Estudos realizados pela Kaspersky em 2019, demonstram que mesmo com a mecanização dos processos que envolvem segurança da informação, o fator humano ainda pode colocar o seu laboratório em risco.
Segundo o relatório da empresa russa, 33% dos incidentes que afetaram as redes de tecnologia operacional e sistemas de controle industrial foram causados por ações não intencionais ou erros humanos.
Ou seja, 33% dos incidentes de vazamentos de dados do seu Laboratório ocorrem por erros de seus funcionários.
Dentre as causas destes acidentes têm-se, sobretudo, o baixo nível de conscientização destes perigos entre os funcionários e uma má gestão do TI (profissional responsável por gerenciar informações de uma organização).
Por essa razão, a Lei Geral de Proteção de Dados, ou a nossa querida LGPD, trouxe onze princípios que são basilares para instaurar uma Cultura de Proteção de Dados entre os funcionários do seu laboratório.
Segurança da Informação e Área de Saúde
Antes de adentrar aos princípios trazidos pela LGPD, cumpre evidenciar a importância da segurança da informação nos Laboratórios de Análises Clínicas, posto que a atividade laboratorial envolve o manuseio e o acesso a dados biológicos e de saúde do paciente, que segundo a referida lei são considerados Dados Sensíveis.
Obviamente que nenhuma medida é capaz de imunizar o seu laboratório contra falha humanas, afinal, é de nossa natureza errar. No entanto, a adoção de determinadas medidas podem diminuir a probabilidade destes eventos, e a cultura de proteção de dados, conforme veremos a seguir, é uma delas.
Cultura de Proteção de Dados
Embora sancionada recentemente, a discussão sobre a Lei Geral de Proteção de Dados ocorre há mais de oito anos no Brasil. De maneira semelhante, há muito tempo o erro humano tem sido um fator atuante nos incidentes de segurança.
Posto isto, a Lei Geral de Proteção de Dados trouxe um “Novo Mindset” (Novo pensamento), ou a chamada Cultura de Proteção de Dados. No texto da lei, o pensamento resume-se em 11 princípios, que devem conduzir o tratamento de dados pessoais, que estão dispostos no art. 6°. A seguir, veremos cada um deles e como deverão ser aplicados no seu Laboratório.
Boa fé
Com certeza, você já ouviu a expressão “boa-fé” ao assinar contratos e fechar negócios. Este princípio é norteador em todas as relações de Direito Privado, isto é, nas relações entre particulares, como você e seu paciente, por exemplo.
Independente da situação, boa-fé significa agir com lealdade, honestidade e com boa intenção, ou seja, seus funcionários, além de assinar um Termo de Sigilo e Confidencialidade, devem pautar suas relações em ações leais, honestas e de boa intenção.
Logo, no que diz respeito à proteção de dados no seu laboratório, você e sua empresa devem agir com honestidade e conforme o acordado com os dados. Quer dizer, seu funcionário age contra a boa-fé quando deixa um exame comprometedor em cima da bancada possibilitando que os demais pacientes vejam.
Finalidade
Um dos princípios mais famosos da LGPD é o da finalidade. Aqui, a pergunta é: por qual motivo você está coletando o dado?
Antes da LGPD, era muito comum que as empresas e pessoas coletassem uma série de dados sem nenhuma finalidade, pautado no eterno talvez. “Talvez eu use um dia”, “Talvez eu precise”.
Tudo isso acabou. A partir de agora, ao coletar o dado, você deve deixar explícito a razão pela qual você está coletando o dado. Por exemplo, se você coleta o WhatsApp do paciente para avisar quando ficará pronto o exame, você não pode enviar promoções via WhatsApp para ele. Pois o consentimento foi apenas para o envio de mensagem relacionada ao exame.
Necessidade
A Necessidade, por sua vez, está diretamente ligada à finalidade. Isto é, para cada finalidade, eu coleto apenas os dados necessários. De modo que se evita o acúmulo de dados e minimiza o risco. Quanto menos dados, menor prejuízo, não é mesmo?
Logo, se você não utiliza, em hipótese alguma, o e-mail institucional para contatar seus pacientes, qual a necessidade de coletá-lo?
Adequação
A adequação converge os dois princípios anteriores, no sentido de que você só vai coletar os dados necessários para atingir uma finalidade com o meio adequado, no momento adequado.
Quer ver na prática? Veja só. Imaginemos que você disponibilize os resultados de exames pelo seu site. Ocorre que, na página inicial do site, você já solicita ao usuário, seu login e sua senha.
Observe que é o momento inadequado para fazer isso, afinal, o seu paciente pode estar apenas analisando o site, sua política de privacidade, ou procurando postos de coleta. Nesse sentido, no momento em que ele desejar ver seu exame, ele acessa a página de usuário e olha seus resultados.
Livre Acesso
Com a Nova Lei Geral de Proteção de Dados, ressalvado o sigilo comercial e industrial, as empresas devem oferecer livre acesso do titular aos seus dados, de forma simples e gratuita.
