A Lei nº 13.709/2018, a nossa Lei Geral de Proteção de Dados Pessoais (LGPD), estabelece, em seu artigo 5º, II, que o dado referente à saúde é um dado pessoal sensível, e, portanto, o tratamento do dado de saúde só poderá ocorrer nas hipóteses previstas no artigo 11 da LGPD.

O tratamento de dados pessoais, em especial dos dados pessoais sensíveis cujo conceito estabelecido pela lei insere os dados de saúde, que não atendam os princípios e as medidas técnicas e administrativas estabelecidos pela LGPD, deixam as organizações muito vulneráveis aos incidentes de segurança.

Esses incidentes de segurança podem ocorrer não apenas em virtude ataques hackers, mas também em razão de falha humana, normalmente ocasionada pela falta de implementação efetiva de um programa de governança em privacidade de dados, elaborado de acordo com as especificidades da organização e do segmento no qual está inserida.

O vazamento de dados de saúde pode acarretar graves danos aos titulares que tenham suas informações divulgadas de forma irregular. A exposição de dados relacionados à saúde pode revelar enfermidades ou condições que seus titulares não desejam tornar públicas e causar muitos transtornos.

O Relatório de Cibersegurança de 2023 da Check Point Software aponta que o setor de saúde tem sido alvo frequente dos hackers pois a probabilidade do pagamento pelo resgate dos dados sequestrados seria maior, isso porque, além dos danos que o acesso indevido, a perda ou a alteração de dados de saúdes acarretam por si só, existe a garantia de cobertura da mídia.

O dano reputacional de um incidente de segurança envolvendo instituições de saúde é inestimável pois o sequestro, a alteração ou a perda de dados de saúde é capaz de gerar consequências negativas e de diversas naturezas.

Uma pesquisa realizada pelo Ponemon Institute descobriu que mais de 20% das instituições de saúde relataram um aumento nas taxas de mortalidade de pacientes após sofrerem uma violação. Ou seja, a extensão do dano de uma violação de dados de saúde pode custar até vida de alguém.

De acordo com o relatório apresentado pela empresa de cibersegurança Trend Micro, o Brasil já ocupa o 2º lugar no ranking mundial de país mais atingido por ransomware, ficando à frente dos Estados Unidos que ocupa o 3º lugar do ranking que é liderado pela Índia.

O relatório da Trend Micro vem sendo ratificado com diversas notícias, que relatam muitos casos de incidentes de segurança ocasionados por ataques hackers, direcionados às organizações do setor da saúde.

Em março deste ano, o Hospital Universitário da Universidade de São Paulo (USP) sofreu um ataque hacker, o que acarretou a paralisação de vários serviços e prejudicou o atendimento à população.

Na semana passada o Grupo Fleury voltou aos noticiários em razão de um novo incidente de segurança, ocorrido em menos de dois anos de um incidente anterior. Um ataque de ransomware aos sistemas do grupo foi notificado no dia 07 de maio de 2023.

Em fato relevante enviado à Comissão de Valores Imobiliários (CVM), a Companhia informou estar gradualmente normalizando suas operações de forma controlada e que a investigação do ataque permanece em andamento.

O site Canaltech divulgou, em 12 de abril de 2023, que a Porto Saúde teria sido a responsável pelo vazamento de quase seis milhões de informações de saúde de funcionários de 21 empresas brasileiras. No entanto, ainda segundo o site, a seguradora de saúde nega qualquer tipo de ataque a seus sistemas.

A LGPD estabelece, em seu Artigo 6º, dez princípios que, em conjunto com a boa-fé, devem orientar o tratamento dos dados pessoais. Dentre esses princípios, além da tríade finalidade, necessidade e adequação, também destacamos, como centrais para o setor da saúde, os princípios da qualidade dos dados e da segurança.

Observando a forma de atuar do setor de saúde, nota-se a evidente necessidade da revisão de processos e procedimentos internos pois muitas violações ocorrem pela não observância desses princípios.

Os controles de acessos baseados nas funções, partindo da premissa do menor privilégio possível, com acesso somente às informações necessárias ao desenvolvimento da função, por exemplo, são medidas essenciais que devem ser adotadas pelas organizações, mas que, muitas vezes, são negligenciadas, podendo acarretar consequências drásticas.

O treinamento das equipes de colaboradores, bem como dos prestadores de serviços, e o trabalho de constante conscientização são os responsáveis pela capacitação das pessoas, o que reduz, exponencialmente, os problemas causados pelo fator humano.

Quando os gestores se conscientizarem que a LGPD não é um entrave para o crescimento do negócio, pelo contrário, ela é, sim, uma grande aliada da excelência porque auxilia a revisão de processos e procedimentos internos que expõem as organizações a riscos, muitas vezes sequer contabilizados e que podem causar impactos muito negativos, e, a partir daí, buscarem o desenvolvimento de processos que garantam a qualidade e a segurança dos dados, poderemos ver a redução desses números alarmantes.