Setor de saúde deve se adequar imediatamente aos processos para atender às determinações da lei
4 de setembro de 2020
A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018 (lei nº 13.709), que regulamenta o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, teve sua vigência aprovada pelo Senado Federal no último mês de agosto e entrará em vigor a partir da sanção da Presidência da República.
A LGPD acolhe regras constantes no Marco Civil da Internet (lei º 12.965/2014), no Código de Defesa do Consumidor e em outras normativas precedentes inspiradas na lei de proteção de dados europeia, a GDPR (General Data Protection Regulation), aplicável a todos os países da União Europeia (UE) desde maio de 2018, que usa os direitos fundamentais de liberdade e de privacidade como norte para estabelecer regras a respeito da coleta e armazenamento de dados pessoais e seu compartilhamento.
Para a saúde, segmento que lida com dados sensíveis – que permitem a identificação das pessoas – e, portanto, requerem um tratamento ainda mais rigoroso, as empresas precisam urgentemente se adequar e implementar os processos para atender aos requisitos impostos pela nova legislação.
Jair Rezini, gerente corporativo de Controles Internos e Compliance do Grupo Pardini e membro do Comitê de Governança, Ética e Compliance (GEC) da Associação Brasileira de Medicina Diagnóstico (Abramed), recomenda que mais importante que cumprir a lei, as organizações precisam perceber que a proteção de dados pessoais vai muito além de adequar sistemas e processos. “É uma mudança de mentalidade, de cultura na forma como se tratava os dados pessoais e de como proceder e lidar com essas informações de agora em diante, alinhado aos padrões internacionais.”
Sem a pretensão de criar um manual de implementação da LGPD, Rezini sugere às empresas dividir o processo por etapas para auxiliar na reflexão de como conduzir o desafiador projeto de implantação da lei. “É um procedimento que pode ser trabalhoso, mas não necessariamente difícil, pois uma vez que o processo se torne diário dentro da organização, será tratado com a mesma naturalidade e fluidez como tantos outros já são habitualmente”, explica.
Antes de tudo, o especialista sugere a avalição da possibilidade de contratar uma empresa para apoiar na implementação, pois essas instituições trazem em seus portfólios de atividades, modelos e metodologias que contribuem com sugestões de como fazer a gestão do projeto. “Para se enquadrar nas exigências da lei, as empresas terão de fazer algum investimento, seja em tecnologia ou em capacitação de seus profissionais internos, para que a implantação de uma estrutura e uma política interna de compliance digital acerca do tratamento de dados de seus clientes seja realmente eficaz”, destaca o gerente.
Na primeira etapa, chamada de planejamento, deve-se criar uma equipe para o “projeto LGPD”; definir os papeis e responsabilidades de cada um; obter o apoio da alta administração; com a participação da empresa parceira contratada, treinar os participantes do grupo sobre os principais aspectos da lei, para que tenham senso crítico; e definir as pessoas-chaves a serem entrevistadas, na fase de mapeamento e análise de dados, que vem em seguida.
Relacionar todos os sistemas da empresa e os macroprocessos que potencialmente tratam os dados pessoais e promover a conscientização e o envolvimento, com organização de mini workshops para sensibilização sobre o tema, são importantes, inclusive a diretoria, os líderes, as pessoas-chaves e demais colaboradores devem ser envolvidos nesse processo.
Para as entrevistas, Rezini sugere um questionário previamente elaborado, que será aplicado a todos os profissionais envolvidos em atividades que possam conter ou tratar de dados pessoais. Esta ação normalmente é realizada pela empresa parceira. Também deve ser estabelecido um Data Discovery, com o mapeamento de todos os sistemas. “Com um diagnóstico da equipe de Tecnologia da Informação (TI) juntamente com a área de controles internos, riscos e compliance – da própria empresa ou terceirizada –, com relatórios de análises de risco e de impacto das novas exigências, será possível verificar em qual estágio a empresa se encontra, quais são os pontos mais vulneráveis de seus sistemas e constatar os maiores fatores de risco”, ressalta.
Esta é a fase de avaliação dos riscos identificados – os gaps –, em que são criadas ou adequadas as políticas internas, normas e/ou procedimentos e identificados os recursos tecnológicos existentes para armazenamento, controle, segurança e proteção dos dados pessoais.
O passo seguinte é a criação do plano de ação para adequação de cada um dos gaps, com dimensionamento de recursos: pessoas, sistemas e equipamentos disponíveis; e a elaboração do cronograma geral (envolvendo todos os pontos) e específico (um para cada gap).
Dependo do perfil da empresa, Rezini propõe a criação de um Comitê de LGPD ou de Privacidade e devem ser priorizadas as ações a serem implementadas, principalmente porque a vigência da lei já foi aprovada, iniciando-se por aquelas que mitigarão os maiores riscos. “Neste momento, a organização deve discutir e definir qual é o seu ‘apetite ao risco’, pois certamente não será possível implementar todas as ações de imediato”, esclarece.
Também é preciso definir quem será o Data Protection Officer (DPO): o profissional que, dentro da empresa, irá ser o encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes. “A designação do DPO deve ser realizada em função das competências profissionais, em especial, dos conhecimentos avançados de proteção de dados e que ele seja capaz de cumprir as tarefas relacionadas com a segurança das informações após a LGPD”, explica o gerente corporativo do Grupo Pardini.
Na penúltima etapa de implementação da Lei Geral de Proteção de Dados, a proposta é a execução do plano de ações, que deve contar com o engajamento de todas as áreas e colaboradores da empresa, inclusive a diretoria. Para tanto, reuniões periódicas e relatórios de status devem ser apresentados e o alinhamento com a equipe do projeto deve ser diário. Caso seja necessário, replanejar as ações se ocorrerem desvios ao que foi planejado.
Após a adequação à lei, Jair Rezini recomenda que o DPO passe a atuar no dia a dia dos processos e no monitoramento e controle. As correções e atualizações do sistema de proteção e segurança de dados devem ser mantidas como rotinas. “Sem um sistema preparado, as organizações não conseguirão atender às exigência da lei, e estarão expostas a possíveis processos judiciais”, alerta. As multas podem chegar a R$ 50 milhões, mas as punições foram adiadas até agosto de 2021 pela lei nº 14.010, criada em junho deste ano.
Porém, na visão do especialista, num momento em que o setor discute cada vez mais o empoderamento do paciente e sua efetiva participação no cuidado com a própria saúde, é preciso encarar esse desafio como mais uma oportunidade para trazê-los para perto das organizações de saúde. “Isso significa que os consumidores estão cada dia mais atentos a como as empresas coletam seus dados. Haverá pedidos por parte dos pacientes e um posicionamento das empresas pró proteção da privacidade pode ser um diferencial competitivo, com o nível de serviço adequado”, conclui Rezini.
