Especialistas debatem os impactos da Lei Geral de Proteção de Dados em toda a cadeia produtiva da Saúde
Maio de 2019
Promovido pela Abramed em parceria com a Associação Nacional de Hospitais Privados (Anahp), o Comitê da Cadeia Produtiva da Saúde e Biotecnologia (ComSaude) da Federação das Indústrias do Estado de São Paulo (Fiesp), o Instituto Coalizão Saúde (Icos) e a Sociedade Brasileira de Informática em Saúde (SBIS), o seminário “Impactos da Lei Geral de Proteção de Dados na Saúde tirou dúvidas e respondeu a questionamentos a respeito da Lei Geral de Proteção de Dados – nº 13.709/2018 (LGPD) –, que entrará em vigor em agosto de 2020.
O evento focou na adequação de processos relacionados à saúde, que possui dados sensíveis que podem levar à discriminação de seus titulares. Realizado no dia 17 de abril na sede da Fiesp em São Paulo, reuniu especialistas de diversas áreas da saúde. Além de Claudia Cohn, presidente do Conselho da Abramed, participaram do evento: Ruy Baumer, diretor titular do ComSaude da Fiesp; Claudio Lottenberg, presidente do Icos; e Luis Gustavo Kiatake, presidente da SBIS.
“Na saúde, tudo é mais complexo do que nos outros setores, com informações de pacientes, e esse evento deve ser apenas o primeiro para ajudar o nosso setor a se preparar para atender às regras no prazo, que é curto”, afirmou Ruy Baumer em seu discurso de abertura, lembrando da necessidade de esclarecimentos a respeito da LGPD para que a legislação leve proteção à área da saúde, sem impedir sua operação e inovação.
A presidente do Conselho da Abramed, Claudia Cohn, também sugeriu que o assunto fosse estendido a novos encontros. “A intenção é que todo mundo se sensibilize nos pontos principais”, disse ela ao destacar a necessidade de o setor se organizar para adequar os pontos de melhoria que ainda podem ser modificados na lei enquanto não entra em vigor. “O diagnóstico é uma pequena porção de tudo que temos de trabalhar, lidar, discutir e nos prepararmos”, completou.
Claudio Lottenberg, presidente do Icos, acrescentou que esse processo de transformação é percebido no dia a dia das atividades das instituições de saúde. “Estamos nos reorganizando e buscando novos modelos. A liderança tem que estar preparada para o diálogo em que volume é substituído pelo conceito de valor, um sistema no qual o paciente seja colocado no centro da assistência”, explicou ponderando, entretanto, que o atual sistema de saúde funciona e qualquer transição – inclusive a oriunda da LGPD – deve ser pautada em conhecimentos para que aconteça com segurança, responsabilidade e sem prejuízos à sociedade.
No rol dessa complexidade, o presidente da SBIS, Luis Gustavo Kiatake, citou a abrangência e os diferentes níveis dos serviços prestados pelas instituições em um país continental como o Brasil. “A LGPD recai sobre toda a sociedade, mas nenhum outro segmento tem as nossas características. Atendemos 100% da população brasileira, mais os que estão em trânsito no país, com saúde pública e privada. Nenhum outro segmento tem essa abrangência e estabelecimentos com graus de maturidade tão diferentes uns dos outros”, explicou.
Dividido em quatro painéis e um bloco de perguntas e respostas, o seminário teve quatro horas de duração e foi acompanhado presencialmente por 400 pessoas, além de ter contabilizado 770 transmissões online.
O que muda com a lei?
Moderado por Claudia Cohn, o debate “O que muda após a publicação da LGPD – Lei 13.709/2018? Qual o papel da Autoridade Nacional de Proteção de Dados?” esclareceu dúvidas e elucidou questões que vêm tirando o sono dos atores da saúde.
Para facilitar os próximos passos da jornada até a promulgação da lei, a presidente da Abramed dividiu o caminho em três fases. “A primeira é de conhecimento e prática; a segunda, de adaptação, em que talvez tenhamos de perguntar o que precisamos fazer; e a fase três será a de preparo para receber eventuais processos por não estarmos seguindo a LGPD sem sequer termos conhecimento de que não estávamos”, disse citando a relevância das multas.
Segundo Teresa Gutierrez, sócia da Machado Nunes Advogados, teoricamente, todos os agentes da cadeia já deveriam ter incorporado em suas práticas cotidianas políticas de segurança da informação, inteirando que o texto da lei não conflita com as normas na Agência Nacional de Saúde Suplementar (ANS), por exemplo.
