Especial – LGPD na Saúde: além da lei, uma mudança cultural para profissionais e pacientes

Com o início da aplicação de multas e demais sanções da LGPD, surgem diversas dúvidas das empresas de como se adequar à nova lei. Entretanto, além da necessidade de adaptação à legislação e a adequação técnica, a lei propõe um grande desafio ao mercado de saúde brasileiro: uma mudança cultural

233
Com o início da aplicação de multas e demais sanções da LGPD, surgem diversas dúvidas das empresas de como se adequar à nova lei. Entretanto, além da necessidade de adaptação à legislação e a adequação técnica, a lei propõe um grande desafio ao mercado de saúde brasileiro: uma mudança cultural

Começou neste 1º de agosto, a aplicação das multas e sanções com base na Lei Geral de Proteção de Dados (Lei nº 13.790/2018). Por essa razão, todo o mercado está se movimentando para se adequar a nova lei com rapidez, visto que a lei abrange qualquer negócio que utilize informações de terceiros. Para o setor da saúde, pode haver alguma vantagem de adaptação, pois esse segmento já apresentava preocupação com privacidade e sigilo de dados dos pacientes, previsto no Código de Ética da Medicina. Ainda assim, esse processo ainda apresenta dois grandes desafios aos gestores de saúde: o técnico e o cultural.

No que se refere às dificuldades técnicas, a implementação de medidas para seguir a LGPD corretamente envolve um grande custo financeiro chegando a 3 milhões de reais, a depender do porte da empresa. A adequação requer orçamento para reforçar a segurança do sistema, oferecer treinamento de conscientização para os funcionários, criar políticas de privacidade, revisar dados e consentimentos já obtidos, entre outros elementos. No setor da saúde, é preciso lembrar ainda a importância de se avaliar se os fornecedores possuem acesso somente o mínimo necessário do banco de dados e se as empresas onde aqueles dados transitam são coerentes com a prestação de serviços. 

Por outro lado, segundo a CEO da Privacy Tools, Aline Deparis, as empresas já entenderam que seguir a LGPD e demais marcos é um diferencial importante para a reputação da companhia. “Isso gera maior transparência e confiança com o consumidor dessas empresas, o que é uma grande vantagem competitiva”, explica. Apesar disso, ainda existe muita discrepância entre as empresas quanto ao que está sendo feito para adaptar-se à nova lei. “Com certeza ainda tem muita resistência por parte de empresas que tinham práticas inadequadas e que agora precisam mudar radicalmente”, completa Deparis. 

Por isso, os especialistas têm defendido que os empecilhos da LGPD são mais culturais do que sobre questões técnicas. No momento atual, onde vemos a saúde cada vez mais moderna, com telemedicina, inteligência artificial e wearables — recursos que por sua vez exigem cada vez mais uma grande base de dados — falar sobre etiqueta de comportamento no mundo digital se tornou necessário, tanto com os profissionais, quanto com a população. 

Educando profissionais quanto à LGPD

No Hospital Israelita Albert Einstein, a preparação para a LGPD começou antes mesmo do marco ser aprovado. A diretora jurídica, Rogeria Leoni Cruz, explica que logo no início alguns fluxos de dados já foram revisados. Entretanto, dentro dos pilares que estavam trabalhando, o mais importante deles era a conscientização, “porque a LGPD é baseada em pessoas, transparência e finalidade”, explicou. Com a pandemia pelo novo coronavírus, esse processo educacional acabou prejudicado, pois os profissionais de saúde estavam ocupados e exaustos para lidarem com a questão. Assim, o hospital optou por inverter a ordem dos processos e antecipar alguns cenários, investindo em monitoramento e ferramentas de segurança da informação.

“Pessoas erram. Tínhamos que tentar, dentro do possível, ter ferramentas que apoiassem as pessoas a errarem menos ou não errarem. Acho que essa foi a grande dificuldade, mas ao mesmo tempo a grande oportunidade”, afirmou Rogeria. Ela cita ainda como um dos exemplos, a ferramenta que sinaliza quem acessou determinado prontuário, o que permite avaliar qual a finalidade daquele acesso. Entre outras pequenas ações para preservar a identidade do paciente, também está a utilização de números no lugar do nome, em situações onde essa troca é possível, como a chamada para uma consulta.

Mas, enquanto algumas empresas aparentam estar amadurecidas quanto à adaptação, outras companhias parecem ainda não ter compreendido muito bem o que é necessário ser feito. “Ainda existem poucos investimentos quando estamos falando de tecnologia”, afirma o advogado Lucas Bonafé, membro da Comissão Especial de Privacidade e Proteção de Dados e especialista em Direito Digital, Proteção de Dados e Regulatório da Machado Nunes. 

Isso porque, apesar da familiaridade com dados sensíveis, é comum ver nesse segmento práticas inadequadas. Entre elas, são citadas o compartilhamento indevido de informações em redes sociais como o WhatsApp, uso de senhas comuns, notas adesivas com as senhas coladas nos computadores, ausência de política de segurança da informação, redes que fornecem fácil acesso a uma variedade de dados que nem sempre são necessários, entre outras práticas preocupantes.

