Nos últimos meses, a Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020, tem chamado atenção por exigir que empresas adequem o tratamento de dados pessoais dos clientes a regulamentos específicos. Em um contexto marcado por informações vazadas pela internet e a ameaça constante dos hackers, o projeto é considerado um marco na história da cibersegurança no Brasil, trazendo maiores garantias às instituições e – principalmente – aos titulares.
No que compete às instituições de saúde, há maiores prerrogativas para que laboratórios, hospitais ou clínicas possam lidar com os dados pessoais dos brasileiros, o que não os exclui de adaptarem seus procedimentos. Atualizar e otimizar seus sistemas de segurança é o ponto de partida. A equipe que compõe o quadro de prestadores de serviços internos e externos deve ser atualizada, ressaltando-lhes adequação à política interna de segurança, que reforça a importância de informar antes para o paciente qual o uso das suas informações, bem como conferir se eles irão consenti-lo.
A solicitação deverá ser feita de maneira clara para que o cidadão saiba exatamente o que vai ser coletado, para que finalidade, se haverá compartilhamento de suas informações e com quem. Em caso de menores de idade ou dependentes, os dados somente poderão ser tratados com o consentimento dos pais ou responsáveis legais. No caso de envio de dados a parceiros, é preciso que novos formulários de consentimento sejam solicitados. O interessante é que os pacientes têm todo o direito de, sempre que quiserem, pedir a correção dos dados, acesso a eles, ou, até mesmo, sua exclusão por parte da instituição. Além disso, informações relativas a posicionamento político, condições de saúde, vida sexual e características físicas devem ser resguardadas por se tratar de dados sensíveis, sendo proibido seu uso para discriminação.
Para guardar a correta aplicação e uso dos dados, talvez seja a hora de investir em um profissional que tem ganhado espaço dentro das organizações: o Data Protection Officer (DPO), responsável por gerenciar todo o fluxo de informações dentro das empresas, desde a etapa inicial.
Vale lembrar que novas leis significam um bom tempo para se adequar, o que, por sua vez, pode significar eventuais crises de vazamento. Nessas ocasiões, o essencial é contar com uma equipe pronta para administrar o momento, contatando os pacientes afetados sobre o acontecido, além de corrigir o erro o mais rápido possível. Além do DPO, ter advogados que entendem de Direito Digital e crimes cibernéticos pode facilitar – e muito – as coisas. Também há medidas importantes no processo de adaptação, como o mapeamento do fluxo de dados institucionais, entendendo as zonas de falha de captação desses.
É um momento de mudança e que precisa de atenção em vista que, caso a infração seja realmente comprovada, a organização envolvida pode receber advertências simples e multas (equivalentes a 2% do seu faturamento, inclusive) limitadas ao valor de R$ 50 milhões. Corre o risco, ainda, de ter seu acesso aos dados do usuário barrado temporária ou totalmente, assim como pode responder judicialmente, a depender da violação. Não deixar para a última hora é o ideal, mas dá para se adaptar à nova lei até o ano que vem. Reafirmo: a informação do paciente é preciosa, e deve ser respeitada, seguindo os parâmetros mundiais. Elevar o nível e o cuidado é benéfico a todos.
Fernando Soares é CEO da CM Tecnologia, startup de health tech especialista na Jornada do Paciente