O seu consultório já está atuando de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD)? Com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo, a LGPD aborda o tratamento de dados realizado por pessoas física e jurídica, de direito público ou privado, e inclui um amplo conjunto de operações efetuadas em meios manuais ou digitais. Portanto, a preocupação com a proteção e a guarda dos dados é fundamental. Lembrando que dados não são apenas os que estão no computador. Os dados físicos, como fichas e prontuários em papel, também devem que ser tratados e estão sujeitos à LGPD.
Segundo Sergio Woisky, sócio da Comp9, consultoria especializada em LGPD, se por um lado a proteção e a guarda dos dados são importantes, por outro, as pessoas também devem começar a questionar o objetivo da captura dos seus dados, uma vez que a finalidade é um dos princípios da legislação.
– Para a emissão de uma nota fiscal, por exemplo, são necessários nome, CPF e o endereço para a entrega da mercadoria. Não faz sentido pedir mais informações. Então, nós, pessoas físicas, temos que começar a questionar: “Por que a empresa precisa desse meu dado?”, “Qual é o objetivo para estar pedindo esse dado?”. O uso do dado deve ser adequado e de acordo com a necessidade. Se aquele dado não é necessário, não peça. Quanto mais dados houver, mais cuidados deverão ser tomados – ressaltou.
O especialista enfatizou ainda que todos nós, pessoas físicas, somos donos dos nossos dados e, portanto, temos direito a ter o livre acesso a eles. Isso significa que qualquer pessoa pode entrar em contato com uma empresa e questionar se ela faz o tratamento dos dados pessoais ou quais são os dados que ela tem daquela pessoa. A empresa é obrigada a responder, tem um prazo para dar a resposta e não pode cobrar para fazer isso.
– Outro princípio da legislação é, obviamente, a segurança. A empresa captura o dado da forma correta, dá acesso a quem tem direito, mas ainda precisa cuidar bem desses dados. Quando os dados estão no computador, pensamos em antivírus, firewall, acesso aos arquivos por senha. E quanto aos dados físicos? Eles também precisam ser protegidos de maneira física, com armário trancado, acesso restrito, sistema de vigilância por câmeras, se for o caso de uma grande empresa – considerou.
A LGPD também fala em transparência, acrescentou Sergio Woisky. As pessoas têm que entender e as empresas devem explicar o que é feito com os dados. Uma boa maneira de fazer isso é por meio da política de privacidade. Quem navega pela internet já deve ter percebido que, ao entrar em um site, já aparece a solicitação para aceitar a política de privacidade ou de cookies.
Três papéis importantes: controlador, operador e encarregado
A LGPD introduziu três papéis importantes: controlador, operador e encarregado. Basicamente, eles são pessoas ou empresas que participam do processo de tratamento dos dados. Sergio Woisky dá como exemplo um consultório, com dois ou três funcionários, que contrata um contador para processar a folha de pagamento.
– Nesse caso, o consultório é o controlador, que toma a decisão de não processar a folha de pagamento internamente e resolve passar para o profissional de contabilidade. O contador é operador, que recebeu os dados das pessoas físicas (funcionários) e vai fazer o processamento da folha. O mais importante a ressaltar é que o controlador e o operador têm uma coresponsabilidade nesse processo – afirmou.
Então, continuou o especialista, não adianta o médico falar: “O contador vazou os dados do meu funcionário. Então, o problema é dele”. Não é. O problema é do consultório também, porque o médico escolheu o contador, fez o contrato com o profissional e passou os dados. Se o contador vazar os dados, vai haver uma coresponsabilidade. Por isso, é muito importante conhecer com quem fazemos negócio e para quem estamos dando os dados pessoais. Nesse caso, inclusive, recomendo que se faça uma revisão nos contratos, ressaltando a questão da proteção dos dados.
– Por exemplo, quando contratar um contador para a empresa, deve-se procurar um profissional com características técnicas, reputação, preço adequado, mas agora também é importante pensar se esse contador está adaptado à LGPD. Tem que haver preocupação com isso – comentou.
Sergio Woisky explica que o encarregado de dados (DPO – Data Protection Officer) é a pessoa – funcionário ou terceirizado -, que vai pensar sobre proteção de dados dentro das instituições. Ele é o responsável por orientar as formas de proteção, treinar as equipes, é quem atende o titular do dado, caso ele faça contato, é quem se comunica com o regulador (Autoridade Nacional de Proteção de Dados – ANPD).
Recomendações para proteção de dados
Capturar e armazenar somente o necessário – Se você não precisa do dado, não pegue.
Restringir acesso ao computador e aos dados – Os médicos devem separar os acessos aos prontuários. Recepcionistas devem acessar apenas os dados cadastrais, enquanto que somente os médicos podem acessar os dados de saúde, do prontuário em si.
Utilizar aparelho de celular exclusivo do consultório – Não utilizar o WhatsApp pessoal da secretária ou recepcionista. Na troca de mensagens, há o registro de dados, como nome do paciente e telefone. E, eventualmente, ainda acontece do paciente enviar exames realizados e laudos pelo aplicativo. Se o médico utiliza o WhatsApp pessoal da recepcionista, quando ela sai do emprego, leva junto o celular e, automaticamente, há o vazamento de dados.
Treinar a equipe – Muitas vezes, os problemas ocorrem porque não houve o treinamento da equipe. E, não se deve considerar apenas o treinamento formal, mas falar sobre o assunto com a equipe quando, por exemplo, houver notícias de um vazamento de dados, de um novo golpe ou vírus de computador.
Confirmar a base legal para uso dos dados – Um banco de dados, que não se sabe a origem, pode ser considerado uma base de dados ilegal.
Política de privacidade no site – Deixar claro na política de privacidade o que a empresa faz com o dado, como captura, qual a finalidade, com quem compartilha.
Política de segurança da informação – Isso pode variar de acordo com o tamanho da empresa. A política de segurança da informação é a voltada aos colaboradores, em que se deve dizer o que pode ou não fazer com os recursos de tecnologia. Por exemplo, não clicar em links estranhos e não passar senhas para terceiros. Muitos problemas de vazamento de dados ocorrem porque as pessoas não seguem regras básicas.
Analisar estrutura de TI – Instalar antivírus e firewall, não usar software pirata, manter os sistemas atualizados, pois quando as empresas responsáveis encontram alguma falha, elas corrigem. Quando se usa um sistema antigo, ele não é atualizado e o equipamento fica vulnerável.