Em casos como o de Klara Castanho, o colaborador responsável pelo vazamento também pode ser punido
Com a repercussão de casos como o de Klara Castanho
e de Gabi Brandt, nas quais as informações sensíveis de pacientes foram vazadas
e se tornaram públicas sem autorização, o debate sobre vazamento de dados em
hospitais, especialmente por colaboradores, ficou cada vez mais relevante.
Atualmente, no caso da Klara Castanho, o hospital responsável pode pagar uma
multa de até R$50 milhões por conta do vazamento de dados sensíveis.
A Lei Geral de Proteção de Dados Pessoais (LGPD) é
clara quanto à responsabilidade de um eventual vazamento de dados, em especial
os dados sensíveis. A responsabilidade é da empresa. Caso haja envolvimento do
colaborador e, se identificado, devem ser aplicadas medidas disciplinares
previstas no Código de Conduta Moral e Ética das empresas e/ou nas regras,
procedimentos e normas internas.
A segregação entre dados e informações previstos
pela LGPD fica entre as informações que são usuais e corriqueiras, como CPF,
endereço, telefone e dados sensíveis, por exemplo, tipo de sangue, religião,
prontuário médico, entre outros.
“Os hospitais devem tomar um cuidado especial com
os dados sensíveis. A área de segurança de dados e informações deve adotar as
melhores práticas para controle e rastreabilidade. A segurança, controle e
rastreabilidade malfeitos, ou sem os recursos necessários expõem o hospital a
grandes riscos de vazamento de dados e informações não autorizadas pela
administração ou pelo paciente”, explica Ivo Cairrão, sócio fundador e
conselheiro no Grupo IAUDIT, empresa especializada em consultoria empresarial,
auditoria e tecnologia da informação com mais de 20 anos no mercado.
Independente se para figuras públicas ou não, os
cuidados com a segurança das informações devem ser classificados em riscos
possíveis de serem corridos pela empresa – neste caso hospitais, um controle
interno adicional, por exemplo, a uma base de dados diferenciada poderia ser
criada e bloquear o acesso – inclusive para equipes da própria TI, para acesso
seria possível considerar a senha de três pessoas diferentes.
“Sem dúvida a segregação de bases de dados dos
cuidados regulares que devem ser aplicados a todas as demais bases de dados da
empresa, por exemplo: base de dados de cliente, fornecedores, dados pessoais,
base de dados de pessoas classificadas como ‘públicas’. Vale lembrar que cada
nova camada de controle, significa – direta e indiretamente – maiores custos
para a empresa custodiante destes dados e informações”, comenta Cairrão.
Como a cultura da empresa pode
ser aliada nesse cenário?
A cultura de proteção de dados deve ser perseguida
permanentemente pela empresa, acompanhada de procedimentos como treinamento
periódico sobre a segurança das informações dos pacientes, pop-up na tela dos
computadores com lembretes sobre o assunto, folhetos na sala de café, no jornal
interno, em rápido discurso do Presidente e assim por diante.
Dentre as penalidades previstas em lei para a
violação de dados pessoais, estão:
- Advertências;
- Diversos
tipos de multas;
- Bloqueios
e eliminação de dados pessoais;
- Suspensão
do funcionamento de bancos de dados;
- Tornar
a infração pública e proibir de maneira parcial ou total o colaborador de
exercer atividades relacionadas ao tratamento de dados.
“A ausência desses procedimentos pode dar a
entender para colaboradores, fornecedores e pacientes se a instituição trata
com seriedade ou não a correta proteção de dados e informações das pessoas
físicas relacionadas ao hospital”, finaliza Cairrão.
Grupo IAUDIT
https://www.iaudit.com.br/
Nenhum comentário:
Postar um comentário