A Lei Geral de Proteção de Dados Pessoais (LGPD) é clara quanto à responsabilidade de um eventual vazamento de dados, em especial os dados sensíveis. A responsabilidade é da empresa. Caso haja envolvimento do colaborador e, se identificado, devem ser aplicadas medidas disciplinares previstas no Código de Conduta Moral e Ética das empresas e/ou nas regras, procedimentos e normas internas.
A segregação entre dados e informações previstos pela LGPD fica entre as informações que são usuais e corriqueiras, como CPF, endereço, telefone e dados sensíveis, por exemplo, tipo de sangue, religião, prontuário médico, entre outros.
“Os hospitais devem tomar um cuidado especial com os dados sensíveis. A área de segurança de dados e informações deve adotar as melhores práticas para controle e rastreabilidade. A segurança, controle e rastreabilidade malfeitos, ou sem os recursos necessários expõem o hospital a grandes riscos de vazamento de dados e informações não autorizadas pela administração ou pelo paciente”, explica Ivo Cairrão, sócio fundador e conselheiro no Grupo IAUDIT, empresa especializada em consultoria empresarial, auditoria e tecnologia da informação com mais de 20 anos no mercado.
Independente se para figuras públicas ou não, os cuidados com a segurança das informações devem ser classificados em riscos possíveis de serem corridos pela empresa – neste caso hospitais, um controle interno adicional, por exemplo, a uma base de dados diferenciada poderia ser criada e bloquear o acesso – inclusive para equipes da própria TI, para acesso seria possível considerar a senha de três pessoas diferentes.
“Sem dúvida a segregação de bases de dados dos cuidados regulares que devem ser aplicados a todas as demais bases de dados da empresa, por exemplo: base de dados de cliente, fornecedores, dados pessoais, base de dados de pessoas classificadas como ‘públicas’. Vale lembrar que cada nova camada de controle, significa – direta e indiretamente – maiores custos para a empresa custodiante destes dados e informações”, comenta Cairrão.
Como a cultura da empresa pode ser aliada nesse cenário?
A cultura de proteção de dados deve ser perseguida permanentemente pela empresa, acompanhada de procedimentos como treinamento periódico sobre a segurança das informações dos pacientes, pop-up na tela dos computadores com lembretes sobre o assunto, folhetos na sala de café, no jornal interno, em rápido discurso do Presidente e assim por diante.
Dentre as penalidades previstas em lei para a violação de dados pessoais, estão:
“A ausência desses procedimentos pode dar a entender para colaboradores, fornecedores e pacientes se a instituição trata com seriedade ou não a correta proteção de dados e informações das pessoas físicas relacionadas ao hospital”, finaliza Cairrão.