Documento está disponível para download e busca auxiliar o processo de adequação à LGPD nas empresas de medicina diagnóstica
6 de outubro de 2021
Visando sempre enfatizar a importância de comportamentos
éticos, transparentes e vitais para a evolução da sustentabilidade do sistema
de saúde, a Associação Brasileira de Medicina Diagnóstica (Abramed) acaba de
lançar, por meio do Grupo de Trabalho (GT) de Proteção de Dados, o Guia de Boas
Práticas em Proteção de Dados para o Setor de Medicina Diagnóstica.
O documento – que está disponível para download AQUI – traz as bases
legais para o tratamento de dados sensíveis, apresenta detalhes sobre como
atender aos direitos dos titulares, e aborda o compartilhamento de dados de
saúde com as operadoras. Além disso, contribui diretamente com a gestão
corporativa ao abordar a proteção de dados pessoais no contexto dos recursos
humanos e as práticas comerciais em marketing.
“Para garantir a implementação da Lei Geral de Proteção de
Dados (LGPD), as empresas devem criar estratégias administrativas, mecanismos
jurídicos e tecnológicos e identificar responsabilidades, prevenindo e
antecipando riscos. Para apoiar nossos associados e demais empresas do setor no
processo de adequação à lei, preparamos esse guia com uma linguagem simples e
exemplos práticos. Trata-se de uma ferramenta consultiva para diferentes áreas
das corporações”, pontua Wilson Shcolnik, presidente do Conselho de
Administração da Abramed.
Devido à relevância do tema, em reunião realizada dia 23 de
setembro, Milva Pagano, diretora-executiva da Associação, mencionou o interesse
da entidade em transformar o GT de Proteção de Dados em um Comitê permanente na
entidade. “Os grupos de trabalho têm ação específica e tempo pré-determinado de
atuação. E o GT de Proteção de Dados foi iniciado com essa perspectiva. Porém,
agora, a proposta é que ele evolua para um Comitê permanente envolvendo não
somente membros dos departamentos jurídicos dos nossos associados, mas
profissionais das áreas de tecnologia e segurança da informação. Assim
poderemos ampliar as discussões”, disse.
Cibersegurança
A fim de promover conhecimento sobre a criação de um
ambiente virtual seguro, a reunião de 23 de setembro contou com a participação
de Domingo Montanaro, perito em TI e cofundador da Ventura Enterprise Risk. O
especialista apresentou a palestra “Riscos e prevenção no uso de dados no setor
de medicina diagnóstica”.
“Precisamos tratar desse assunto que é recorrente e não se refere
apenas à segurança do dado em si. Temos acompanhado, na Europa, que as
instituições de saúde muitas vezes são as mais atingidas com a interrupção dos
serviços e o sequestro de dados”, disse Rogéria Leoni Cruz, diretora jurídica e
Data Protection Officer do Hospital Israelita Albert Einstein, ao iniciar a
reunião e apresentar Montanaro.
Explicando em detalhes as ameaças do ransomware – software
de extorsão utilizado por quadrilhas digitais para sequestrar sistemas e exigir
um resgate para a liberação em ataques cada vez mais recorrentes – o
especialista fez alguns apontamentos bastante interessantes.
“Tratávamos de dois a três casos de ransomware por ano. Hoje
estamos tratando dez ou doze. Essas gangues que executam os ataques estão
conseguindo bilhões de dólares em pagamentos e se antes eles apenas
interrompiam as operações, hoje conseguem também copiar uma grande massa de
dados das corporações”, declarou.
Algumas empresas, a fim de se precaver desse tipo de
incidente, podem dedicar muitos esforços na criação e atualização constante de
um backup, mas nem sempre isso é suficiente. O especialista exemplificou com o
caso de uma companhia que tinha um backup ideal, porém a restauração poderia
demorar 21 dias. “Nesse caso a empresa pagou o resgate não porque não tinha os
dados, mas porque não podia aguardar três semanas para retomar sua operação.
Então é importante analisar o tempo da restauração do backup”, declarou.
Outro ponto que foi abordado por Montanaro é que atualmente
essas quadrilhas não planejam quem vão atacar, ficam escaneando a rede em busca
de uma oportunidade. “Cerca de 80% dos casos de ransomware a quadrilha não
escolheu o alvo”, pontuou. São tantos ataques nos Estados Unidos gerando
bilhões de dólares em pagamentos de resgate que o Tesouro Nacional resolveu se
posicionar quanto a essas ações.
O que as empresas precisam fazer para prevenir esses
ataques?
O primeiro passo, na opinião do especialista, é reconhecer
os erros. “Estamos colocando motores cada vez mais potentes sem melhorar os
pneus, a suspensão, o câmbio e sem instalar airbag, extintor e cinto de
segurança”, disse. Além disso, é preciso entender que o risco cibernético é
intransferível e que a responsabilidade não é apenas das áreas de TI e
segurança da informação.
Na sequência, existem algumas perguntas que precisam ser
feitas olhando para o ambiente interno:
- Quem está preocupado com o tema?
- Quais são os ativos mais importantes da empresa?
- Quem são os adversários?
- Quais são as ameaças?
- Qual a estratégia de combate a ameaças
cibernéticas?
E o interessante é que esses questionamentos sejam debatidos
junto ao conselho que, inclusive, segundo Montanaro, deve sempre ter pelo menos
um membro bastante familiarizado com o assunto. “Além disso, é preciso ter um
comitê com uma linha direta ao conselho”, disse.
Em sua apresentação, o especialista mencionou uma palestra
de Ronald Sugar, que atuou como presidente do Conselho e CEO da Northrop
Grumman até 2010, sobre todo esse cenário de cibersegurança, sugerindo que
todas as pessoas que estão inseridas nesses projetos assistissem. Essa palestra
está disponível no YouTube e você pode vê-la clicando AQUI.