Empresas da área da saúde e a LGPD: o que seu cliente pode exigir

Empresas da área da saúde e a LGPD: o que seu cliente pode exigir

Hospital, clínicas, policlínicas, health techs, várias são as formas no âmbito da saúde, um mercado que, cada vez mais, muda com a transformação digital e, consequentemente, cresce na utilização de dados pessoais.

Essa utilização de dados, além disso, muitas vezes ocorre com dados pessoais sensíveis – histórico de patologias, características físicas, etc.

Esse cenário se torna mais complexo quando se sabe que o setor de saúde é, recorrentemente, o mais visado por agentes maliciosos para a obtenção de informações e dados pessoais de forma indevida.

Por isso, além de observar alguns pontos para se adequar à LGPD, as empresas que atuam nesse mercado devem ficar atentas a alguns questionamentos e exigências que o cliente pode fazer em termo de proteção de dados – seja o cliente pessoa jurídica, seja o cliente pessoa física.

Segurança da informação

Os dados da sua organização estão seguros? Se sim, como você sabe? Essas perguntas são essenciais porque, com a Lei Geral de Proteção de Dados (LGPD), os dados devem ser tratados de forma segura, sobretudo no contexto da saúde, em que há uma massiva utilização de dados pessoais.

Nesse sentido, um cliente pode, e com razão, legalmente falando, questionar sua organização sobre as medidas de proteção que estão (ou não estão) sendo adotadas.

Assim, a organização, para poder responder a esses questionamentos, deve, de antemão, se preparar para possuir as informações necessárias.

Além disso, devem ser adotadas medidas de segurança compatíveis com o tratamento que está sendo realizado, levando em consideração o número de titulares, tipos dos dados (se sensíveis ou não), além de outros pontos.

Esses pontos englobam questões técnicas, como, por exemplo:

  •  Adoção de WAF (Web Application Firewall)
  • segregação de ambientes no desenvolvimento (produção, homologação etc);
  • criptografia de senhas e dados sensíveis;
  • múltiplos fatores de autenticação;
  • Usar credenciais seguras para acessar o banco de dados;
  • criar uma trilha de auditoria para identificar as alterações feitas em arquivos que contenham dados pessoais etc.

Nesta parte, são inúmeras as medidas de segurança que podem ser exigidas a fim de que a organização possa demonstrar que protege os dados pessoais a que tem acesso de forma satisfatória.

Além disso, há também medidas gerenciais, como, por exemplo, classificação da informação (confidencial, interna e pública, por exemplo).

Informações sobre o tratamento de dados

Com a LGPD, além dos direitos que listaremos mais adiante, o titular dos dados tem o direito de obter informações claras sobre o tratamento de dados que é realizado sobre ele.

Dessa forma, sua empresa deve estar preparada para responder aos seguintes questionamentos, por exemplo:

  1. Por quanto tempo meus dados são armazenados?
  2. Quem tem acesso aos meus dados?
  3. Onde eles estão armazenados?
  4. Quais medidas de segurança são adotadas?
  5. Qual a finalidade de tratamento dos meus dados pessoais?

Essas perguntas básicas devem constar em um aviso de privacidade externo da empresa.

Exercício de direitos

Com a Lei Geral de Proteção de Dados, os titulares de dados pessoais adquiriram uma série de direitos.

Agora, portanto, basicamente sua empresa deve estar preparada para responder adequadamente às seguintes requisições:

a) Exclusão dos dados;

b) Acesso aos dados;

c) Portabilidade;

d) Anonimização;

e) Retificação;

f) Informações sobre o funcionamento de decisões anonimizadas etc

Essa resposta, além disso, deve ser feita de acordo com o prazo definido na LGPD.

Governança em proteção de dados

Governança em proteção de dados, em termos práticos, significa dizer que todos os envolvidos no manejo de dados pessoais por parte de uma organização tem seus papéis bem definidos.

Isso significa dizer, por exemplo, que um colaborador sabe o que deve fazer em termos de proteção de dados, inclusive como lidar, por exemplo, com um incidente e até mesmo com a requisição de um titular – sabendo, neste caso, a quem direcionar.

Sem isso, é quase que impossível direcionar corretamente as questões de proteção de dados pessoais e privacidade que serão endereçadas a sua empresa.

Por isso, um aspecto importante para responder às exigências dos clientes em termos de proteção de dados é se preparar de forma prévia através da estruturação de um modelo de governança de privacidade.

Retenção de dados

Imagino o seguinte cenário: o cliente pediu acesso aos dados; ou, ainda, pediu que todos os dados dele fossem excluídos. Nesse cenário hipotético, você saberia dizer, com certeza, quais dados podem ou não ser disponibilizados e excluídos?

Sem a adoção de uma política de descarte e retenção, cada caso que aparecer será resolvido com base na intuição, potencializando, portanto, os riscos a que a empresa está sujeita.

Por isso, organizar-se para o exercício dos direitos, havendo uma pessoa específica para essa atuação (leia-se: um DPO), é essencial para manter um relacionamento adequado com os stakeholders envolvidos na atuação da sua organização.