Muito tem-se falado da nova Lei Geral de Proteção de Dados (LGPD), o que muda na prática, ou ainda qual é o impacto para as instituições de saúde e usuários. Mas como dar o primeiro passo, como adequar os atendimentos, os serviços e as comunicações a partir do que confere a lei dentro de uma instituição hospitalar?
Para começar, é importante que você faça a leitura da legislação na íntegra (Lei Nº13.853 de 08 de julho de 2019), principalmente para obter conhecimento sobre o que impacta na coleta de dados no setor da Saúde onde trabalhamos com muitos dados pessoais e sensíveis – que são exatamente os dados tratados e respaldados pela legislação.
Em seguida, identifique e marque na legislação o que realmente impacta no seu serviço – lembrando que a lei trata especificamente de dados pessoais e do uso e proteção deles, seja no tratamento para o serviço que você presta ou ainda caso sejam utilizados de alguma outra forma que não essa.
Então, é partir para a ação! Para iluminar o seu caminho nesse processo, conversamos com nossa DPO, Patrícia Ilha, e ela nos passou algumas dicas para orientação baseadas nas melhorias que estamos aplicando internamente na Anestech.
1. MAPEAMENTO DE DADOS
- A primeira dica é mapear quais dados você coleta para trabalhar.
Liste todos os dados e justifique porque ele é coletado. Por exemplo, para prestação do serviço, para uso interno no tratamento de dados da empresa, para acompanhamento do paciente e assim por diante.
Lembre-se que com certeza você possui outros dados pessoais além dos dados do cliente/paciente, como dados de funcionários e parceiros.
Qual o fluxo desses dados?
É preciso saber como os dados pessoais chegam até você (impresso ou digital), qual caminho ele percorre, por quem passa e onde é armazenado.
Para prevenção e maior segurança, você deve pensar o que pode ocorrer de inseguro, como hackeamento de e-mails ou do banco de dados ou uma pessoa mal intencionada, uma falha no acesso aos dados no meio do fluxo.
Com o inventário de todos os dados necessários, monte o fluxo na organização e caracterizando-os no mínimo por:
- dados pessoais existentes
- tipos de dados
- finalidade do tratamento dos dados
- local de armazenamento
- período de utilização dos dados
- origem dos dados
- quem tem acesso aos dados
2. ANÁLISE TÉCNICA DA PROTEÇÃO
Com o mapa dos dados em mãos, é hora de agir!
Se você conta com uma equipe de desenvolvimento e infraestrutura, todos os processos descritos no mapeamento de dados precisam ser checados, começando pelos sistemas que utilizam, pergunte-se:
- Estes sistemas estão bem protegidos?
- É possível diagnosticar uma invasão ou comportamento inesperado com os dados ou evitá-la?
- São utilizados logs, chaves de acesso, firewalls, entre outras tecnologias que garantam essa proteção?
- Existe um backup das informações para que elas possam ser recuperadas?
- Estão utilizando criptografia de dados? (A criptografia possibilita a proteção dos dados para que não sejam acessados de forma indevida ou, em caso de vazamento, não consigam ser interpretados)?
Caso alguma ou mais de uma resposta seja NÃO, então passou da hora de serem revistas, instaladas e validadas.
Caso você colete dados pessoais dos clientes sem a pretensão de utilizá-los para além da prestação de serviços, porém os dados genéricos agreguem valor aos resultados extras que pretende analisar, pense em uma forma segura de anonimização dos dados pessoais, deixe-os apenas para prestação de serviços e assegure que para outros fins eles não serão apresentados, temos muitas tecnologias para isso, de forma segura e eficaz e podemos abordar isso numa sequência de conteúdos aqui pelo blog.
Agora, para você que não possui um time específico para isso na sua instituição, aconselhamos a contratação de uma empresa especializada.
3. REVISÃO DE PROCESSOS
Os principais pecados na manipulação de dados pessoais, ao contrário do que muitos pensam, não estão relacionados ao tratamento em específico ou à apresentação, mas sim no processo. E um deles é a comunicação do dia a dia.
Quem nunca enviou uma informação via whatsapp pessoal, ou ainda, utilizou um e-mail não institucional e sem proteção para troca de informações pessoais que atire a primeira pedra!
Pois essa pode ser a porta de entrada para o extravasamento de dados pessoais!
Quando coletamos dados desnecessários, ou seja, que não são utilizados para prestação do serviço, nem para o benefício do proprietário dos dados, ou ainda, são coletados sem as autorizações efetivas e claras, podemos estar infringindo a privacidade do usuário/cliente/paciente/colaborador.
Neste caso, revise em sua instituição cada parte do processo: comunicação, troca de informações, locais por onde os dados passam, e a partir das análises que já citamos acima, crie uma política de como essas informações devem ser acessadas.
Se necessário, crie um e-mail empresarial com acesso administrativo para todos os colaboradores, usando um sistema de confiança e com processos claros de proteção e armazenamento de dados.
4. REVISÃO DE CONTRATOS
Nesta etapa, o ideal é contar com o auxílio de uma empresa de advocacia ou profissional especializado para revisar contratos, termos de confidencialidade e as autorizações para coleta de informações, deixando o processo de acordo com a lei.
5. PROTOCOLOS E BOAS PRÁTICAS
Não basta aplicar várias ações esperando a garantia da segurança, é preciso que todas as pessoas envolvidas entendam a importância de cada ação. E dentro de cada setor, esteja claro quais os dados são tratados, os riscos e a política para redução de riscos da exposição desses dados. Por isso, campanhas e treinamentos para educação dentro da instituição são extremamente necessárias.
Além do mais, ninguém está totalmente seguro. Semanalmente, vemos grandes empresas e órgãos que têm seus sistemas invadidos ou sofrem com algum erro humano que resulta na exposição de seus dados. Assim, além da prevenção, é importante criar um plano de incidentes para caso ocorra uma exposição indevida. É preciso criar o seu código azul para saber como identificá-la rapidamente, quais ações devem ser tomadas para reduzir o impacto, como reparar os possíveis danos e quais as pessoas responsáveis.
6. DIVULGUE SUAS AÇÕES
“Repliquem as ações internas de educação para comunidade, uma comunidade que promove a segurança faz com que todo sistema se torne seguro.”
Coloque em suas redes sociais, sites institucionais e demais meios de comunicação da instituição quais são as práticas e políticas de privacidade que aplicam na instituição.
Além de uma política de privacidade alinhada, tenham em mente a importância de uma pessoa encarregada pela proteção de dados na instituição. Essa pessoa pode ser alguém interno ou um escritório jurídico que irá responder às dúvidas do público sobre os dados e reportar pontos de melhoria.
Aqui na Anestech contamos com Patrícia Ilha como nossa DPO. Ela está disponível para esclarecimentos sobre nossa política de privacidade pelo e-mail dpo@anestech.com.br