Assinado por Marcos Ottoni, da CNSaúde, artigo detalha cenário da aplicação da LGPD no Brasil
9 de setembro de 2021
Com o início da vigência da Lei nº 13.709/2018 (LGPD),
ocorrido em setembro de 2020, bem como de suas sanções a partir de agosto de
2021, uma das principais preocupações do setor de saúde é assegurar que seus
anseios e preocupações sejam ouvidos pelas autoridades reguladoras.
A boa notícia é que conseguimos uma das 23 cadeiras no Conselho
Nacional de Proteção de Dados – CNPD, o qual auxiliará a Autoridade Nacional de
Proteção de Dados (ANPD) no processo de regulamentação da LGPD. Agora, será
possível ao setor apresentar suas peculiaridades e complexidades, bem como propor
sugestões de como realizar uma eficiente gestão de nosso principal insumo
(dados pessoais), sem deixar de lado a privacidade e o devido cuidado com as
informações de nossos pacientes.
Além disso, poderemos participar, de forma ativa, do processo
de regulamentação da norma junto à ANPD, órgão que também possui a atribuição
de normatizar, educar e conduzir o processo de aplicação de sanções.
Um ponto importante, e que precisa ser destacado, é que não
devemos encarar a vigência da Lei Geral de Proteção de Dados (LGPD) como uma
ameaça ao dia a dia do setor. Sabemos que a norma busca trazer uma profunda mudança
de cultura organizacional no que tange ao tratamento de dados pessoais, e que
esse é um processo que requer investimento e atenção. Porém, esse movimento em
prol de uma eficiente governança de dados, além de caminhar no mesmo sentido de
diversos países, especialmente europeus, permite ganhos de eficiência através
da revisão de diversos processos internos e aprimoramento de práticas de compliance.
A Cisco divulgou um estudo que inclui empresas brasileiras e
revela retornos positivos das organizações que investem nessa adequação.
Segundo o relatório, para cada US$ 1 aplicado, o retorno é de US$ 2,70. Entre
os reflexos, surgem melhorias de eficiência e de governança. Essa é uma boa
oportunidade, e não uma amarra.
O importante, agora, é nos atentarmos à essa adequação
lembrando, sempre, que a LGPD é uma lei principiológica com foco na regulação
responsiva. Ou seja, ao contrário das legislações em que o binômio “comando e
controle” eram a regra, a norma permite que as empresas e instituições se
adequem à lei mediante a definição de suas próprias condutas de governança,
lastreadas em análises de risco próprias e nos princípios legais existentes.
Enquanto isso, a ANPD pretende executar suas atribuições em
três momentos bem definidos. O primeiro é o processo de regulamentação da Lei,
mediante a realização de debates e consultas públicas, de forma bastante transparente.
O segundo será promover o processo de conscientização e educação da sociedade
quanto à importância das regras de privacidade e proteção de dados para os
setores púbico e privado. E, em um terceiro momento, após a efetiva definição
das regras, a Autoridade irá exercer o seu papel sancionador em sua plenitude. Assim,
ao contrário do que muito se apregoa, o que vemos é que a Autoridade não está
focada, neste momento, em punir, mas sim em normatizar e educar.
E quais devem ser os pontos de atenção iniciais do setor de
saúde e, principalmente, das empresas de medicina diagnóstica? Primeiramente podemos
pensar em quatro linhas principais:
- Coleta de dados e a observância dos
princípios da Lei – A empresa precisa avaliar o processo de coleta de dados
para que seja possível verificar se as informações tratadas são necessárias,
adequadas, e que tenham uma finalidade clara e amparada em uma base legal
legítima, sempre buscando a coleta do mínimo necessário. Neste ponto, temos de
rever o nosso dia a dia, a forma como trabalhamos, identificar o ciclo de vida
desses dados e não enquadrar o tratamento em apenas uma base legal, como o
consentimento, por exemplo.
- Compartilhamento – Hoje o
compartilhamento de dados é um dos grandes desafios do setor, já que os
prestadores precisam compartilhar dados com o Governo Federal, Secretarias
Estaduais e Municipais de Saúde, Agências Reguladoras, e eventualmente com
Operadoras de Planos de Saúde e outros players. Para a medicina diagnóstica o
desafio é enorme, já que o segmento gera um grande volume de informações sensíveis
e de extrema importância, cujo compartilhamento deve estar rigorosamente
embasado em uma base legal clara.
- Treinamento – Precisamos mudar a cultura
das empresas e treinar nossas equipes para a importância da privacidade e
proteção dos dados de nossos pacientes e colaboradores. Inicialmente, esse é o
foco mais importante para uma empresa, ao invés de investirmos em projetos complexos
e caros. Se conseguirmos o apoio dos nossos colaboradores para que todos
entendam a necessidade de uma eficaz governança de dados, o sucesso do
respectivo projeto de adequação será inevitável.
- Segurança da informação – Recentemente o
Valor Econômico publicou uma matéria que relata que, entre 2019 e 2020, as
tentativas de invasão subiram 715%, sendo o setor de saúde um dos mais visados.
De fato, o número de ataques contra o setor aumentou exponencialmente, seja em razão
de uma atuação cada vez mais elaborada e arrojada de grupos de hackers, mas
também diante de diversas vulnerabilidades estruturais existentes, seja do
setor público ou privado, em decorrência da falta de investimentos em
tecnologias de segurança da informação bem como em treinamento de funcionários.
A segurança da informação passou a ser item obrigatório e prioritário para
todas as empresas e em especial as do segmento de saúde.
Verifica-se que tais preocupações iniciais buscam assegurar o
uso transparente e eficiente dos dados pelo setor, diminuindo-se os riscos de
ferir ou afrontar direitos dos titulares.
Essa mudança de postura diante do tema é fundamental, pois
sabemos que nosso segmento utiliza dados pessoais para as atividades mais
básicas, seja para uma anamnese, para uma prescrição médica, realização de
exames, identificação de doenças e prescrição de um tratamento.
Além disso, o advento das novas tecnologias, o uso da
internet das coisas, a inteligência artificial, e o big data, associados à
telemedicina e a um modelo de gestão da saúde trazem novos desafios envolvendo a
privacidade e proteção de dados. E em um contexto de pandemia como o presente
momento, ficou evidente, também, a importância do uso dos dados para a
realização de pesquisas clínicas e científicas para o bem de toda a humanidade.
Neste contexto, compreender os princípios da LGPD, investir
na mudança de cultura e garantir que os dados possam ser tratados em prol do
desenvolvimento da saúde e da segurança dos pacientes é mandatório para os
prestadores de serviços de saúde, e em especial para o setor de medicina diagnóstica.
* Marcos Ottoni é conselheiro do Conselho Nacional de
Proteção de Dados e Coordenador Geral Jurídico da Confederação Nacional de
Saúde (CNSaúde)