensagem de texto, o paciente pode autorizar o acompanhamento do médico de família e, assim, as informações são trocadas entre os profissionais que estão prestando a assistência. Por lá, além do médico de família, a estrutura também oferece um enfermeiro e um secretário responsável por cuidar dos agendamentos de procedimentos evitando que o paciente postergue exames preventivos relevantes para a manutenção da saúde.

Para encerrar o debate, Priscilla Franklim Martins, diretora-executiva da Abramed, trouxe a pergunta do presidente do Conselho de Administração da entidade, Wilson Shcolnik: “sabemos que os serviços de saúde têm sido alvo de hackers. Em suas respectivas empresas, vocês já fizeram testes de pishing?”.

Lorencin disse ser normal a contratação de empresas para um autoataque; Rogéria confirmou que dentro do Hospital Israelita Albert Einstein há empresas que testam o ambiente simulando esses ataques; Torelly disse que inclusive é comum a contratação de mais de uma empresa para que o ataque não seja padronizado, testando de fato a segurança local; e Teresa citou que há sim testes de vulnerabilidade, porém que o vazamento de dados costuma ocorrer por conta das pessoas mesmo, nem sempre em decorrência de falhas nos sistemas. O bate-papo completo deste episódio está disponível no canal do YouTube da Abramed (clique AQUI para assistir) e a última edição está marcada para 24 de novembro e trará, como tema principal, “Aprendizados COVID-19”.

Associe-se Abramed

Assine nossa Newsletter

5 FILIS Adiamento Abramed Home Office