Setor de saúde deve se adequar imediatamente aos processos para atender às determinações da lei
4 de setembro de 2020
A Lei Geral de Proteção de Dados (LGPD), sancionada
em agosto de 2018 (lei nº 13.709), que regulamenta o tratamento de
dados pessoais, inclusive nos meios digitais, por pessoa natural ou
jurídica de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural, teve sua vigência aprovada pelo Senado Federal
no último mês de agosto e entrará em vigor a partir da sanção da Presidência da
República.
A LGPD acolhe regras constantes no Marco Civil da
Internet (lei º 12.965/2014), no Código de Defesa do Consumidor e em outras
normativas precedentes inspiradas na lei de proteção de dados europeia, a GDPR
(General Data Protection Regulation), aplicável a todos os países da União Europeia (UE) desde maio de 2018, que usa os direitos fundamentais de liberdade e de
privacidade como norte para estabelecer regras a respeito da coleta e
armazenamento de dados pessoais e seu compartilhamento.
Para a saúde, segmento que lida com dados sensíveis –
que permitem a identificação das pessoas – e, portanto, requerem um tratamento
ainda mais rigoroso, as empresas precisam urgentemente se adequar e implementar
os processos para atender aos requisitos impostos pela nova legislação.
Jair Rezini, gerente corporativo de
Controles Internos e Compliance do Grupo Pardini e membro do Comitê de
Governança, Ética e Compliance (GEC) da Associação Brasileira de
Medicina Diagnóstico (Abramed), recomenda que mais importante que cumprir a
lei, as organizações precisam perceber que a proteção de dados pessoais vai muito além de adequar sistemas e
processos. “É uma mudança de mentalidade, de cultura na forma como se tratava
os dados pessoais e de como proceder e lidar com essas informações de agora em
diante, alinhado aos padrões internacionais.”
Sem a pretensão de criar um manual de implementação
da LGPD, Rezini sugere às empresas dividir o processo por etapas para auxiliar na
reflexão de como conduzir o desafiador projeto de implantação da lei. “É um
procedimento que pode ser trabalhoso, mas não
necessariamente difícil, pois uma vez que o processo se torne diário dentro da organização,
será tratado com a mesma naturalidade e fluidez como tantos outros já são habitualmente”,
explica.
Antes de tudo, o especialista sugere a avalição da
possibilidade de contratar uma empresa para apoiar na implementação, pois essas
instituições trazem em seus portfólios de atividades, modelos e metodologias
que contribuem com sugestões de como fazer a gestão do projeto. “Para se
enquadrar nas exigências da lei, as empresas terão de fazer algum investimento,
seja em tecnologia ou em capacitação de seus profissionais internos, para que a
implantação de uma estrutura e uma política interna de compliance
digital acerca do tratamento de dados de seus clientes seja realmente eficaz”,
destaca o gerente.
Na primeira etapa, chamada de
planejamento, deve-se criar uma equipe para o “projeto LGPD”; definir os papeis
e responsabilidades de cada um; obter o apoio da alta administração; com a
participação da empresa parceira contratada, treinar os participantes do grupo
sobre os principais aspectos da lei, para que tenham senso crítico; e definir
as pessoas-chaves a serem entrevistadas, na fase de mapeamento e análise de
dados, que vem em seguida.
Relacionar todos os sistemas da
empresa e os macroprocessos que potencialmente tratam os dados pessoais e
promover a conscientização e o envolvimento, com organização de mini workshops
para sensibilização sobre o tema, são importantes, inclusive a diretoria, os
líderes, as pessoas-chaves e demais colaboradores devem ser envolvidos nesse
processo.
Para as entrevistas, Rezini sugere um
questionário previamente elaborado, que será aplicado a todos os profissionais
envolvidos em atividades que possam conter ou tratar de dados pessoais. Esta
ação normalmente é realizada pela empresa parceira. Também deve ser estabelecido
um Data Discovery, com o mapeamento de todos os sistemas. “Com um diagnóstico da
equipe de Tecnologia da Informação (TI) juntamente com a área de controles
internos, riscos e compliance – da própria empresa ou terceirizada –,
com relatórios de análises de risco e de impacto das novas exigências, será
possível verificar em qual estágio a empresa se encontra, quais são os pontos
mais vulneráveis de seus sistemas e constatar os maiores fatores de risco”,
ressalta.
Esta é a fase de avaliação dos riscos
identificados – os gaps –, em que são criadas ou adequadas as políticas
internas, normas e/ou procedimentos e identificados os recursos tecnológicos
existentes para armazenamento, controle, segurança e proteção dos dados
pessoais.
O passo seguinte é a criação do plano
de ação para adequação de cada um dos gaps, com dimensionamento de recursos:
pessoas, sistemas e equipamentos disponíveis; e a elaboração do cronograma
geral (envolvendo todos os pontos) e específico (um para cada gap).
Dependo do perfil da empresa, Rezini
propõe a criação de um Comitê de LGPD ou de Privacidade e devem ser priorizadas
as ações a serem implementadas, principalmente porque a vigência da lei já foi
aprovada, iniciando-se por aquelas que mitigarão os maiores riscos. “Neste
momento, a organização deve discutir e definir qual é o seu ‘apetite ao risco’,
pois certamente não será possível implementar todas as ações de imediato”,
esclarece.
Também é preciso definir quem será o Data Protection
Officer (DPO): o profissional que, dentro da empresa, irá ser o encarregado de
cuidar das questões referentes à proteção dos dados da organização e de seus
clientes. “A designação do DPO deve ser realizada em função das competências
profissionais, em especial, dos conhecimentos avançados de proteção de dados e
que ele seja capaz de cumprir as tarefas relacionadas com a segurança das
informações após a LGPD”, explica o gerente corporativo do Grupo
Pardini.
Na penúltima etapa de implementação da Lei Geral de
Proteção de Dados, a proposta é a execução do plano de ações, que deve contar
com o engajamento de todas as áreas e colaboradores da empresa, inclusive a
diretoria. Para tanto, reuniões periódicas e relatórios de status devem
ser apresentados e o alinhamento com a equipe do projeto deve ser diário. Caso seja
necessário, replanejar as ações se ocorrerem desvios ao que foi planejado.
Após a adequação à lei, Jair Rezini recomenda
que o DPO passe a atuar no dia a dia dos processos e no monitoramento e
controle. As correções e atualizações do sistema de proteção e segurança de
dados devem ser mantidas como rotinas. “Sem um sistema preparado, as
organizações não conseguirão atender às exigência da lei, e estarão expostas a
possíveis processos judiciais”, alerta. As multas podem chegar a R$ 50 milhões,
mas as punições foram adiadas até agosto de 2021 pela lei nº 14.010, criada em
junho deste ano.
Porém, na visão do especialista, num momento em que o setor discute cada vez mais o
empoderamento do paciente e sua efetiva participação no cuidado com a própria
saúde, é preciso encarar esse desafio como mais uma oportunidade para trazê-los
para perto das organizações de saúde. “Isso significa que os consumidores estão
cada dia mais atentos a como as empresas coletam seus dados. Haverá pedidos por
parte dos pacientes e um posicionamento das empresas pró proteção da
privacidade pode ser um diferencial competitivo, com o nível de serviço
adequado”, conclui Rezini.