Nesse sentido, uma mera revisão técnica nos dados pode não ser suficiente para proteger as informações de uma empresa e seus clientes. Facilidades e gentilezas do dia a dia podem ser uma forma de criar brecha na segurança desses sistemas. “Nós temos uma cultura muito contrária a isso, somos muito francos, abertos e acolhedores. E na saúde isso é ainda maior”, comenta a diretora jurídica do Hospital Albert Einstein. Seguindo esta linha de raciocínio, a instituição compreendeu que não há como cuidar dos dados de alguém, sem antes cuidar da própria informação. Partindo deste princípio, houve uma campanha para conscientizar sobre a importância de cuidar dos próprios dados, facilitando então a compreensão de como deve ser tratada a informação alheia.

A conscientização pode ser feita através de workshops, palestras e cursos. Além disso, realizar um mapeamento dos dados e a finalidade de cada um pode ajudar a orientar os profissionais de seus limites dentro da nova lei.

Os deveres dos pacientes com a LGPD

Os dados se tornaram o bem mais valioso neste século, então mais do que ter uma lei que oferece sanções para empresas descuidadas ou mal-intencionadas, Lucas Bonafé também defende que “precisamos desenvolver a cultura de pensar em como e para quem compartilhamos nossos dados”. Ou seja, tomar parte da responsabilidade dos rumos que seus dados pessoais estão trilhando.

Uma vez que uma informação foi compartilhada, essa ação não pode ser desfeita. “Hoje nossos usuários só têm direitos, não têm deveres. Se um filho posta na Internet que o pai está internado, ou tira uma foto no quarto, começa a especulação de que a empresa vazou alguma informação, e às vezes não é o caso, pode ter vazado pela própria família”, afirma Rogeria. “A instituição tem responsabilidade de guardar seus dados, mas você também tem que ter responsabilidade para saber como descartar sua pulseirinha, se tira uma foto ou não, com quem você compartilha se está internado e outras situações”.

A LGPD é inspirada na legislação europeia de privacidade de dados, mas entre o brasileiro e o europeu, há uma diferença na forma como se enxerga a privacidade, segundo os especialistas. O brasileiro tende a fornecer qualquer informação sobre si se isso for solicitado. Nessa questão, o advogado Lucas Bonafé argumenta que é preciso refletir quanto à necessidade de fornecer determinada informação e qual a sua relação com aquele estabelecimento.

Entre os exemplos, ele cita o CPF solicitado em algumas farmácias, que é necessário para checar a possibilidade de um desconto, ao invés de ser a garantia de que haverá um. Além disso, recomenda-se ser mais ativo no cuidado com os dados pessoais, exigindo das empresas que respeitem as regras da LGPD também. “Se você não paga por um produto, o produto é você”, afirma o advogado.

Por essa razão, é necessário estimular o sigilo ainda maior com as informações de saúde. Com as novas tecnologias, todos os envolvidos precisam compreender temas como a medicina preditiva, algoritmos, onde realizar teleconsultas, onde pedir ou enviar prescrições e exames médicos, além de entender sobre o consentimento do compartilhamento de informações.

Isso porque no mercado ilegal, os dados de saúde valem mais do que os de cartão de crédito. “Se um dado de cartão de crédito vaza e há detecção de fraude, quando expira ou é cancelado ele deixa de ser valioso. Mas um dado de saúde é uma informação viva, e por isso acaba sendo eterno, porque dificilmente vai ser modificado. Seu valor é de longo prazo”, explica a CEO da Privacy Tools.

Perigos e Punições

Recentemente, o Grupo Fleury passou por um momento de tensão ao ver os dados da empresa serem ameaçados por uma tentativa de ataque cibernético. Nesses casos, hackers costumam solicitar uma espécie de resgate para que os dados não sejam vazados. O grupo chegou a informar que “não há quaisquer evidências de vazamento de dados e informações sensíveis” e que “a base de dados está íntegra”. O ataque segue em investigação e os serviços já foram estabelecidos.

O fato é que qualquer empresa, de qualquer ramo, está sujeita a vazamentos de dados e demais situações perigosas. Na saúde, esse risco já existia antes, porém, o setor caminha cada vez mais para ser um segmento com uma base de informação unificada, como almeja o PL 3.814/2020. Então os dados sigilosos de saúde podem ser cada vez mais um alvo.

Além de colocar as informações dos pacientes em risco, há ainda a possibilidade de prejudicar a reputação da empresa, o que pode acabar sendo mais impactante do que as sanções previstas pela fiscalização. 

No caso das empresas de pequeno porte — e consequentemente, startups —, a lei pode criar meios mais simplificados para ajudar a companhia a se adequar. Entretanto, isso não quer dizer que a punição para elas será de fato mais leve. Em geral, as multas podem chegar a 2% do faturamento, com um limite de 50 milhões de reais. Advertências também podem culminar em bloqueio do banco de dados por um período de até seis meses.

DEIXE UMA RESPOSTA

Por favor insira seu comentário!
Digite seu nome aqui