A indústria 4.0 que estamos vivendo agora
vem transformando nossa atual sociedade, criando um modelo conhecido como
sociedade digital. Nesse cenário, o tempo é completamente diferente da
sociedade real; ou é rápido demais, ou demora muito. Neste contexto novos padrões de segurança e privacidade deverão
ser adotados com vistas ao mundo cibernético, onde dados e informações são de pilares do novo
modelo.
Profissões, outrora estanques, se misturam ao direito e à tecnologia. Na área da saúde não é diferente, especialmente quando se trata de Lei de Proteção de Dados, que para ser colocada em prática exige profissional conhecido como encarregado de proteção de dados o DPO – Data Protection Officer, cuja formação passa pelo direito e pela tecnologia.
Em função disto, ambientes médicos deverão aprimorar seus processos de segurança da informação e estar em conformidade com os padrões legais, vale dizer dispor de política de compliance – que é a busca por conformidade legal, para que a proteção de dados seja garantida, visto que a privacidade é um Direito Fundamental.
Esse novo modelo social condiciona as pessoas a uma permanente reabilitação, com base em treinamentos rotineiros para proporcionar uma maior cognição entre os usuários e essas novas tecnologias. Isso inclui os profissionais da saúde de todos os segmentos em todos os níveis e esferas.
Equipes de clínicas, hospitais, laboratórios ou empresas prestadoras de serviços na seara da tecnologia necessitam, com urgência, reinventar seu padrão operacional, com base no conhecimento não só nas legislações de proteção de dados, mas também no Direito Digital, proporcionando segurança aos usuários de que seus dados serão preservados.
A Lei Geral de Proteção de Dados (lei º13.7090) ,de
14 de agosto de 2018, entrará em vigor
18 meses de sua publicação, deixando pouco
tempo que as empresas e pessoas ela se
ajustem. Para se ter um parâmetro, o
Regulamento Geral de Proteção de Dados da Europa foi publicado em 2016, entrou em vigor dois anos depois e, mesmo a Europa
tendo uma Diretiva de Proteção de Dados desde 1995, até o momento ainda há irregularidades em relação a dados pessoais que geram multas expressivas.
A falta de conformidade, tarefa setor de compliance digital, cujo objetivo é a aplicação de normas de segurança da informação
conforme leis de proteção de dados, podem determinar fortes penalidades para os
proprietários e sua equipe, assim como para os prestadores de serviço nesta área. Em assim
sendo, o conhecimento digital deixa de
ser opcional para essa classe de
profissionais, bem como para as demais
profissões que manuseiam dados sensíveis.
O usuário, independentemente de função e
titulação, é a principal ferramenta de proteção dos dados armazenados em seus
dispositivos, sejam pessoais ou institucionais. E aqui a necessidade imperiosa
de seguir à risca as políticas de compliance, sinônimo de conformidade, da empresa onde trabalha. Esta, por sua vez , deve
promover de treinamentos de proteção de
dados, Compliance/Conformidade Digital, segurança da informação e Direito
Digital, priorizando a importância da segurança e privacidade.
Os dispositivos cibernéticos com informações ficam expostos devido a práticas maliciosas de engenharia social, pelo uso inadequado das tecnologias e a outros métodos de invasão dos crackers , permitindo que dados privados caiam sejam presas fáceis nas mãos de terceiros não autorizados.
Apenas com uma nova modelagem de educação nas escolas e um novo padrão de gestão com base na conformidade e na evolução da responsabilidade, se poderá reduzir para as futuras gerações esses métodos atuais de invasão, assim combatendo as violações e vazamento de dados, consequentemente, o cibercrime.
Como diz Lei de Introdução ao Estudo do Direito, em seu artigo 3º “ninguém se escusa de cumprir a lei, alegando que não a conhece” , não há como negar a já citada Lei Geral de Proteção de Dados veio para ficar , trazendo a necessidade de repensar padrões tratamento de dados digitais ou físicos em todas as esferas.
Basta conferir o teor do artigo 1º “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Assim, no que ser refere a consultório, hospital ou clínica que possua sistema eletrônico ou fichas em papel , todos terão que se adequar a tal normativo legal, seguindo o disposto na lei que define dado pessoal como informação relacionada a pessoa natural identificada ou identificável e dado pessoal sensível como aquele sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Ele diploma legal define a expressão tratamento no contexto digital, dizendo que é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Diante do exposto, é cristalino que esta tarefa de adequação, compliance ou governança, é um trabalho do conjunto de pessoas, médico e todos os seus colaboradores assim como pelo DPO – Data Protection Office, que é o encarregado de proteção de dados.
O processo de implementação ocorre através
da alteração da cultura organizacional
em todos os níveis e funções, gerando
consciência protetiva dos dados e evitando as sanções administrativas previstas em lei
como multa simples, de até 2% (dois por cento) do faturamento da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil no seu último
exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração ou multa diária.
A visão de que o controlador deve ter
nesse momento não é de medo das sanções pecuniárias, mas sim de mostrar que o seu
empreendimento promove segurança aos dados dos pacientes, agregando valor e
credibilidade social, até porque tais sanções poderão ser apenas advertências
caso fique comprovado que possui toda
adequação à LGPD, mas, ainda, assim ocorreu o incidente de segurança da
informação , apesar da boa fé, da política de boas práticas de um setor de
compliance e da pronta adoção de medidas corretiva
Todo o exposto só ressalta a urgência de que a área da saúde como um todo em seus diferentes níveis busque com celeridade buscar aprimorar seus processos de segurança da informação e Compliance Digital para que a proteção de dados seja garantida, visto que a privacidade é um Direito Fundamental, principalmente quando se trata de dados médicos, os quais são denominados dados sensíveis.
Autor: Claudio Joel Brito Lóssio
Professor,
Palestrante, CEO SNR Sistemas Notariais e Registrais – empresa premiada pelo
GPTW – Great Place to Work em 2019 e 2020, Sênior Software Dev,
Doutorando em Ciências Jurídicas pela UAL – Portugal, Mestrando em Engenharia
de Segurança Informática pelo IPBeja – Portugal. Advogado com Pós-Graduação em
Direito Digital e Compliance, Direito Penal e Criminologia, Direito Notarial e
Registral, MBA em Gestão de TI, Certificado DPO pela Universidade de Nebrija,
Membro Pesquisador Lab UbiNET em Cloud Forensics e Segurança Ofensiva.
Professor visitante na EJET-TJGM. Organizador e autor da obra Cibernética
Jurídica: estudos sobre o direito digital pela EDUEPB, Autor de diversos
artigos científicos e capítulos de livro. Email:
claudiojoel@juscibernetica.com.br
