Abrindo a 12 a. Edição do Fórum Saúde Digital, promovido pela TI Inside e Saúde Digital News, nesta terça-feira 29 de junho, o painel sobre "LGPD em Saúde – Limites e Fronteiras entre Tecnologia e Jurídico", trouxe para a pauta o desafio dos gestores hospitalares em manter a privacidade e proteção de dados dos pacientes e dos diversos agentes da saúde, conforme prevê e Lei Geral de Proteção de Dados.
Tema constante na agenda dos CIOs, o assunto se torna cada vez mais crítico para as organizações de saúde para estarem compliance com a legislação, uma vez que ainda existe uma indefinição sobre como se deve aplicar os diferentes processos tratamento de dados, de atualização da tecnologia ou normas jurídicas.
Para a Dra. Patricia Punder, professora de Compliance na UFSCAR e da LEC, Compliance Officer certified by ECOA – Ethics & Compliance Office Association a frase: Os dados são o novo petróleo! não poderia ser mais verdadeira. Ela lembra que no início, a internet era usada para recreação e que com o passar dos tempos foi sendo usada para o comércio e como essas plataformas evoluíram para plataformas de comercialização baseadas no que os nossos dados dizem sobre nós.
"Nossos dados hoje são essenciais e devem ser protegidos principalmente porque essas plataformas são transnacionais e pularam as fronteiras do mundo. Então você não sabe o que tá acontecendo com seus dados aqui, na China, Índia ou Estados Unidos e como eles estão sendo manuseadas ou compartilhados", reiterou a advogada, lembrando que o grande problema do uso dos dados são abusos na falta de transparência das plataformas e das empresas que os comercializam.
Segundo ela, é uma falácia dizer que tal site ou plataforma tal, possuem termos de consentimento, uso interno de dados, se mantém cláusulas dos contratos com fornecedores, mas nenhuma política de segurança da informação. "E ele se coleta informações que tipo de controles internos, até offline, foram implementados para manusear esses dados pessoais? Qual o nível de transparência que se tem em relação aos dados pessoais de seus funcionários?", questiona a especialista.
Ela diz ainda da necessidade de manter a transparência do uso de identificadores pessoais, seja por meio de dados ou até mesmo de imagens, seja em qualquer circunstância, seja em empresas, sites ou até mesmo nos serviços hospitalares. Cita, por exemplo, a questão de captura de imagens nos ambientes hospitalares, que exige um aviso claro de identificação de sobre qual provedor está captando as imagens, para qual instituição, para qual finalidade, um QR Code com todas as informações, que já está sendo adotado pelas empresas europeias pela exigência da GDPR, a lei europeia de proteção de dados.
"Se de um lado as informações e dados dos clientes são destinados a controle interno, de outro, muitas instituições permitem o acesso por toda a organização; e o que fazer com eles, no caso de vazamento acidental ou não? A pessoa passa a estar exposta de forma incontestável, o que pode render multas significativas", reafirmou.
Segundo a advogada, a probabilidade do risco, o impacto dos vazamentos e a criticidade dos dados devem ser observados para que um plano de ações deva ser desenvolvido e assim reagir rapidamente, com um plano de continuidade de negócios e respostas incidentes em qualquer circunstância. " Isso depende de uma constatação mais ampla e abrange o ambiente online e o ambiente offline e como impacta a todos, e de como a informação está sendo protegida dentro de níveis adequados de risco que aquela empresa incorre. Por isso, o triângulo da confiabilidade – pessoas, processos e tecnologia – é o ponto focal dos negócios diante das regulamentações".
"No que diz respeito ao tratamento dos dados quando se fala da questão de segurança dos dados, as instituições hospitalares ainda tem um caminho muito longo para percorrer", argumentou Klaiton Simão, diretor de TI do Hospital Infantil Sabará e diretor de conteúdo da ABCIS – Associação Brasileira de CIOs de Saúde.
Segundo ele, dos hospitais com menos recursos até os maiores e mais conceituados hospitais privados do Brasil, há uma enorme disparidade em todo o processo de gestão. "Quando a gente vai para a questão dos comportamentos esperados, que é aquilo que em tese deveria estar refletido nas políticas, o que se encontra é um ambiente misto entre prescrição eletrônica e processos registrados em papel, mesmo no âmbito do SUS. O que se encontra são graves riscos a questão da governança e segurança de dados ", afirmou o diretor.
Como ele esclarece, a situação se complica ainda mais pela circulação de papéis, sem o descarte correto, aliado a um legado estrutural dos sistemas de informação. "Quando se observa aspectos da LGPD, o acesso a dados e direitos dos titulares tem muito a ver com essa questão da acessibilidade, de como a organização trata de forma adequada ou não o acesso aos dados", complementa.
Ele aponta para a complexidade dos sistemas hospitalares que não estão preparados, pois além de conter os dados hospitalares e médicos dos pacientes, ele detém também as informações pessoais que podem ser utilizadas para oferecer outros serviços no hospital, por exemplo.
"O consentimento trata disso, e sugiro que as instituições rapidamente atualizarem seus termos de consentimento para que fique absolutamente clara e inequívoca qual é a intenção de utilizar aquele dado para além da questão do armazenamento de dados médicos, porque a lei nos ampara para armazenar dados médicos, não para armazenar dados em sistemas de gestão do relacionamento com o cliente ou no sistema de cobrança/ financeiro", explica Simões, e vai além na questão quando aponta outro grande entrave que diz respeito às revogações, já que as informações são interrelacionadas entre os vários sistemas.
"Eu não conheço nenhum sistema de informação que já esteja preparado para uma eventual revogação de consentimento do paciente ", informou, referindo-se a uma das exigências da LGPD. "Exatamente como é que vamos lidar com a questão da revogação do consentimento é para mim é uma questão ainda sem resposta; eu não consigo de longe dar segurança a minha organização em relação à questão".
Outro tema importante na visão do executivo é a obrigatoriedade de notificação e a estrutura de rastreabilidade de dados. Para tanto a gestão e o dimensionamento da infraestrutura de TI são importantes para a própria continuidade dos negócios, além de prever com mais assertividade qual seu impacto financeiro para as instituições.
"E isso tudo nos leva a uma reflexão sobre a própria tecnologia pois faz parte de aceleração necessária para os negócios e para quebra de paradigmas apesar dos grandes desafios para garantir a confidencialidade dos dados e sua segurança", analisou Arley Brogiato, diretor de operações e vendas da SonicWall América Latina.
Para ele, garantir a integridade de acesso a dados e de proteção de dados está diretamente relacionado às garantias legais e de quanto há de transparência e suas devidas autorizações.
"Qualquer área da instituição de saúde, desde a recepção até ao centro cirúrgico, toda parte de controle está diretamente conectada diretamente ao negócio da instituição, a funcionalidade dos sistemas e agora sua interseção com a LGPD", comentou.
"Nunca houve tanta sinergia entre as equipes de segurança e de tecnologia, Entretanto, qual o nível de maturidade das instituições, como se dá esta relação? Principalmente, no que diz respeito ao nível de risco que por vezes não se consegue determinar ", considerou Brogiato. "Determinar o nível de risco, o tamanho dos investimentos e tempo são equações adjuntas neste processo de atender a regulamentação e seu alinhamento com a tecnologia", disse.