Nos últimos anos, a questão do “compliance” e da proteção de dados pessoais tem se estabelecido como um pilar essencial para a operação de empresas em diversas indústrias. A promulgação da Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, em 2018 no Brasil foi um marco legal significativo que estabeleceu direitos e obrigações sobre o tratamento de dados pessoais. Mesmo estando em vigor, é notável que, em 2023, ainda estamos debatendo os desafios inerentes à aplicação prática desta lei, especialmente em setores resistentes à sua implementação.
“Mesmo estando em vigor, é notável que, em 2023, ainda estamos debatendo os desafios inerentes à aplicação prática desta lei, especialmente em setores resistentes à sua implementação.”
O setor da saúde merece atenção especial nesse contexto. Além de tratar de dados pessoais comuns, os profissionais dessa área lidam com informações sensíveis, cujo vazamento pode ter consequências devastadoras. O exemplo de uma paciente que sofreu abuso sexual e foi contaminada por uma DST ilustra o quão crítico pode ser um incidente de vazamento de dados. Essas violações comprometem direitos fundamentais, especialmente após 2022, quando o direito à proteção de dados pessoais foi incluído na Constituição Federal brasileira como um direito fundamental.
A LGPD, em seu artigo 6º, destaca princípios norteadores como finalidade, adequação e qualidade dos dados. Estes princípios são particularmente relevantes para a saúde. A questão da “finalidade” assegura que os dados sejam coletados apenas para propósitos específicos e legítimos. “Adequação” refere-se à coleta de dados em conformidade com os fins divulgados ao titular. Por último, “qualidade dos dados” demanda que as informações armazenadas sejam precisas e atualizadas, minimizando riscos como diagnósticos errôneos ou procedimentos médicos inadequados.
Dada a complexidade regulatória da área da saúde — que envolve profissionais como médicos, farmacêuticos, enfermeiros e odontologistas — é imperativo que o “compliance” com a LGPD seja rigorosamente observado. Esse rigor não deve substituir, mas sim complementar, os protocolos de sigilo e confidencialidade específicos de cada segmento da saúde.
Então, como implementar a LGPD de forma efetiva na área da saúde? A primeira etapa é contratar um consultor especializado em proteção de dados e “compliance”, capaz de realizar um diagnóstico e mapear o ciclo de vida dos dados pessoais através do Data Mapping. Com base nesse diagnóstico, será possível desenvolver um Programa de Privacidade e Proteção de Dados, que incluirá uma série de iniciativas, desde a revisão de processos e procedimentos internos até a elaboração de um Plano de Gerenciamento de Riscos. Essas estratégias devem ser complementadas por treinamentos robustos para equipes de colaboradores, visto que a eficácia de qualquer sistema de “compliance” depende, em última análise, das pessoas envolvidas.
A questão da ‘finalidade’ assegura que os dados sejam coletados apenas para propósitos específicos e legítimos. ‘Adequação’ refere-se à coleta de dados em conformidade com os fins divulgados ao titular.”
É importante ressaltar alguns pontos:
Avaliação de Risco e Responsabilidade
O primeiro passo na jornada para o “compliance” total, após o diagnóstico inicial, é realizar uma Avaliação de Impacto de Proteção de Dados (AIPD). Esse processo analisa como os dados pessoais são processados e identifica os riscos associados. Na saúde, essa avaliação é particularmente crítica, pois muitos dos dados processados são categorizados como sensíveis. Empresas e profissionais que não realizam essa avaliação meticulosa podem enfrentar não apenas sanções legais, mas também danos irreparáveis à sua reputação.
Auditoria Interna e Externa
É prudente, em um segundo momento, implementar auditorias regulares, tanto internas quanto externas. Essas auditorias avaliam a eficácia das políticas e procedimentos de “compliance”, ajudando a empresa a manter-se atualizada frente às mudanças legais e às melhores práticas da indústria.
Conscientização e Formação Continuada
Uma estratégia eficaz de “compliance” não está completa sem um programa de treinamento contínuo para todos os colaboradores. Isso é particularmente crítico em um ambiente tão dinâmico e sensível quanto o setor da saúde. Os treinamentos devem ser atualizados regularmente para abordar novas ameaças e desafios, incluindo o surgimento de novas tecnologias e métodos de tratamento de dados.
Plano de Resposta a Incidentes
No contexto de um setor tão sensível quanto o da saúde, um Plano de Resposta a Incidentes de Segurança é vital. Esse plano deve detalhar as etapas a serem seguidas em caso de vazamento de dados ou outras violações de segurança, e deve ser testado e atualizado regularmente.
Engajamento com Stakeholders
A conformidade não é apenas uma responsabilidade interna; também é crucial manter um diálogo aberto com todos os stakeholders, incluindo pacientes, parceiros de negócios e órgãos reguladores. Isso inclui a transparência na comunicação de como os dados são coletados, armazenados e utilizados, bem como na divulgação de quaisquer incidentes de segurança que possam ocorrer.
Custo-Benefício
A implementação de um programa de “compliance” robusto requer investimento, mas o custo de não fazer nada é significativamente mais elevado. Além das pesadas multas e sanções legais, o dano à reputação de uma organização pode ser irreversível.
Para concluir pode se dizer que o tema do “compliance” e da proteção de dados pessoais transcende a mera conformidade legal, representando uma necessidade ética e empresarial. O investimento em medidas de “compliance”, particularmente em setores como a saúde, é não apenas prudente, mas crucial para a integridade e sustentabilidade das organizações.
A conformidade com a LGPD e outras regulamentações é um exercício contínuo que requer atenção constante, investimento e um compromisso firme com a integridade e a ética organizacionais. Este é um preço pequeno a pagar pelo benefício de operar com confiança em um setor tão fundamental para o bem-estar humano como o da saúde