Algumas organizações receberam a Lei Geral de Proteção de Dados (LGPD) como mais um desafio a gerenciar, mais trabalho a realizar e mais custos. Outras, ao contrário, deram as boas-vindas à nova legislação que entrou em vigor em setembro de 2020, vendo nela mais uma oportunidade de cultivar uma relação próxima, franca e transparente com seus clientes.
A bem da verdade, respeitar a privacidade do outro e zelar pela proteção dos dados deveriam ser tratados como princípios básicos das corporações, sem precisar de uma lei que as obrigue a isso. Mas o fato é que esses princípios acabaram cada vez mais dispersos ou arranhados com os avanços das tecnologias digitais e ferramentas de comunicação, e a LGPD nasceu para resgatá-los.
Ao lado de todos os progressos que trouxeram, esses avanços também impuseram novos desafios para mitigar os riscos de segurança dos dados e abriram novos flancos, seja pelo uso inadequado das tecnologias (ainda que sem más intenções) ou mesmo com objetivos criminosos, como temos visto nos ataques cibernéticos em todo o mundo ou no variado cardápio de golpes usando os meios de pagamento eletrônicos, por exemplo.
Em alguns setores de atividade, sistemas de segurança eficientes e processos adequados fazem o grosso do trabalho para a proteção dos dados dos clientes ou usuários dos serviços. Em outros, como o de saúde, esses recursos também são importantes, mas não bastam. A saúde é uma área focada em pessoas que interagem o tempo todo: pacientes, médicos, enfermeiros e muitos outros profissionais envolvidos direta ou indiretamente no cuidado. E pessoas são falíveis. Em ferramentas e processos de segurança você investe, implanta e pronto: está funcionando e, se identificar algum gap ou vulnerabilidade, corrige imediatamente. Conscientizar e mudar o comportamento das pessoas é algo mais complexo.
Informações do paciente e da sua saúde são dados sensíveis, e o Einstein sempre investiu para garantir sua segurança, atento inclusive para os desafios que se renovam com a transformação digital na área da saúde. Em 2018, portanto bem antes da vigência da LGPD, já tínhamos aplicado recursos importantes em novas ferramentas e aprimoramento de processos para reforçar a segurança dos dados dos pacientes.
Mas o que fazer em relação à falibilidade das pessoas? No Einstein, criamos um programa estruturado, incluindo ações de conscientização, e-learnings, conteúdos informativos e workshops focados no tema. Entre outras iniciativas, realizamos uma campanha educativa, envolvendo nossos cerca de 19 mil colaboradores. Usamos o slogan “Eu sou responsável pelos meus dados”, pois entendemos que, além do compromisso individual, o profissional que cuida de seus dados com responsabilidade dá o exemplo para os demais. Preparamos materiais especiais de comunicação, entre eles o que chamamos de “pílulas”, textos curtos abordando de maneira prática e didática assuntos relativos à segurança e ao sigilo dos dados dos pacientes. Também capacitamos 150 colaboradores, que atuam como multiplicadores das boas práticas, identificando eventuais fragilidades e orientando os colegas.
O tema LGPD está presente desde o início da jornada de quem trabalha no Einstein. O processo de integração de novos colaboradores (contratados e terceiros internalizados) já inclui uma capacitação sobre a lei. Depois, a cada ano, cada profissional tem em sua trilha de desenvolvimento treinamentos online obrigatórios relacionados a esse assunto.
Outra providência que tomamos foi fazer a revisão de cerca de 15 mil contratos de prestadores de serviços, reforçando as cláusulas relacionadas com o sigilo e proteção de dados. Além de ser uma iniciativa importante para o Einstein, isso estimula outras empresas a cumprirem as regras estabelecidas na LGPD.
Também criamos um canal de comunicação por meio do qual qualquer pessoa pode encaminhar dúvidas, queixas ou comentários à área de Data Protection Office do Einstein, que se encarregará de atender as solicitações.
Igualmente importantes são os mecanismos de controle de acesso a informações do paciente, como as que constam de seu prontuário eletrônico. Esse documento pode ser acessado integralmente apenas pelos profissionais da área assistencial que estão atendendo o paciente internado e pelo médico titular e sua equipe. No Einstein, todos os acessos ao prontuário de pacientes são monitorados, o que permite agir prontamente, caso necessário.
Mas, se as organizações de saúde têm responsabilidade sobre o sigilo/proteção dos dados de seus pacientes, há outro grupo igualmente responsável: os próprios pacientes, familiares e outros indivíduos de seu entorno. Conversas no café, no elevador ou nas salas de espera das unidades de saúde, fotos e comentários postados nas redes sociais são situações comuns em que as pessoas sob cuidados médicos expõem seus próprios dados ou têm seus dados expostos pelos familiares ou acompanhantes. De forma geral, eles não têm consciência de que estão vazando informações e, quando acontece algum problema, não se lembram desses fatos.
Seja na perspectiva das organizações ou dos usuários, a LGPD é muito positiva, pois coloca um holofote sobre o direito à privacidade e a importância da proteção de informações. Mas será ainda mais efetiva quando todos fizerem o que sugere o slogan da nossa campanha “Eu sou responsável pelos meus dados”.