LGPD em hospitais

Por Marcio Guerra - Diretor de Marketing e Inovações na MD2 Consultoria

A governança dos dados não é um tema novo para a área da saúde, diversas organizações dispõem de mecanismos neste sentido, pensando em base unificada de pacientes, médicos, contratos. Porém, alguns temas e cuidados adicionais em relação a proteção dos dados no que tange a políticas e infraestrutura tecnológica são necessários assim como a gestão do ciclo de vida dos dados desde os sistemas origens nos sistemas transacionais como ERPS, (entradas e transações operacionais de dados), e outros sistemas de onde os dados são derivados como data warehouses, data lakes, CRM, marketing, vendas, analises estatísticas, e outros tantos existentes na empresa.

De acordo com a LGPD todo o conjunto de dados e cada registro e operação de dados precisa de um enquadramento em uma das hipóteses legais previstas para que possa ser realizado, baseado em uma finalidade e com prazo de vigência determinado. Ou seja nenhum dado pode ficar armazenado com ar de eterno. E finalmente as questões da proteção dos dados em si, seja proteção de perímetro, politicas, monitoramento de eventos e logs, criptografia e comportamento de usuários ou possíveis ataques de crackers.

Os processos de negócios e os tratamento de dados sensíveis, a maioria dos dados tratados em um prestador de serviços na área da saúde, devem ser formalizados e a gestão de enquadramento dos dados existentes como consentimento do titular, execução de contratos, cumprimento de legislação, legítimo interesse e formalização dos processos de tratamentos de dados que realizam e comprovam medidas de mitigação de riscos em relação a vazamento e uso adequado devem ser formalizados. Em um único processo, vários tratamentos de dados serão encontrados com finalidades e bases legais que fundamentam e autorizam a operação. Não se pode pensar que tutela da saúde ou proteção a vida justificarão todos os tratamentos dados.

Assim, orientado pela legislação, é importante que os prestadores de serviços na área da saúde estruturem um plano de adequação a LGPD, considerando e aproveitando o trabalho realizado de levantamento e análise de processos e riscos realizado pelo escritório da qualidade. Certamente a área da qualidade e núcleo de segurança do paciente tem muito a contribuir nesta jornada LGPD. o modelo de gestão de processos, riscos, planos de ação, gestão de incidentes e report a uma agencia reguladora é muito similar. A evolução do trabalho, passa pela formalização dos processos de tratamento de dados, riscos, planos de ação, tarefas, avaliando as estruturas de processos de dados existentes e disponíveis, formalização da política geral da proteção dos dados pessoais, criando assim uma estrutura de gestão à conformidade.

Existem ainda novos processos que precisam ser criados, formalizados e divulgados na empresa para atender os direitos dos titulares (Confirmação do tratamento, acesso aos dados, portabilidade, consentimento, revogação, esquecimento, relatório completo de uso dos dados) e para atender as exigências que a Autoridade nacional de proteção dos dados pessoais (ANPD) impõe como o relatório de impacto à proteção dos dados pessoais(RIPD) e mecanismos de comprovação de mitigação de riscos e gestão de incidentes.

As empresas certamente já possuem investimentos em infraestrutura computacional e componentes de software e aplicações que favoreçam o atendimento à demanda de governança de dados, algumas mais evoluídas outras menos, como por exemplo a iniciativa de Unificação da base de dados de pacientes (MDM), infra-estrutura e ferramentas de segurança de dados e software para investigação de e integração de dados para prover os serviços exigidos para os titulares.

 O desafio de estruturar e colocar todos esses componentes em sincronia com o propósito específico da lei é o desafio, pois exige-se a clara visão e revisão de processos, uso dos dados, adequações, formalizações de novos serviços de direitos dos cidadãos e Agencia reguladora.