Os impactos da lei geral de proteção de dados no setor médico-hospitalar
É extremamente urgente que os setores que tratam dados sensíveis no dia a dia do seu core business - como escolas, operadoras de telefonia, bancos e, sobretudo, hospitais e clínicas médicas - estejam em condições de fornecer condições mínimas de segurança para as informações fornecidas por clientes e usuários.
terça-feira, 4 de fevereiro de 2020
Atualizado às 10:44
Um conhecido ditado usado para descrever a era digital diz que "dados são o novo petróleo". Essa afirmação é particularmente sensível para o setor da saúde, já que hospitais, clínicas, centros de diagnóstico e outros serviços do tipo possuem um conjunto valioso de informações colhidas junto aos pacientes, indo de idade e peso até exames de sangue, histórico de doenças e herança genética. Hoje em dia, é praticamente impossível para uma unidade de saúde funcionar sem sua base de dados. Não à toa, ataques cibernéticos a sistemas de instituições de saúde têm se tornado cada vez mais comuns.
Um exemplo emblemático ocorreu em 2018, quando o maior grupo do setor em Singapura, o SingHealth, sofreu um imenso vazamento de informações pessoais de 1,5 milhão de pacientes, incluindo o primeiro-ministro do país. Em junho do ano anterior, o sistema do Hospital de Câncer de Barretos, em São Paulo, também foi atingido. Cerca de 3 mil atendimentos precisaram ser cancelados depois que um vírus infectou os computadores da unidade e embaralhou os dados. Criminosos exigiram um resgate de US$ 300 por máquina, o que geraria um custo de mais de R$ 1 milhão.
É diante desse cenário que entra em vigor no Brasil, a partir de agosto de 2020, a lei 13.709, mais conhecida como Lei Geral de Proteção de Dados (LGPD). O dispositivo vai estabelecer novas prerrogativas para o relacionamento de empresas públicas e privadas com os dados pessoais de clientes e usuários. As multas por descumprimento podem chegar a R$ 50 milhões. As implicações no setor da saúde são diversas.
Por exemplo, espaços como clínicas, laboratórios e hospitais precisarão respeitar o ciclo de vida dos dados colhidos no atendimento aos pacientes, eliminando-os após o término do tratamento - salvo as exceções dispostas no Art. 16, como a disponibilização das informações para fins de pesquisa (garantindo anonimato dos dados). Ademais, os pacientes também terão o direito de solicitar acesso aos próprios dados a qualquer momento, podendo demandar esclarecimentos sobre sua utilização, retificações e até a exclusão.
Nesse sentido, as unidades de saúde precisam estar preparadas para desenvolver uma comunicação institucional transparente no que tange às informações pessoais dos usuários de seus serviços. Além das penalidades de ordem financeira, as advertências previstas pela LGPD ainda incluem publicização da infração, suspensão do tratamento de dados pessoais por 6 meses e até proibição do tratamento de dados específicos. O órgão responsável por aplicar as sanções, além de outras atribuições, será a Autoridade Nacional de Proteção de Dados (ANPD).
Como a LGPD se aplica a todas as empresas, sem distinção de tamanho e área de atuação, é preciso muita atenção para o processo de adequação à nova norma. Para aquelas empresas que possuem um grande fluxo de dados, recomenda-se uma estratégia mais sofistica de proteção dessas informações, como a contratação de um data center. Ao terceirizar o armazenamento de dados, o empresário não precisa se preocupar com toda a infraestrutura necessária para que um serviço desse tipo funcione, como a aquisição de hardwares, softwares, licenças, dispositivos anti-incêndio, etc.
É extremamente urgente que os setores que tratam dados sensíveis no dia a dia do seu core business - como escolas, operadoras de telefonia, bancos e, sobretudo, hospitais e clínicas médicas - estejam em condições de fornecer condições mínimas de segurança para as informações fornecidas por clientes e usuários.
Finalmente, convém salientar que ter um bom data center não significa estar 100% livre de riscos, uma vez que a empresa geradora dos dados precisa se preocupar com a própria rede interna e, principalmente, com quem manuseia estes dados. Como deve estar claro a essa altura, tais preocupações são ainda mais sensíveis no setor de saúde. Portanto, cabe aos gestores do setor ter atenção redobrada aos detalhes jurídicos impostos pela nova realidade trazida pela LGPD, bem como às tendências de segurança de dados na era digital.
___________________________________________________________________________
*Arthur Holanda é especialista em Direito Empresarial e sócio-diretor do escritório Holanda Advocacia.
*Aresk Melo é CEO da Surfix Data Center.