Sétimo encontro do #DiálogosDigitais Abramed reuniu especialistas para tratar dos melhores caminhos para adequação à legislação
11 de novembro de 2020
Em vigor desde 18 de setembro no Brasil, a Lei Geral de
Proteção de Dados (LGPD – Lei nº 13.709/2018) vem causando muitos debates e
questionamentos. Influenciada pela legislação europeia e promovendo a regulamentação
do tratamento de dados pessoais, a norma brasileira promove alterações nas
rotinas empresariais e traz diversos impactos diretos ao setor de saúde.
Abordando os inúmeros desafios inerentes à adaptação à lei,
o sétimo encontro da série #DiálogosDigitais Abramed reuniu, na noite de 10 de
novembro, Fernando Torelly, CEO do Hcor; Marcelo Lorencin, presidente da Shift
e diretor presidente da Associação Brasileira das Empresas Desenvolvedoras de
Sistemas de Informação Laboratorial (LIS Brasil); e Teresa Gutierrez, sócia da
Machado Nunes, para um bate-papo completo moderado por Rogéria Cruz, coordenadora
do GT de Proteção de Dados da Abramed e Diretora Jurídica do Hospital Israelita
Albert Einstein.
A LGPD entrou em vigor durante a pandemia de COVID-19, o que
foi mais um entrave para as instituições de saúde que já estavam lidando com um
cenário totalmente inesperado. “Um setor extremamente impactado pela pandemia
teve de se adaptar ainda mais. E sabemos que proteção de dados é um processo
contínuo e multidisciplinar que requer esforço de todos. Não há como relacionar
a LGPD apenas à uma área”, comentou Rogéria ao dar início ao debate.
Bastante regulado, o setor de saúde já tinha boas percepções
quanto ao tratamento de dados, principalmente por lidar com dados sensíveis.
Porem é preciso lembrar que dentro do segmento existe uma variedade de empresas
com diversos níveis de maturidade. E isso tornou necessário o investimento em
um processo educacional, de mudança de cultura.
“A proteção de dados não deveria ser uma novidade para o
setor que já tinha de contar com essa preservação de dados embutida em qualquer
instituição. Mas vejo, hoje, que o aculturamento é necessário”, comentou Teresa
enfatizando que a lei está inserida até mesmo em atitudes consideradas
rotineiras como a troca de informações de pacientes por WhatsApp, uma
plataforma que já se comprovou insegura.
Para Lorencin, esse processo de instrução também deve
enfatizar que a adequação à LGPD não envolve apenas a tecnologia, como muitos
empresários pensam. “O primeiro grande desafio está na cultura do Brasil e das
empresas nacionais, pois o problema vai muito além da tecnologia da informação.
É uma questão de compliance e de processos”, disse. Segundo o executivo, há
pessoas que questionam quando que será lançada uma nova versão dos softwares
com compliance 100% adequado à LGPD. “Não há uma compreensão de que não haverá
essa ‘nova versão’. As versões lançadas incorporam novidades que auxiliam a
adequação, mas há muito além disso”, declarou.
No HCor, por exemplo, onde há grande dedicação ao tema com
reuniões semanais entre os envolvidos, há uma revisão da política de utilização
de dispositivos pessoais na organização e um debate interno aquecido quanto ao
desenvolvimento de uma plataforma substitutiva ao WhatsApp. “Pensamos em como
criar uma ferramenta institucional para que o corpo clínico possa transitar
informações de forma segura, pois hoje boa parte do segmento utiliza o
WhatsApp”, declarou Torelly. O executivo também mencionou que dentro do
hospital já foram levantadas 150 oportunidades de melhorias e ajustes que
auxiliarão na adequação da instituição às normas impostas pela LGPD.
Investimentos necessários
A adequação à LGPD passa, impreterivelmente, por
investimentos tanto em recursos humanos quanto em tecnologia da informação.
Porém dentro de um setor tão complexo, onde há empresas de todos os portes e
maturidades, esse processo não será igualitário para todos. “O que me preocupa
não é apenas a aplicação da LGPD em si, mas a estrutura do nosso segmento.
Temos mais de seis mil hospitais pelo país, poucos acreditados e poucos com
condições de investir em segurança da informação”, pontuou Torelly.
