A proteção de dados e a garantia de privacidade no ambiente digital é um assunto relevante para a sociedade, em especial na área da saúde, que reúne tantos dados sensíveis. Com a repercussão de casos como os de Klara Castanho e de Gabi Brandt, nas quais as informações foram vazadas e se tornaram públicas sem autorização, o debate sobre vazamento de dados em hospitais, especialmente por colaboradores, ficou cada vez mais relevante.
A Lei Geral de Proteção de Dados Pessoais (LGPD) é clara quanto à responsabilidade de um eventual vazamento de dados, em especial os dados sensíveis. A responsabilidade é da empresa. Atualmente, no caso da atriz Klara Castanho, o hospital responsável pode pagar uma multa de até R$ 50 milhões por conta do vazamento de dados sensíveis.
Caso haja envolvimento do colaborador e, se identificado, devem ser aplicadas medidas disciplinares previstas no Código de Conduta Moral e Ética das empresas e/ou nas regras, procedimentos e normas internas. A segregação entre dados e informações previstos pela LGPD fica entre as informações que são usuais e corriqueiras, como CPF, endereço, telefone e dados sensíveis, por exemplo, tipo de sangue, religião, prontuário médico, entre outros.
“Os hospitais devem tomar um cuidado especial com os dados sensíveis. A área de segurança de dados e informações deve adotar as melhores práticas para controle e rastreabilidade. A segurança, controle e rastreabilidade malfeitos, ou sem os recursos necessários expõem o hospital a grandes riscos de vazamento de dados e informações não autorizadas pela administração ou pelo paciente”, explica Ivo Cairrão, sócio fundador e conselheiro no Grupo IAUDIT, empresa que atua há 20 anos em consultoria empresarial, auditoria e tecnologia da informação.
Independente se para figuras públicas ou não, os cuidados com a segurança das informações devem ser classificados em riscos possíveis de serem corridos pela empresa – neste caso hospitais, um controle interno adicional, por exemplo, a uma base de dados diferenciada poderia ser criada e bloquear o acesso – inclusive para equipes da própria TI, para acesso seria possível considerar a senha de três pessoas diferentes.
“Sem dúvida a segregação de bases de dados dos cuidados regulares que devem ser aplicados a todas as demais bases de dados da empresa, por exemplo: base de dados de cliente, fornecedores, dados pessoais, base de dados de pessoas classificadas como ‘públicas’. Vale lembrar que cada nova camada de controle, significa – direta e indiretamente – maiores custos para a empresa custodiante destes dados e informações”, comenta Cairrão.
Saúde digital: seminário discute vazamento de dados públicos
A Saúde Digital ganhou relevância nos últimos anos trazendo riscos e potencialidades para a realização do direito à saúde. Com o aumento do uso das tecnologias de informação e da produção e coleta de dados de saúde, o tema tornou-se um item central na agenda da saúde. Ainda assim, diversas questões permanecem não respondidas, a começar pelo próprio conceito de Saúde Digital, que tem sido objeto de diversos debates.
O Conselho Nacional de Saúde (CNS) vem ampliando o debate sobre os riscos associados ao uso desregulado de dados de saúde, especialmente para finalidades que contrariam os interesses de quem usa os serviços de saúde ou em contextos que ameaçam a segurança da população. O vazamento de dados no setor público foi um dos temas debatidos no Seminário Saúde Digital, promovido em abril pelo CNS, com apoio da Fundação Oswaldo Cruz (Fiocruz) Brasília.
Nos últimos três anos, o Conselho tem desenvolvido importantes ações em relação ao tema, entre elas participação ativa nas discussões em torno da regulamentação da prescrição eletrônica e da revisão da Política Nacional de Informação, Informática e Saúde, além de se posicionar em torno da proposta de Open Health, que além de pouco fundamentada em evidências mostrou-se carregada de riscos a usuárias e usuários de serviços de saúde.
O evento teve três mesas temáticas, sendo: Saúde Digital viabilizando o direito à saúde; Setor Privado: Colonização e Mercado de Dados em Saúde; Perspectivas e Futuro da Saúde Digital: Governança em Saúde Digital e Controle Social.
O seminário também discutiu estrutura pública para saúde digital e Complexo Econômico Industrial da Saúde. O objetivo é capacitar conselheiros de saúde, fortalecer a comunidade acadêmica e do controle social engajada na temática e abrir espaço para a realização de uma Conferência Livre de Saúde sobre Saúde Digital, que permita a formulação de propostas para a 17ª Conferência Nacional de Saúde.
Proteção de dados: o que fazer para a segurança das informações
A cultura de proteção de dados deve ser perseguida permanentemente pela empresa, acompanhada de procedimentos como treinamento periódico sobre a segurança das informações dos pacientes, pop-up na tela dos computadores com lembretes sobre o assunto, folhetos na sala de café, no jornal interno, em rápido discurso do Presidente e assim por diante.
Dentre as penalidades previstas em lei para a violação de dados pessoais, estão:
Advertências;
Diversos tipos de multas;
Bloqueios e eliminação de dados pessoais;
Suspensão do funcionamento de bancos de dados;
Tornar a infração pública e proibir de maneira parcial ou total o colaborador de exercer atividades relacionadas ao tratamento de dados.
“A ausência desses procedimentos pode dar a entender para colaboradores, fornecedores e pacientes se a instituição trata com seriedade ou não a correta proteção de dados e informações das pessoas físicas relacionadas ao hospital”, finaliza Cairrão.
Com Assessorias
