Garantir a conscientização contínua de colaboradores e parceiros, além de manter políticas de segurança da informação claras e transparentes são pontos fundamentais da adequação

A Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020, define como parte das boas práticas de governança que a gestão hospitalar implemente, processos e controles visando reduzir riscos de vazamentos ou perda de informações dos pacientes. Trata-se de aspecto fundamental para a adequação à lei, mas que ainda gera inúmeras dúvidas entre os gestores da saúde. 

Nesse contexto, a Associação Nacional dos Hospitais Privados (Anahp) elaborou o guia “Lei Geral de Proteção de Dados — recomendações Anahp para os hospitais”, com orientações para a gestão hospitalar sobre a legislação. A publicação destaca oito estratégias que serão analisadas como fator de redução de possíveis multas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) em caso de vazamentos — que podem chegar a até 2% do faturamento anual, com limite de até R$ 50 milhões. 

Tiago Brack Miranda, especialista de governança da segurança da informação, comenta cada uma dessas estratégias a seguir:

1 - Conscientização contínua de colaboradores e parceiros

Para o especialista, trata-se de um dos principais pontos da adequação à lei — e também um dos principais desafios da administração hospitalar.

“Os colaboradores das instituições devem entender que estamos em mundo conectado e precisam ter a ciência do tema segurança da informação. Para estimulá-los, o ideal é usar exemplos práticos que extrapolam as paredes do hospital”, explica Miranda. 

Ele cita como exemplos reflexões sobre aquilo que as pessoas compartilham nas redes sociais, muitas vezes expondo dados sensíveis sobre si mesmas, familiares e amigos, que podem ser usadas para cometer fraudes e crimes no mundo on e offline. É indicado, ainda, alertar sobre cuidados com e-mails, planilhas, senhas e todo tipo de informação digital que pode cair em mãos erradas. 

Os parceiros que porventura participem do tratamento de dados de pacientes também devem ser qualificados, já que o hospital é o controlador dessas informações, portanto, o responsável por garantir a segurança delas. 

2 - Criação de conjunto de políticas

A LGPD exige que as organizações tenham uma política clara e transparente para a coleta e tratamento de dados, que seja amplamente divulgada para seus colaboradores e, também, para o titular. Miranda explica que essa premissa faz parte da governança de segurança, que já é comum em grandes instituições, especialmente aquelas com caráter internacional.

“A diferença é que agora todas as organizações vão ter de se adaptar, independentemente do tamanho. A palavra de 2020 é governança”, destaca. 

Devem estar incluídas nesse conjunto, conforme o manual da Anahp, políticas de segurança da informação, de privacidade, de classificação da informação e de controle de acesso. Miranda lembra ainda que os colaboradores devem ser instruídos a assinar um termo de responsabilidade para que, em caso de incidente, não aleguem desconhecimento das normas e procedimentos de segurança da informação do ambiente hospitalar.

3 - Levantamento das interfaces de troca de informações contendo dados pessoais sensíveis

A gestão hospitalar deve mapear os processos de armazenamento, processamento e transferência de dados pessoais em todos os meios, incluindo papel e digital. É com base nesse levantamento que serão aplicados os controles de proteção e salvaguarda legal. Miranda garante que esse aspecto é um dos mais desafiadores, porque exige a revisão dos processos da organização.

“É fundamental que todo processo hospitalar que envolve uso de dados pessoais seja mapeado, entendido e alterado, se necessário. Essa atividade ajuda na identificação dos riscos e, também, a encontrar a melhor forma de eliminá-los ou, ao menos, reduzi-los”, destaca o especialista da Indyxa. 

Ele cita como exemplo o prontuário de internação que questiona a religião do paciente sob a alegação de que algumas crenças impedem a transfusão de sangue.

“Não é mais fácil, ao invés de usar esse dado sensível, transformá-lo em um dado descartável por meio da pergunta ‘o paciente aceita transfusão?’. São medidas simples que diminuem riscos.”

4 - Monitoração e proteção contínuas

Em um contexto em que a Saúde Digital já se torna uma realidade, a LGPD exige níveis de segurança da informação que não são mais atendidos por soluções caseiras. Miranda indica investir em equipamentos com bases de proteção atualizadas 24 horas, sete dias por semana, ainda mais em um ambiente crítico como o hospital. Novos tipos de ataque surgem na mesma intensidade sendo preciso criar vacinas para eles nos sistemas, além de garantir a disponibilidade de manutenção até mesmo de madrugada ou aos fins de semana. 

Para detalhes sobre as tecnologias recomendadas para monitoração e proteção dos sistemas, acesse o texto TI em Saúde: saiba o que é essencial para garantir a segurança da informação.

5 - Implantação de um processo de gestão de consentimento

A gestão do consentimento é uma das dez bases legais previstas pela LGPD, mas também uma das mais importantes para a gestão do hospital, que deve fornecer uma interface para o indivíduo poder autorizar, bloquear ou revogar o consentimento para o tratamento de dados pessoais a qualquer momento. 

“Antes o consentimento não era parte da rotina hospitalar. Agora, é necessário objetividade, clareza. A finalidade do uso do dado deve ser informada de maneira explícita para o titular. É preciso ter controle sob os consentimentos, tanto digitais quanto físicos (papéis) que possam existir dentro da instituição”, comenta Miranda.

6 - Criptografia em base de dados

A criptografia possibilita a proteção dos dados para não serem acessados indevidamente ou, em caso de vazamento, não consigam ser interpretados, evitando que mesmo profissionais com acesso privilegiado para administração da base acessem o conteúdo. O especialista explica que a LGPD deixa essa questão subjetivamente ao determinar que, em caso de haver vazamento, dado deverá estar descaracterizado.

Mesmo assim, Miranda recomenda a criptografia e a anonimidade dos dados como medidas protetivas importantes, especialmente ao compartilhar a base com um terceiro, por exemplo, para fazer uma correção de aplicação. Dessa forma, torna-se impossível identificar os pacientes, garantindo a proteção de seus dados.

7 - Desenvolvimento seguro (privacy by design)

O manual da Anahp recomenda a implementação do desenvolvimento seguro em qualquer novo projeto no ambiente hospitalar. É preciso, ainda, realizar ações de revisão e adequação de ambientes legados. 

Miranda explica que as aplicações disponíveis no mercado devem ser implementadas já com as opções de segurança ativas, cabendo à gestão hospitalar a responsabilidade caso decidam customizar algum item.

“Se você visualiza o prontuário eletrônico na tela, por exemplo, há informações que podem estar ocultas para determinados colaboradores que não precisam delas. É uma forma de proteger os dados do paciente”, exemplifica.

8 - Garantia de continuidade de negócios

A gestão hospitalar deve garantir a efetividade de cópias de segurança que testes de recuperação de dados sejam realizados periodicamente. Deve, ainda, contar com infraestrutura e plano de recuperação de desastres. Miranda lembra que a segurança do dado deve ser garantida até mesmo nos casos em que, em uma possível queda de servidor, informações sejam capturadas manualmente.

“É preciso um processo que garanta que, após o retorno do sistema, esses dados serão transferidos e o papel eliminado, por exemplo”, afirma.