O crescente avanço das tecnologias de comunicações e a popularização dos acessos à internet trouxeram um novo desafio para as empresas, em especial no setor de saúde: como garantir a privacidade das informações dos pacientes e médicos?
A partir de regulamentação do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014) e da Lei 13.709/18, mais comumente conhecida como LGPD – Lei Geral de Proteção dos Dados, o governo tenta “nortear este assunto e salvaguardar os dados”, seja no âmbito público ou privado.
A partir de agora, as ações voltadas à segurança da informação não são mais um mero projeto isolado, bem-intencionado por parte dos profissionais da área ou empresa, mas sim um requisito obrigatório, legal. Assim a Lei traz um viés interessante e coloca a preocupação com os “dados” em um novo patamar do ponto de vista do CIO das empresas, em especial no setor de saúde.
Não é incomum encontrar, em hospitais, computadores sem antivírus ou com sistemas desatualizados, redes wi-fi inseguras, servidores de e-mail desprotegidos ou equipes que compartilham informações de pacientes e médicos indiscriminadamente.
Além de redes desprotegidas e/ou desatualizadas, agora temos ações maliciosas voltadas diretamente à área da saúde. Um dos casos que podemos citar como exemplo, foi o maior grupo de saúde de Singapura, SingHealth, onde foram roubadas 1,5 milhões de informações pessoais sensíveis de pacientes. Destes, 160.000 também tiveram seus dados de medicação ambulatoriais comprometidos. No dia 04/07/2018, os administradores detectaram atividades incomuns nos servidores de banco de dados. No comunicado oficial a SingHealth informou que a ação “não foi o trabalho de hackers casuais ou gangues criminosas. Os atacantes especularam especificamente e repetidamente os dados pessoais do primeiro-ministro Lee Hsien Loong e informações sobre seus medicamentos dispensados em regime ambulatorial.”
Ações como estas se tornam cada vez mais comuns e a LGPD vem ao encontro para exigir, por parte dos “agentes de tratamento dos dados”, o cuidado que lhe deve ser imputado. Dentre diversas provisões apresentadas pela LGPD, provavelmente os mais relevantes regramentos dizem respeito àqueles insertos em seu Capítulo VII – Da Segurança e das Boas Práticas e Capítulo VIII – Da Fiscalização, aonde constam obrigações a pessoas físicas ou jurídicas que coletam e operam dados no tocante à padrões mínimos de segurança. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação, mesmo após o seu término. O responsável deverá definir procedimentos em caso de incidentes que possam gerar risco ou danos aos titulares dos dados.
Os agentes de tratamento de dados, em caso de infrações cometidas prevista na Lei, ficam sujeitos a sanções aplicáveis pelo órgão competente. A multa para o descumprimento das exigências da LGPD pode chegar a R$ 50 milhões, ou 2% do faturamento do grupo econômico. Estes números passam a ser um fator preponderante na adoção de uma cultura voltada a segurança da informação e o cuidado com os dados torna-se tão importante quanto o próprio negócio.
Andreia Goll é Gerente de Conta do segmento de Saúde da Redbelt