“Se pensarmos no setor da saúde e nas normas da ANS, da Anvisa, do Conselho Nacional de Saúde, do Conselho Federal de Medicina e todos os outros conselhos profissionais que regulamentam o setor, não há incongruências. A lei é extremamente positiva, consolida os conceitos e não exige a consulta a tantas agências reguladoras e dispositivos ao mesmo tempo”, disse a advogada.
Rony Vainzof, diretor do Departamento de Segurança (Deseg) da Fiesp, destacou que outro ponto positivo é que a LGPD traz segurança jurídica e investimentos para o país. “A nossa lei seguiu a principal legislação do mundo em termos de proteção de dados pessoais, que é a General Data Protection Regulation (GDPR) da União Europeia. Se o Brasil demorou muito para ter uma lei como essa, pelo menos já seguimos a lei mais atualizada que existe. Países vizinhos como Argentina e Uruguai, que já tinham leis específicas, estão tendo que atualizá-las”, contou.
O cenário a partir de 2020
Os custos também estão no radar de toda a cadeia da saúde, independentemente do segmento ou da geografia. Realizado na sequência do seminário, o painel “Os impactos em operações e custos vão afetar os players e as regiões do Brasil de maneiras diferentes durante a fase de implantação das normas da lei”, contou com a participação do coordenador do GT de Tecnologia de Informação da Anahp, Ailton Brandão; da coordenadora do GT de Proteção de Dados da Abramed, Rogéria Cruz; da diretora jurídica da Interfarma, Tatiane Schofield; do consultor jurídico da Associação Brasileira da Indústria de Alta Tecnologia de Produtos (Abimed), Benny Spiewak; e do Consultor de tecnologia da ABIMO, Donizetti Louro.
“Os impactos em operações e custos vão afetar os players e as regiões do Brasil de maneiras diferentes durante a fase de implantação das normas da lei”, lembrou o vice-presidente do Icos, Giovanni Cerri, que moderou o painel.
Para a coordenadora do GT de Proteção de Dados da Abramed, Rogéria Cruz, esse impacto é positivo, uma vez que, para ela, o compartilhamento de dados deverá ajudar a reduzir custos. “Sem o compartilhamento, possivelmente nós teremos os desperdícios que hoje tentamos tratar, porque precisamos de dados para entender onde estamos perdendo oportunidades de reduzir gastos. Precisamos ter acesso a dados para apoiar políticas públicas e novas tecnologias.”
A diretora jurídica da Interfarma, Tatiane Schofield, completa que o processo de adaptação e adequação à lei seria otimizado por meio de uma atuação setorial. “Esse tema atinge a todos, cada um com suas particularidades, mas poderíamos começar com um projeto-piloto envolvendo algumas associadas”, sugere.
De acordo com os especialistas, expressões como “portabilidade” e “compartilhamento de dados” se intensificam no contexto do setor a partir de agora. O momento propicia ainda a melhoria de processos, atualização de termos de consentimento e implantação de ferramentas e tecnologias que, além de segurança de informação, trarão eficiência a operações e redução de custos. Os conceitos de compliance e transparência também se fortalecem com a inovação trazida pela nova lei.
O consultor de tecnologia da ABIMO, Donizetti Louro, por exemplo, destacou que, além do conhecimento jurídico, o debate a respeito do assunto – o novo ambiente – envolve principalmente a questão ética. “O tema envolve governança, risco, sistema, cultura compartilhada, e tudo isso passa por inteligência humana ou artificial”, opinou.
Já o coordenador do GT de TI da Anahp, Ailton Brandão, contou que estão acontecendo diferentes consultas formais no mercado entre instituições de saúde e fornecedores de tecnologia relacionadas à busca de soluções que atendam à LGPD.
Para Benny Spiewak, consultor jurídico da Abimed, o grande item de acompanhamento é a regulamentação da MP. “Na questão da adequação de prazo (se entrará em vigor em fevereiro ou agosto de 2020), talvez o mais relevante seja ainda o que vai acontecer daqui dois anos, como vão ser aplicadas as eventuais sanções”, citando que a redação da lei ainda demanda diferentes interpretações.
Regulação
Citada por Spiewak, a criação da Autoridade Nacional de Proteção de Dados, proposta pela Medida Provisória (MP) 869/2018, em discussão no Senado, foi um tema que permeou diferentes momentos do seminário, mostrando-se condição de incerteza para parte do setor.
Segundo Rony Vainzof, da Fiesp, por exemplo, tal figura é importante para dar efetividade à regulamentação. Já a coordenadora do GT de Proteção de Dados da Abramed, Rogéria Cruz, questionou a função efetiva da autoridade, sugerindo que fosse customizada de acordo com a normatização brasileira, considerando que a realidade do país é diferente da europeia. “Qual será o caráter da agência? Será fiscalizatória, arrecadatória? Servirá para orientar de fato, entender o setor e para regular?”
