A adequação a um novo marco regulatório nunca é tarefa simples. Em especial quando temos tanta lição de casa a ser feita, mas sequer compreendemos o conteúdo da aula. A sensação de que há mais dúvidas do que capacidade de ação tem permeado as organizações que começam a trabalhar na aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). E nas instituições de Saúde, os desafios são ainda maiores.

Essas organizações lidam diariamente com uma base de dados imensa e sensível, que não pode correr riscos de exposição ou vazamento. Além disso, vários agentes estão envolvidos nas tratativas desses dados pessoais, como hospitais, clínicas, laboratórios e operadoras. A verdade é que a segurança da informação não ganhou, até hoje, o peso que merece dentro dessa cadeia. Isso ocorre porque é necessária uma mudança de cultura que promova o amadurecimento da questão e envolva uma tomada de consciência dos profissionais de Saúde sobre a privacidade dos dados.

Há muitas dúvidas sobre como conduzir a adequação à LGPD – boa parte delas relacionadas à posse e ao consentimento no uso dos dados pelo titular. Em um seminário recente, ouvi um executivo de uma instituição respeitada dizer que, por conta da nova lei, seu hospital não poderia mais transferir informações para as operadoras com a finalidade de coletar aprovação para exames e tratamentos – algo que certamente inviabilizaria a Saúde Suplementar. E fico imaginando quantos outros gestores podem ter criado esse mesmo entendimento.

Vamos esclarecer esse ponto: na Saúde, não é obrigatório, de acordo com a LGPD, obter o consentimento em todas as situações de tratamento de dados. A dispensa ocorre nos casos de proteção à vida ou tutela da saúde; obrigação legal ou regulatória; para execução de contratos com o titular dos dados; em processos judiciais ou administrativos; quando há legítimo interesse do controlador; ou, ainda, no caso de estudo por órgãos de pesquisa.  É preciso ficar claro que, quando o direito do titular se sobrepõe a outras leis existentes no setor, a análise deve considerar todo o arcabouço legal que cerca as obrigações do controlador dos dados.

O prazo para adequação à LGPD foi estendido para agosto de 2020, por meio da medida provisória nº 869, de 27 de dezembro de 2018, e agora confirmado pelo congresso. Mesmo com a ampliação do prazo, o intervalo de tempo ainda pode ser considerado apertado, levando em conta a complexidade das mudanças – e das dúvidas – envolvidas no processo. Para efeitos de comparação, veja o que ocorreu com o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – GDPR), na Europa, que concedeu dois anos para a adaptação das empresas. Por lá, o cenário é bastante diferente do brasileiro, com um maior nível de maturidade digital e de negócios, além de condições econômicas e financeiras mais favoráveis. Mesmo assim, a primeira organização multada por descumprimento das regras faz parte, justamente, do setor de Saúde: o Centro Hospitalar Barreiro Montijo, em Portugal, que foi autuado em 400 mil euros por violar três artigos da GDPR.

Está aceso o sinal de alerta para as entidades da Saúde brasileiras. Mas o que elas – e as demais empresas de todos os setores – podem fazer para evitar o risco de incorrer nas pesadas multas da LGPD?

O comportamento mais comum do mercado tem sido buscar escritórios de advocacia. Afinal, trata-se de uma legislação, certo? Outros buscam se apoiar em tecnologias de cibersegurança, mas esquecem que é obrigatório proteger os dados independentemente da sua digitalização.

O que observo é que nenhum dos dois caminhos é suficiente, pois grande parte da adequação é determinada por questões técnicas, não jurídicas nem tecnológicas. É preciso um bom mapeamento dos processos, uma sólida política de segurança da informação e, ainda, contratos com provedores com cláusulas explícitas sobre a responsabilidade no caso de vazamento de dados.

A adaptação à LGPD passa por três etapas fundamentais. A primeira delas é composta por ferramentas e tecnologias fundamentais para a segurança da informação, como antivírus, firewall, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), entre outras. A segunda consiste nas políticas e nos processos organizacionais, como o gerenciamento de segurança da informação, políticas de controle e log de acesso a dados pessoais, programa de descarte de discos rígidos e segregação do banco de dados. Estas duas últimas já deveriam estar em prática nas organizações.

A terceira fase seria, de fato, a adequação, se o restante da lição de casa já estivesse pronto. Inclui alteração de sistemas para gerenciar o consentimento para o uso de dados dos titulares quando necessário, métodos para exclusão dos dados quando solicitado, dashboard de informações disponível para o titular, trilha histórica de alteração dos registros de dados, inventário e acordos de não transferência de informações, com responsabilização sobre o vazamento.

Deu para perceber que fazer essa lição de casa depende da união de diversos departamentos – na Saúde, sim, mas também em qualquer outro setor. É preciso criar políticas efetivas e colocá-las em prática dentro das organizações, com o comprometimento de todos os envolvidos. A TI é um elemento sensível dessa equação, porém apenas um dos pilares. Como disse o famoso criptógrafo norte-americano Bruce Schneir, “se você pensa que a tecnologia poderá resolver todos os seus problemas de segurança, então você não entende os problemas e não entende a tecnologia”.