TellNet: Novos paradigmas da privacidade de dados

Por Evandro Garcia *

Além de inovações nas ciências médica e laboratorial, o setor da saúde se depara, atualmente, com um grande desafio relacionado à proteção de dados. Recentemente, foi aprovada no Senado a nova Lei de Proteção de Dados Pessoais, que demandará das instituições uma revisão das políticas internas de processamento, retenção e compartilhamento de informações. As empresas terão 18 meses, contados a partir de 14 de agosto de 2018, para se adequar à nova lei, que foi lançada quase que simultaneamente e com bastante semelhança às recentes revisões da GDPR (General Data Protection Regulation) na União Europeia.

Mas, por que esse tema está na pauta do Brasil e do mundo? Com o aumento da facilidade de acesso e compartilhamento de informações via redes sociais e outros meios na internet, a manutenção e a segurança de dados sensíveis têm se tornado um tema cada vez mais complexo e que envolve toda a cadeia de saúde, incluindo governo, provedores, seguradoras e profissionais da área.

Cada vez mais os pacientes entendem que seus registros médicos e informações de saúde devem ser mantidos seguros e privados por todos os profissionais envolvidos na jornada de saúde. Políticas tradicionais, que garantiram a privacidade dos registros em papel, tornaram-se obsoletas em um sistema operado por meios eletrônicos e precisam ser revisitadas no que tange à adoção de sistemas, bem como em processos e políticas institucionais que garantam a segurança dos dados sensíveis.

Os princípios da GDPR e da LGPD são extensos e é importante entender suas implicações para implementá-los no contexto adequado e sem exageros, de forma a não prejudicar a eficiência operacional e a interoperabilidade entre sistemas e instituições. Conheça alguns exemplos do que dizem, de forma geral, a GDPR e a LGPD:

Processamento legal, justo e transparente: as empresas que processam dados pessoais são solicitadas a processá-los de maneira legal, justa e transparente. O processamento para qualquer finalidade precisa da devida informação aos titulares.

Direitos dos titulares de dados: os titulares de dados têm o direito de perguntar às empresas quais informações elas têm sobre eles e o que fazem com os dados. Além disso, podem solicitar a correção, contestar o processamento, apresentar uma queixa ou solicitar a eliminação ou transferência de seus dados pessoais.

Consentimento: o consentimento claro e explícito deve ser solicitado. Uma vez coletado, esse consentimento deve ser documentado. O titular dos dados pode retirar seu consentimento a qualquer momento.

Violações de dados pessoais: as organizações devem manter um registro de violação de dados pessoais e, com base na gravidade, o regulador e o titular de dados devem ser informados dentro de 72 horas após a identificação da violação.

Privacidade por design: as empresas devem incorporar mecanismos organizacionais e técnicos para proteger os dados pessoais no projeto de novos sistemas e processos.

Transferências de dados: o controlador de dados pessoais tem a responsabilidade de garantir que eles sejam protegidos e respeitados, mesmo se o processamento estiver sendo feito por terceiros.

Oficial de Proteção de Dados: quando houver um processamento significativo de dados pessoais em uma organização, será necessário deve designar um responsável pela proteção de dados, cuja responsabilidade é aconselhar a empresa sobre a conformidade com os requisitos da GDPR. 

Conscientização e treinamento: as instituições devem criar conscientização entre os funcionários sobre os principais requisitos das normas e realizar treinamentos regulares para garantir que todos permaneçam cientes de suas responsabilidades com relação à proteção de dados pessoais e à rápida identificação de violações.

(*) Evandro Garcia é Head de Healthcare Informatics Latam da Philips