Isso acontece porque, um dos grandes objetivos da lei é a autodeterminação informativa do titular. Logo, agora, é possível que o titular consulte quais os dados que você tem dele. E aí, entra um outro princípio.
Qualidade dos dados
Uma vez que o titular tem acesso aos dados, ele tem também a oportunidade de retificá-los. Ou seja, um paciente que antes era casado e permitia que seu cônjuge pegasse o resultado dos seus exames, tem hoje o direito de alterar seu estado civil no seu banco de dados e retirá-lo dos autorizados.
Assim, um dos princípios do tratamento de dados é manter os dados com qualidade, de modo que eles estejam sempre atualizados e fidedignos à realidade.
Transparência
Como você deve ter notado, a LGPD vem trazer muita transparência para as relações entre os titulares e os agentes de tratamento de dados. Logo, tudo deve ser transparente.
A título de exemplo, imagine que um paciente vá fazer a coleta em seu laboratório, mas o exame tem que ser enviado a um Laboratório de apoio. Nesse caso, é seu dever avisá-lo de que seu exame será transferido a outro Laboratório.
Mas não se engane, a transparência não é mais burocracia. Na verdade, é uma forma de gerar confiança no cliente em relação a empresa. Como resultado, a empresa ganha mais eficiência e credibilidade no mercado.
Segurança
É muito comum que Laboratórios de Análises Clínicas altamente tecnológicos não tenham um bom antivírus, um firewall ou adotem práticas que conduzam à segurança das informações. Por isso, um dos princípios é justamente proteger os dados por meio de mecanismos seguros, a fim de evitar que o alto índice dito anteriormente: “33% dos incidentes de vazamento de dados do seu Laboratório ocorrem por erros de seus funcionários”.
Prevenção
Além disso, é muito importante que o Laboratório adote uma postura de retaguarda, não agindo somente quando os acidentes ocorrerem, mas sim de forma preventiva. Nesse sentido, deve-se avaliar o risco, por exemplo, de se enviarem laudos de exames via WhatsApp.
Princípio da não discriminação
De nenhuma forma, em nenhuma hipóteses, os dados pessoais podem ser usados para discriminar pessoas. NUNCA.
Parece louco, mas acontece. E eu explico o porquê.
Todo dado quando processado, transforma-se em informação que, por sua vez, transforma-se em conhecimento, que processada novamente, torna-se inteligência empresarial.
Nesse sentido, foi criado nos Estados Unidos, por exemplo, um software chamado COMPAS, que avaliava o potencial de criminalidade dos réus americanos.
O software feito para influenciar decisões judiciais, fianças e até condenações, começou a reconhecer com maior potencial criminosos os negros. Assim, embora diante de uma pessoa branca altamente perigosa, o índice de sua criminalidade era menor que a de um jovem negro que fez um pequeno delito.
Em outras palavras, sabe-se que a inteligência artificial é feita a partir das nossas percepções, portanto, esse software reproduziu algumas atitudes preconceituosas que possam existir na comunidade. E é esse tipo de conduta que seu laboratório deve evitar, durante o tratamento de dados, a fim de coibir situações análogas.
Prestação de Contas
Provavelmente, você já iniciou à adequação da sua empresa à LGPD. Em caso negativo, é melhor que corra, pois o tempo está se esgotando.
De qualquer forma, outro princípio muito importante é o de armazenar e registrar todos os atos referente à Proteção de Dados, de modo que se crie um arquivo dedicado guardar todos os documentos referentes ao Programa de Adequação.. Pois assim, além de despertar uma obrigatoriedade de prestar conta em seus funcionários, você tem mais facilidade de defender sua empresa em possíveis incidentes.
Profissional de TI
É imprescindível que falemos quão importante é a presença de um profissional de tecnologia da informação na sua empresa, já que ele é capaz de prever os riscos, assegurá-los, e encontrar mecanismos de segurança. Mas lembre-se, a gestão deste profissional deve ser honesta e comprometida com a cultura de proteção de dados.
33% dos incidentes de vazamento de dados do seu Laboratório ocorrem por erros de seus funcionários
Como dito anteriormente, é impossível zerar os acidentes da sua empresa, porque errar é humano, e quem controla as máquinas somos nós. Porém, adotar uma cultura de proteção de dados, como novo pensamento, é uma forma de gerar novos resultados.
Além disso, um processo de adequação é a chave para que os seus funcionários se conscientizem quanto à importância de se tratar os dados corretamente.
E aí quais as atitudes que você já pratica no seu laboratório? Ou o que você já faz para diminuir os incidentes de segurança?
Gostou do conteúdo? Deseja obter novos resultados?
Então venha nos conhecer. O Cardoso Freire Consultoria é um escritório especializado em Adequações de Laboratórios de Análises Clínicas à LGPD. Nosso trabalho portanto, é proteger os dados do seu Laboratório de Análises Clínicas para que você continue cuidando da saúde de seus pacientes.
