A Lei Geral de Proteção de Dados Pessoais (LGPD), criada em 14 de agosto de 2018, entrou em vigor em setembro de 2020 e se tornou uma das Leis mais difundidas do País, desde o Código de Defesa do Consumidor. A LGPD obriga todas as empresas a investirem em segurança da informação por meio de medidas técnicas e administrativas capazes de proteger os dados pessoais tratados pela organização.
O tratamento destes dados compreende qualquer atividade que utilize dados pessoais na execução da sua operação, desde a coleta até a eliminação dos mesmos. A lista de dados pessoais é vasta, podendo ser resumida em toda informação que torne uma pessoa identificada ou identificável (como nome, CPF, endereço e e-mail), além dos dados pessoais sensíveis, aqueles com potencial caráter discriminatório (como raça, sexo, religião e dados biométricos de saúde).
Recentemente, o Brasil passou a integrar a lista dos dez países mais digitalizados do mundo, o que representa um grande avanço para a nação, porém, também traz novos problemas: os dados pessoais estão mais presentes na internet e isso atrai, cada vez mais, ataques cibernéticos.
Dados divulgados pela empresa de cibersegurança ESET apontaram que houve um aumento de 700% no número de ataques cibernéticos em comparação a 2019, sendo que todos nós sofremos, em média, uma tentativa destes ataques a cada dois segundos.
O ano de 2022 foi marcado por diversos incidentes provocados por cibercriminosos, por exemplo:
Record TV: todos os dados da emissora foram criptografados e vazados na internet. Os cibercriminosos cobraram resgate de R$ 45 milhões em bitcoins;
Banco de Brasília (BRB): hackers exigiram cerca de 50 bitcoins (R$ 5,17 milhões) de resgate para que dados não fossem vazados;
Golden Cross: teve a operação suspensa e hackers, que alegam ter invadido o site da empresa, mostraram que os servidores ainda não estão 100% seguros, havendo vulnerabilidade conhecida (backdoor) e que foi explorada;
TV Anhanguera (GO): ficou dias com parte da programação fora do ar devido à ataque hacker. Foram atingidos a TV Anhanguera – afiliada da Globo – e os sites dos jornais O Popular, Daqui e também da rádio CBN Goiânia, além das rádios Executiva e Moov. Algumas publicações informaram que os atacantes exigiram o equivalente a R$ 1 milhão para fornecer a chave para decodificação dos arquivos.
Unimed Belém: teve as operações suspensas em virtude de ataque cibernético, ficando inoperante por vários dias.
Segundo a Check Point Research, o principal setor afetado por ataques ransomware no mundo é o da saúde, seguido pelos setores de internet, finanças e varejo.
De acordo com a LGPD, a organização deve definir um programa de governança, com indicação de um DPO, adequação de contratos, elaboração de políticas, adequações tecnológicas, capacitação das partes interessadas, dentre outras iniciativas.
A DPO da Federação, Christianne Pimenta, alerta que as sanções que as organizações podem sofrer em caso de descumprimento da LGPD são:
Advertência;
MULTA de até 2% (dois por cento) do faturamento limitada, no total, a R$ 50 milhões por infração;
multa diária, observado o teto no item anterior;
publicização da infração após devidamente apurada e confirmada a sua ocorrência;
bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
eliminação dos dados pessoais a que se refere a infração;
suspensão parcial do funcionamento do banco de dados;
suspensão do exercício da atividade de tratamento dos dados pessoais;
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Cabe a todos os envolvidos no processo de tratamento de dados a responsabilidade de proteger os dados dos nossos colaboradores e clientes. A prática médica exige o tratamento de dados sensíveis em larga escala, o que implica na aplicabilidade da LGPD para clínicas, consultórios e hospitais.
Sendo assim, listamos algumas proibições e boas práticas acerca da LGPD no âmbito da saúde:
O sigilo é fundamental – o titular possui o direito da autodeterminação informativa, cabendo a ele a tomada de decisão acerca do compartilhamento das suas informações, especialmente informações de saúde;
Atenção em caso de recebimento de links por e-mail e WhatsApp – todos nós conhecemos pessoas que caíram em golpes e perderam dinheiro e corremos o risco de também perder o acesso a sistemas, bancos de dados, além de provocar a inoperância do hospital, etc;
Tratar os dados apenas para as finalidades informadas pelos titulares – caso não haja consentimento específico, não podemos enviar publicidade aos nossos clientes, por exemplo;
Não divulgar fotos e vídeos no ambiente profissional – segundo resolução 2.126/2015 do CFM, os médicos não podem publicar fotos em situações de trabalho, como durante procedimentos cirúrgicos nem fazer a divulgação de imagens de “antes e depois”;
Senhas são pessoais e intransferíveis – mesmo que seja alguém de confiança, o aconselhado é não compartilhar suas senhas com ninguém. Tanto essa prática quanto a de salvar no smartphone podem facilitar o acesso de criminosos a contas privadas;
Os dados devem ser coletados de forma transparente – o titular deve compreender claramente as finalidades para as quais os dados dele serão utilizados;
Somos corresponsáveis por vazamentos de dados e incidentes provocados por nossos fornecedores;
Investimentos em ferramentas tecnológicas, criptografia, atualização de sistemas e equipamentos e antivírus são fundamentais – muitos ataques acontecem devido à exploração de tecnologia obsoleta ou desatualizada.
Em caso de dúvida, as Unimeds federadas podem entrar em contato com a Federação.
Fonte: Unimed Federação Centro Brasileira