A advogada Teresa Gutierrez completou: “Ainda que instituições tenham implantado sistemas consistentes na Europa e que isso funcione lá, nossa realidade é outra, temos uma territorialidade imensa, com instituições de pequeno porte e esse é um desafio nosso. Precisamos esclarecer como a autoridade vai tratar o setor; os regulamentos e diretrizes serão importantes”.
A palestra “Como a ANS enxerga os impactos da LGPD”, do diretor de Desenvolvimento Setorial da ANS, Rodrigo Aguiar, terceiro evento do seminário, também esclareceu sobre a criação da autoridade. “O que sabemos é que os dados de saúde são informações muito sensíveis. Vamos precisar estabelecer boas práticas e governança no tratamento dessas informações na área de saúde suplementar. Será um trabalho árduo, mas necessário, o de uniformizar prazos de armazenamento de dados à luz da LGPD. A norma vai trazer um avanço ao arcabouço jurídico do país”, explicou Aguiar, lembrando das punições para o seu descumprimento. Segundo ele, a lei prevê multas de 5% do faturamento bruto das empresas e previsões de responsabilidade civil e criminal das pessoas.
Melhores práticas
Moderador do debate seguinte, intitulado “Experiências com a Lei Geral de Proteção de Dados”, o sócio da Machado Nunes Advogados, Renato Nunes, aconselhou que a adoção de melhores práticas pelas instituições em relação à segurança de dados, preferencialmente antes mesmo de a lei entrar em vigência, é uma boa opção para não lidar com a situação.
No Reino Unido foi criada uma campanha que recebeu o nome “Seus Dados Pessoais Importam”, que teve alcance amplo, contribuindo para criar consciência no cidadão comum sobre a necessidade de cuidar das suas informações. As ações também alcançaram médicos, enfermeiros e demais profissionais do setor. Tal informação foi compartilhada pelo convidado internacional do seminário, Steve Wood, comissário adjunto e diretor executivo do Information Commissioner’s Office (ICO), autoridade do Reino Unido responsável pela supervisão do Data Protection Act.
Segundo ele, que há várias semelhanças entre o Brasil e a Inglaterra no que diz respeito aos desafios para pôr em prática a LGPD na saúde. “A governança da informação pessoal é complexa. O indivíduo tem a possibilidade de pagar pelo plano privado ou utilizar a rede pública. Temos medicina preventiva, cuidados primários e todo residente tem acesso a esses serviços, pode contatar o sistema e buscar as informações necessárias; a partir desse momento começa o registro dos seus dados. Em anos recentes tivemos aumento pelo governo de uso das informações para fins variados”, completou.
Vice-presidente da Associação Brasileira de Segurança Cibernética, Bruno Prado explicou que as pesquisas apontam que funcionários, ex-funcionários, terceiros, fornecedores e empresas de softwares são as principais ameaças em relação ao vazamento de dados para as instituições. Ele cita relevantes casos na área da saúde, como o vazamento do DATASUS, que no último dia 16 levou ao ar dados de mais de 2,3 milhões de usuários do Sistema Único de Saúde, ameaças de invasão ao site do Hospital das Clínicas da USP e vazamento de 159 milhões de prontuários médicos por uma organização privada. “Falta monitoramento, há desenvolvimento inseguro, e o DLP (Data Loss Prevention – software de prevenção de perda de dados que detecta possíveis transmissões de dados confidenciais impedindo que sejam salvos) é uma tecnologia ainda não utilizada por diversas empresas do setor da saúde no mercado brasileiro.
Nova agenda
O evento foi encerrado com uma sessão de perguntas e respostas contando com a participação do presidente da Fiesp, Paulo Skaf, que destacou a velocidade de transformação do País e do mundo. “Temos muitos desafios. Vamos ter que nos reinventar como pessoas, famílias, empresas, instituições, cidades, estados e país toda hora. Estamos aqui discutindo assuntos que não eram discutidos nos últimos 20 anos e vamos ter pouco mais de 12 meses para nos adaptarmos e enquadrarmos à lei que já existe e está definida”, disse ele.
De acordo com Skaf, as conversas a respeito da proteção de dados são uma agenda nova: “Do desenvolvimento, da quarta revolução industrial, da inovação, da inteligência artificial, da realidade virtual, da nova medicina, da nova saúde, das startups, e é isso que o Brasil está precisando”.