Setor é especialmente exposto, dada a quantidade e criticidade dos dados que coleta de seus clientes. Novas tecnologias e rompimento de cultura são essenciais para adequação

A notícia do momento, no campo da segurança da informação e da governança de dados, é a Lei Geral de Proteção de Dados (LGPD), sancionada em agosto pela Presidência da República. Seguindo o exemplo da regulamentação europeia, o General Data Protection Regulation (GDPR), a norma brasileira estabelece regras de uso, proteção e transferência de dados pessoais dos usuários, nos âmbitos público e privado. E o prazo para que as organizações se adequem ao novo marco regulatório já é conhecido: agosto de 2020. Ou, então, estarão expostas a multas que podem chegar a 2% do faturamento do grupo ou R$ 50 milhões por incidente.

Nesse contexto, um dos setores que certamente enfrentará grandes desafios é o de Saúde – como já estamos acostumados a ver em todo movimento importante de mercado. A saúde é notícia e isso não acontece por acaso: as instituições do segmento lidam com uma base de dados imensa e sensível, que não pode correr riscos de exposição ou vazamento. Apesar da criticidade do tema, a segurança da informação não havia ganho, até hoje, o peso que merece em diversos hospitais, operadoras, laboratórios, consultórios e mesmo empresas que integram a cadeia de comércio – farmácias e lojas de produtos ortopédicos e próteses, por exemplo.

Ao mesmo tempo em que é verdade que muitas instituições não tiveram um desenho de segurança da informação feito sob medida e integrado à arquitetura de sistemas,  a questão vai além desse ponto: os profissionais da linha de cuidado, entre eles médicos e enfermeiras, ainda não entenderam totalmente o valor e a importância da privacidade de dados dos pacientes. É o que parece a diversos líderes desse setor que sinalizam a mudança de cultura como entrave ao amadurecimento da questão. Mas não há como fugir: a adequação das instituições ao LGPD será um processo trabalhoso, que exige, de uma vez por todas, a compreensão do valor das informações capturadas e armazenadas.

E não podemos esquecer que o setor é composto pelos mais diversos players: hospitais, clínicas, laboratórios, operadoras, centros de medicina diagnóstica, farmácias, etc – cada qual com uma particularidade no trato de dados sensíveis de seus clientes. Operadoras de Saúde verticalizadas – ou seja, que detêm uma rede própria de assistência a seus beneficiários – coletam ainda mais dados sobre o perfil de seus clientes do que hospitais e convênios que atuam de forma independente e separada. É preciso compreender até onde se pode ir, eticamente, com a análise dessas informações.

Da mesma forma que a cultura precisa mudar, a maturidade das políticas de TI e segurança da informação deve alcançar níveis mais elevados. E o primeiro passo para conquistar essa realidade é diagnosticar a situação atual e criar um plano de ação para corrigir eventuais riscos e deficiências, garantindo o correto investimento financeiro. Feito isso, cabe à instituição promover campanhas de conscientização frequentes para os profissionais da saúde e demais colaboradores que possuem acesso aos sistemas e informações de pacientes.

A conclusão a que podemos chegar é que a união entre as melhores práticas em tecnologia da informação e o comportamento dos profissionais será essencial para a adequação às novas regras. E isso requer um trabalho conjunto de todas as esferas responsáveis – TI, obviamente, mas também recursos humanos, marketing e comunicação e demais áreas estratégicas. Todos precisam construir uma nova cultura, centrada na proteção dos dados de quem mais importa: o cliente.