O Hcor já contratou um Data Protection Officer (DPO) exclusivo
para a instituição. “O tema proteção de
dados deixou de ser um projeto estratégico para se tornar um tema central da
gestão e, a partir de agora, é um processo que não terminará nunca pois cada
vez teremos mais informações importantes dos pacientes. Por isso entendemos que
o DPO é um cargo de liderança, estratégico, que reporta direto ao CEO”,
completou o executivo.
Teresa concorda com Torelly que a LGPD deve ser observada
com continuidade. “Esse é um trabalho que nunca vai acabar, que não terá fim. É
preciso investir dinheiro, investir em sistemas e aqueles que ainda não têm,
por exemplo, prontuários eletrônicos implementados terão um passo ainda maior a
ser dado”, enfatizou.
Autoridade Nacional de Proteção de Dados (ANPD)
Os cinco membros do primeiro conselho diretor da ANPD foram
aprovados pela Comissão de Infraestrutura do Senado em meados de outubro e o
órgão foi estabelecido para garantir a eficácia da LGPD. Para Lorencin, é
importante que a Autoridade atue como uma facilitadora dos processos. Teresa
concorda e reforça: “Esperamos que seja uma atuação mais consultiva nesse
primeiro momento, que não seja apenas punitiva. Vamos torcer”.
Gestão de dados sem bloqueios
Para Lorencin é preciso empoderar o paciente, garantindo sua
privacidade, mas sem coibir o trânsito relevante de informações que beneficiam
o próprio paciente. “Os negócios vão sendo transformados pela tecnologia, mas
sempre a favor do ser humano. Empoderar sim, trancar não”, disse.
Um bom exemplo de como a troca de informações entre players
do setor pode impactar positivamente o paciente foi apresentada por Torelly.
Segundo ele, as grandes instituições de saúde estão criando programas de
atenção primária para atendimento aos colaboradores. Com isso, o médico da
atenção primária tem todas as informações sobre doenças crônicas e
acompanhamento dos profissionais. Paralelamente, o departamento de recursos
humanos tem os atestados médicos. Na terceira vertente, os sistemas
hospitalares têm as informações de atendimento nos prontos-socorros.
“Em três sistemas diferentes, a soma das informações pode
predizer quem vai infartar no ano que vem e apontar eventos preditivos mais
graves. Se essas informações não são trabalhadas, é tirada dessa pessoa a oportunidade
de tratar aquele evento antes que ele de fato ocorra”, declarou lembrando que é
fundamental que essa pessoa autorize a utilização desses dados diversos. “Pode
ser que a pessoa não autorize, porém creio que com a explicação, 99% das
pessoas vai permitir”, complementou.
Em Portugal, segundo Torelly, o médico da família tem total
acompanhamento do paciente, inclusive recebendo um SMS quando ele é internado
em algum hospital. Também por mensagem de texto, o paciente pode autorizar o
acompanhamento do médico de família e, assim, as informações são trocadas entre
os profissionais que estão prestando a assistência. Por lá, além do médico de
família, a estrutura também oferece um enfermeiro e um secretário responsável
por cuidar dos agendamentos de procedimentos evitando que o paciente postergue
exames preventivos relevantes para a manutenção da saúde.
Para encerrar o debate, Priscilla Franklim Martins,
diretora-executiva da Abramed, trouxe a pergunta do presidente do Conselho de
Administração da entidade, Wilson Shcolnik: “sabemos que os serviços de saúde
têm sido alvo de hackers. Em suas respectivas empresas, vocês já fizeram testes
de pishing?”.
Lorencin disse ser normal a contratação de empresas para um
autoataque; Rogéria confirmou que dentro do Hospital Israelita Albert Einstein
há empresas que testam o ambiente simulando esses ataques; Torelly disse que
inclusive é comum a contratação de mais de uma empresa para que o ataque não
seja padronizado, testando de fato a segurança local; e Teresa citou que há sim
testes de vulnerabilidade, porém que o vazamento de dados costuma ocorrer por
conta das pessoas mesmo, nem sempre em decorrência de falhas nos sistemas.
O bate-papo completo deste episódio está
disponível no canal do YouTube da Abramed (clique AQUI para assistir) e a
última edição está marcada para 24 de novembro e trará, como tema principal, “Aprendizados
COVID-19”.