LGPD e os desafios no setor da saúde

O setor da saúde é seguramente um dos mais complexos em diferentes aspectos e apresenta desafios constantes, seja pela natureza de suas atividades, que envolve riscos, ou pela vasta legislação e regulamentação aplicáveis. Com a chegada da LGPD (Lei Geral de Proteção de Dados), adicionou-se uma visão que, até então, nenhuma organização estava acostumada a tratar: o fluxo e a natureza sensível de dados pessoais nos processos de negócio.

O dado pessoal se refere à informação relacionada à pessoa natural identificada ou identificável. Já o dado pessoal sensível diz sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, além de estar relacionado à saúde ou à vida sexual, genética e biometria.

Alguns setores utilizam dados pessoais e dados pessoais sensíveis de maneira intensiva, sendo a área da saúde um exemplo legítimo deste cenário. Este setor também contempla uma parcela expressiva dos ambientes que estão sujeitos aos desafios de adequação à LGPD e seus impactos.

Independentemente do nível de maturidade de suas operações, certificações e acreditações, empresas deste segmento vivenciam o elevado esforço necessário para entender os requisitos da Lei, bem como o impacto das futuras sanções que serão aplicadas em caso de descumprimento.

Dentre as sanções passíveis de aplicação pela ANPD (Autoridade Nacional de Proteção de Dados), duas possibilidades se destacam a multa simples de até 2% do faturamento da pessoa jurídica e a publicização da infração após devidamente apurada e confirmada a sua ocorrência. A primeira pode gerar impacto financeiro severo e comprometer a continuidade das operações da organização. A outra afeta com intensidade a reputação corporativa e a visão do mercado sobre a integridade das operações.

Entretanto, existem boas notícias. Uma organização adequada à LGPD seguramente terá elevação de maturidade significativa em relação aos seus processos de negócio, controles e ambiente informatizado. Desta maneira, desenha-se mais claramente que a jornada de conformidade se baseia em um projeto multidisciplinar e primariamente fundamentado em Gestão de Processos de Negócio, Tecnologia da Informação e Comunicação (TIC) e Jurídico.

A realização de inventário formal das operações de processamento de dados e sistemas de apoio é o início de um roteiro de conformidade, além de um entregável estabelecido por requisitos da lei. Considerando um hospital em sua estrutura tradicional, será observada e desdobrada a capilaridade dos processos e subprocessos que tratam dados pessoais.

A avaliação de maturidade, resultante do confronto de estado atual contra os requisitos da LGPD, na maioria dos casos, indicará inicialmente baixa conformidade, um resultado que será direcionador para suportar a identificação de lacunas que serão tratadas por meio de um sólido plano de ação estruturado para geração de benefícios no curto, médio e longo prazos.

Em tempos de Covid-19, nos quais a Telemedicina está impulsionada, todo ambiente virtual que suporta e conecta paciente ao médico está intimamente ligado à LGPD e, em particular, merece atenção sob o ponto de vista de segurança de informação. A consciência sobre a coleta e tratamento dos dados minimamente necessários de pacientes e o desenho seguro de seus fluxos nos ambientes pertencentes à área da saúde, certamente ajudará a mitigar riscos de vazamento e geração de incidentes indesejados.

Diante de todos estes aspectos, a LGPD não deve ser temida ou sua implantação vista como algo que beira a impossibilidade. Engajamento, mudança cultural, gestão dos direitos de titulares de dados e seus consentimentos são elementos fundamentais para a estruturação de um programa efetivo e eficaz de governança, que reflete positivamente em toda a organização.

* Carlos Souza é gerente de riscos e performance na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.

Sobre a ICTS Protiviti

A ICTS Protiviti é uma empresa brasileira que combina a segurança, eficiência e independência da plataforma tecnológica de serviços especializados da ICTS (canal de denúncias, diligência de terceiros, background e monitoramento de funcionários, e treinamentos on-line), com o alcance global e o conhecimento e inovação em gestão de riscos, compliance, auditoria, investigação e proteção de dados da Protiviti.

A união de deep expertise, com capacidade de transformação e excelência operacional, proporciona aos seus clientes um portfólio abrangente de soluções que endereçam os principais riscos, problemas e desafios de negócio, protegendo e maximizando o valor das organizações, e ajudando seus líderes a encararem o futuro com confiança e alcançarem resultados extraordinários num mundo dinâmico.

Reconhecida como Empresa Pró-Ética desde 2015, no Brasil conta com cerca de 400 profissionais em 5 escritórios localizados em São Paulo, Barueri, Rio de Janeiro e Belo Horizonte, que atendem a mais de 600 empresas de diferentes portes e segmentos. No mundo, são mais de 4.500 profissionais atuando por meio de uma rede de subsidiárias e firmas-membro independentes. Empresa reconhecida como Great Place To Work e com faturamento anual superior a USD 1 bilhão, opera 85 escritórios em 27 países, que atendem a 60% das empresas da FORTUNE 1000®️.