O mundo se reinventa, todos os dias, por causa das tecnologias. E a área da Saúde não poderia ficar de fora disso. Mas, assim como em qualquer outro segmento, é preciso ter um cuidado redobrado com os perigos que a modernidade nos oferece. A chegada da Lei Geral de Proteção de Dados (LGPD), por exemplo, criou um cenário importante para rever estratégias e políticas de coleta e armazenamento de dados.

Os prontuários são um dos itens que mais demandam atenção. Afinal, dados registrados em papel estão desprotegidos e podem ser danificados e vazados com grande facilidade. A boa notícia é que já existem mecanismos de gestão eletrônica de documentos que ajudam a trabalhar com maior segurança, transformando esses documentos físicos em digitais.

Quem já trabalha com prontuário eletrônico terá menos trabalho para fazer as adequações necessárias com funcionários e médicos, garantindo assim a segurança de dados dos pacientes.

A lei determina que todas as empresas precisam ter publicado em seus sites quem é o encarregado pelos dados. A partir da sanção da lei, não ter esse nome publicado na internet representa uma irregularidade.

Como iniciar esse processo em consultórios, clínicas e hospitais?

Quando se pensa na adequação de um consultório, de uma clínica ou de um hospital à LGPD, é preciso pensar em como as informações de pacientes são acessadas e, a partir daí, desenvolver um checklist com as etapas para essa adequação.

Portanto, antes de qualquer outra ação, é necessário fazer uma análise do ambiente atual de sua instituição para identificar a quais riscos ela está exposta. Uma boa medida é questionar-se sobre o que ocorreu no último ano:

• Prejuízos financeiros por ataques cibernéticos, ação de vírus ou atos de espionagem;
• Danos à imagem por vazamento de dados sensíveis de pacientes;
• Danos à operação por perda de acesso a sistemas, serviços e/ou bancos de dados.

Feito isso, é hora de decidir se fará essa análise internamente ou a partir de uma consultoria. Cada uma segue etapas diferentes:

• Internamente: Desenvolvimento de software e implementação de TI interna > Contratação do software e implementação de TI interna > Controles gratuitos e implantação de TI interna.
• Consultoria: Capacitação de colaboradores internos > Usar software já existente e implementação/consultoria > Contratação do software e implementação da LGPD.

Quais são as fases dessa adequação à LGPD?

1. Mapeamento: consiste na identificação e categorização de todos os dados pessoais que podem ser armazenados em mais de um setor, na área administrativa e na área assistencial;
2. Adaptação: é a fase na qual estabelecem-se as novas rotinas a partir dos sistemas e processos já existentes para implementar as melhorias e adequações;
3. Garantia: feita por meio de testes de Segurança da Informação. Nesta etapa, identificam-se os riscos, que, então, poderão ser mitigados;
4. Criação: exerce a função de elaborar sistemas e documentos necessários à adequação do serviço à LGPD, como Política de Segurança da Informação; Termo de Confidencialidade (médicos e colaboradores); Política de Privacidade e Termo de Esclarecimento; e Relatório de Impacto à Proteção de Dados (RIPD).

Criando o Relatório de Impacto à Proteção de Dados (RIPD)

O RIPD deve ser produzido a partir das boas práticas de gestão de riscos (ISO 3100). Assim, é preciso realizar a avaliação dos riscos, o que requer:

• Identificar a necessidade;
• Descrever o fluxo de informações;
• Descrever a natureza, o escopo, o contexto e os propósitos do processamento;
• Identificar soluções para reduzir ou eliminar esses riscos;
• Integrar soluções de proteção de dados no projeto.

Com a colaboração de Alice Selles, mestre em Administração e Desenvolvimento Empresarial