O mundo se reinventa, todos os dias, por causa das tecnologias. E a área da Saúde não poderia ficar de fora disso. Mas, assim como em qualquer outro segmento, é preciso ter um cuidado redobrado com os perigos que a modernidade nos oferece. A chegada da Lei Geral de Proteção de Dados (LGPD), por exemplo, criou um cenário importante para rever estratégias e políticas de coleta e armazenamento de dados.
Os prontuários são um dos itens que mais demandam atenção. Afinal, dados registrados em papel estão desprotegidos e podem ser danificados e vazados com grande facilidade. A boa notícia é que já existem mecanismos de gestão eletrônica de documentos que ajudam a trabalhar com maior segurança, transformando esses documentos físicos em digitais.
Quem já trabalha com prontuário eletrônico terá menos trabalho para fazer as adequações necessárias com funcionários e médicos, garantindo assim a segurança de dados dos pacientes.
A lei determina que todas as empresas precisam ter publicado em seus sites quem é o encarregado pelos dados. A partir da sanção da lei, não ter esse nome publicado na internet representa uma irregularidade.
Como iniciar esse processo em consultórios, clínicas e hospitais?
Quando se pensa na adequação de um consultório, de uma clínica ou de um hospital à LGPD, é preciso pensar em como as informações de pacientes são acessadas e, a partir daí, desenvolver um checklist com as etapas para essa adequação.
Portanto, antes de qualquer outra ação, é necessário fazer uma análise do ambiente atual de sua instituição para identificar a quais riscos ela está exposta. Uma boa medida é questionar-se sobre o que ocorreu no último ano:
- Prejuízos financeiros por ataques cibernéticos, ação de vírus ou atos de espionagem;
- Danos à imagem por vazamento de dados sensíveis de pacientes;
- Danos à operação por perda de acesso a sistemas, serviços e/ou bancos de dados.
Feito isso, é hora de decidir se fará essa análise internamente ou a partir de uma consultoria. Cada uma segue etapas diferentes:
- Internamente: Desenvolvimento de software e implementação de TI interna > Contratação do software e implementação de TI interna > Controles gratuitos e implantação de TI interna.
- Consultoria: Capacitação de colaboradores internos > Usar software já existente e implementação/consultoria > Contratação do software e implementação da LGPD.
Quais são as fases dessa adequação à LGPD?
- Mapeamento: consiste na identificação e categorização de todos os dados pessoais que podem ser armazenados em mais de um setor, na área administrativa e na área assistencial;
- Adaptação: é a fase na qual estabelecem-se as novas rotinas a partir dos sistemas e processos já existentes para implementar as melhorias e adequações;
- Garantia: feita por meio de testes de Segurança da Informação. Nesta etapa, identificam-se os riscos, que, então, poderão ser mitigados;
- Criação: exerce a função de elaborar sistemas e documentos necessários à adequação do serviço à LGPD, como Política de Segurança da Informação; Termo de Confidencialidade (médicos e colaboradores); Política de Privacidade e Termo de Esclarecimento; e Relatório de Impacto à Proteção de Dados (RIPD).
Criando o Relatório de Impacto à Proteção de Dados (RIPD)
O RIPD deve ser produzido a partir das boas práticas de gestão de riscos (ISO 3100). Assim, é preciso realizar a avaliação dos riscos, o que requer:
- Identificar a necessidade;
- Descrever o fluxo de informações;
- Descrever a natureza, o escopo, o contexto e os propósitos do processamento;
- Identificar soluções para reduzir ou eliminar esses riscos;
- Integrar soluções de proteção de dados no projeto.
Com a colaboração de Alice Selles, mestre em Administração e Desenvolvimento Empresarial