Implementação de lei de proteção de dados é urgente, avaliam especialistas participantes do 4° Filis

Painel “Quais as mudanças a LGPD trará para o setor da saúde?” trouxe exemplo da lei europeia e debateu a importância da regulação para o Brasil

A Lei Geral de Proteção de Dados (LGPD) é a primeira normatização específica sobre o assunto no Brasil. Entrando em vigor a partir de 14 de agosto de 2020, ela deverá proporcionar maior transparência, segurança e confiabilidade para todos os atores da cadeia de saúde e usuários dos serviços do setor, abrindo ainda mais espaço para a inovação.

A LGPD acolhe regras constantes no Marco Civil da Internet, no Código de Defesa do Consumidor e em outras normativas precedentes inspiradas na lei de proteção de dados europeia, a GDPR (General Data Protection Regulation). Para contar a experiência nesses outros países, o 4º Filis (Fórum Internacional de Lideranças da Saúde) trouxe o palestrante internacional Vicenzo Salvatore, professor de Direito da União Europeia na Università degli studi dell’Insubria.

A lei de proteção de dados da União Europeia foi aprovada em maio de 2016 e teve dois anos para implementação. Apesar de ser recente, tem abordagem antiga, uma vez que havia diretivas desde 1995, agora regulamentadas sob o formato de legislação. “Quando a GDPR foi apresentada, o parlamento europeu fez várias emendas”, contou Salvatore, classificando o processo como lento. Para ele, “a lei veio tarde”, mas agora caminha no sentido certo, após 140 mil reclamações e pedidos de esclarecimentos.

A regulamentação prevê ainda um conselho de proteção de dados que estabelece normas, por exemplo, para como são feitos estudos clínicos, além de litígios e privacidade por projetos. “Há condução de avaliação de risco e adoção de medidas específicas para determinadas operações de dados, para aplicar as informações que estão disponíveis”, explicou.

Um exemplo de caso real citado pelo especialista é de um paciente que operou o quadril, cujas informações são disponibilizadas para a empresa que fabrica produtos ortopédicos. “O mapeamento desses dados é repassado para contribuir para que a empresa possa atender esse tipo de paciente da melhor forma”, exemplificou.

Há ainda discussão sobre por quanto tempo esse tipo de dado será armazenado e quem poderá ter acesso a ele. Hoje, a Europa usa como padrão geral cinco anos.

No Brasil, as empresas terão que se adaptar à lei de dados em menos de um ano, como ressaltou o presidente da Associação Brasileira de Segurança Cibernética, Sandro Süffert, em sua palestra no 4º Filis. “A mensagem é de urgência para que elas acelerem seus processos.”

Ele ainda falou sobre segurança de dados, ressaltando que cada vez é preciso mais sofisticação para hackear acessos. “A globalização ajuda para o bem e para o mal, uma vez que há contribuição entre decodificadores de processos de vários países nessas invasões”, completou. Quando ocorre a invasão e há vazamento de dados, levam-se em média 350 dias para as empresas descobrirem e começarem a tomar atitudes – prazo considerado extenso para conseguir dar respostas.

Além de Salvatore e Süffert, também compuseram o debate, discutindo os benefícios e desafios na implementação da lei no Brasil, Fernando Terni, CEO Alliar Médicos à Frente; Patrícia Holland, diretora-executiva da BP Medicina Diagnóstica; e Vera Valente, diretora-executiva da Federação Nacional de Saúde Suplementar (FenaSaúde).

Süffert lembrou que a informação é importante para saber quais riscos as empresas correm. Ele citou como exemplo a invasão do site do Hospital das Clínicas, noticiada em março deste ano, quando hackers invadiram cinco servidores do complexo. Na ocasião, o HC afirmou que houve tentativa de invasão a seu site, mas a própria estrutura de segurança do hospital impediu o acesso a dados sensíveis da instituição, como informações sobre pacientes, e retirou momentaneamente sua página do ar para garantir a segurança e avaliar detalhadamente a tentativa de ataque. “Essa é a notícia que chegou a todos, mas outros casos ocorreram e não foram noticiados”, salientou, lembrando que não há gasto para adequação, uma vez que o investimento para a implementação da lei se reverterá em redução de prejuízos por parte das empresas no futuro, quando estarão mais protegidas.

Vera Valente ressaltou que a legislação é um “grande avanço”, coloca o Brasil na era da proteção de dados, “mas o sucesso depende de como a lei será regulada e implementada”. Ela lembrou de pesquisa do Serasa apontando que 65% das empresas ainda não estão preparadas, e sugeriu a extensão do prazo para entrar em vigor como uma solução. “Consultas e audiências públicas são importantes”, disse e complementou afirmando que “temos que tomar cuidado para não virar indústria da judicialização, afinal as multas são pesadas”, considerou.

Para Fernando Terni, o governo tem contribuído para a implementação da lei, e a nova regra ainda assusta as empresas por ser desconhecida. “Mas todos sabem da necessidade de efetivação e sabem que precisam trabalhar para isso”, afirmou, emendando que “não há como evitar a aplicação da lei. Ela não pode representar impeditivo para a integração dos dados, que é tão necessária para o setor”.

Patricia Holland mostrou-se otimista com o modo que esses dados podem ser usados para melhorar o atendimento aos próprios usuários. “Em um momento em que o setor discute cada vez mais o empoderamento do paciente e sua efetiva participação no cuidado com a própria saúde, devemos encarar esse desafio como mais uma oportunidade para trazer o paciente para perto das nossas instituições, numa relação mais ética e transparente, com potencial para gerar mais adesão e comprometimento de quem, afinal, é o centro das nossas atenções”, finalizou.