MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Políticas de proteção de dados adotadas na área da saúde ainda são consideradas frágeis

Políticas de proteção de dados adotadas na área da saúde ainda são consideradas frágeis

Hospitais, clínicas e operadoras operam dados sensíveis e precisam estar adequados à LGPD.

quinta-feira, 18 de abril de 2024

Atualizado em 17 de abril de 2024 15:42

Os estabelecimentos de saúde estão entre os maiores alvos dos ataques cibernéticos, tanto no Brasil quanto em outros países do mundo. Por conterem dados sensíveis, hospitais, clínicas e operadoras costumam ser citados como alguns dos setores da economia que mais precisam se adequar à LGPD - Lei Geral de Proteção de Dados.

Desde que as regras impostas pela lei (número 3.709, de 14/8/18) começaram a vigorar, em setembro de 2020, o descumprimento pode fazer com que as instituições sejam punidas com multas severas, que podem chegar a 2% do valor de seus faturamentos, com limite de R$ 50 milhões por infração.

Os ataques hackers colocam em risco toda a infraestrutura computacional das organizações de saúde. Nos últimos anos, têm sido noticiados na mídia casos de estabelecimentos que tiveram suas operações parcialmente ou totalmente paralisadas devido ao acesso irregular a suas criptografias de base. Muitas vezes, os criminosos têm como objetivo o recebimento de um resgate sobre os dados sequestrados.

Segundo dados mais atuais da pesquisa TIC Saúde, desenvolvida pelo Comitê Gestor da Internet no Brasil, em 2022 apenas 39% das instituições de saúde do país, privadas ou públicas, eram adeptas a uma política de segurança da informação. Por outro lado, no mesmo ano, 76% das organizações da área realizavam treinamentos de funcionários em relação ao tema. Isto demonstra que a preocupação em relação às normas impostas pela LGPD existe na maioria dos estabelecimentos, mas que o manejo das mesmas ainda ocorre de forma bastante "amadora", o que resulta em vulnerabilidade.

Para se adaptar à LGPD, não basta ter um sistema de prontuário eletrônico eficiente e atualizado. É preciso implantar todo um sistema de compliance, que envolve, entre outros fatores, a contratação de uma pessoa para a função de DPO - Data Protection Officer; a adoção de um TCLE - Termo de Consentimento Livre e Esclarecido eficiente e que esclareça de que forma os dados dos pacientes serão manuseados e mantidos; um bom sistema de transferência internacional de dados, caso o estabelecimento mantenha relações com instituições de outros países; e desenvolvimento da  cultura da privacidade dentro das equipes.

Fora do Brasil, além do DPO, já é muito difundida a figura do CISO - Chef Information security officer dentro das instituições de saúde. Ele é o responsável pela identificação de riscos presentes em todas as etapas de atuação dos estabelecimentos e por definir quais são as ferramentas mais adequadas para uso em cada tipo de situação, garantindo a segurança cibernética de todos. Em território nacional, ainda são poucos os profissionais habilitados para desenvolver a função e poucas as entidades de saúde que a possuem. O serviço ainda é considerado caro. Porém, é barato se comparado aos valores de multas e gastos gerados por outros tipos de penalidades.

Izabela Rücker Curi

Izabela Rücker Curi

Advogada e sócia fundadora do escritório Rücker Curi Advocacia e Consultoria Jurídica e da Smart Law, uma startup focada em soluções jurídicas personalizadas para o cliente corporativo, que mesclam inteligência humana e artificial. É board member certificada pelo Instituto Brasileiro de Governança Corporativa IBGC-São Paulo, mediadora ad hoc e consultora da Global Chambers na região Sul. É mestre em Direito pela PUC-SP e negociadora especializada pela Harvard Law School.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca