Medidas de proteção às informações pessoais (LGPD)
Por Rodrigo Galesi
A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor com o objetivo de aumentar a transparência do tratamento da informação pessoal e acabar com o mercado de dados para fins comerciais sem autorização expressa do usuário. Nesse sentido, exige que dados sobre uma pessoa só possam ser armazenados e utilizados com a expressa autorização dela.
São considerados dados pessoais aqueles que identificam indivíduos, ou seja, nome completo, CPF, ou uma combinação de dados capazes de distinguir alguém, como uma mistura de endereço, gênero e data de nascimento. Os dados pessoais sensíveis indicam, por exemplo, orientação sexual, filiação partidária ou tendências políticas, entre outros.
É possível dizer que não existe nenhuma empresa no país, incluindo o setor de saúde, que não tenha de fazer alguma adaptação para se adequar à LGPD, mesmo porque, até os dados de seus funcionários são considerados na lei.
Por exemplo, os programas de apoio ao tratamento, aqueles casos em que a pessoa tem uma doença crônica e vai à farmácia, se inscreve em um programa e ganha desconto no medicamento, contam com informações que identificam o paciente e também alguns dados sensíveis.
Embora a InterPlayers já seguisse políticas de segurança da informação, identidade, acesso e até uma política de privacidade baseada na lei europeia que inspirou a brasileira, ainda assim precisou intensificar controles, atualizar processos e para isto dedicou um ano e meio, desde março de 2019, para cumprir as exigências da nova legislação. Nesse sentido, colocou em prática um projeto que exigiu forte investimento tanto em TI quanto financeiro e conta com um time que envolve a empresa inteira. Ele é composto de 12 frentes diferentes (uma por macro área corporativa).
A primeira fase do projeto foi basicamente um assessment interno com o apoio de duas consultorias, uma técnica e outra jurídica, onde foram levantadas todas as informações armazenadas na InterPlayers, desde as dos pacientes até as dos funcionários. O resultado desse trabalho foi um relatório apresentado no início de julho/19 apontando eventuais riscos e o que fazer para atender adequadamente a nova lei. A partir daí, começou o trabalho de adaptações propriamente ditas.
A lei traz uma série de requisitos. O dado pessoal tem de ser protegido de maneira mais rígida. Para isso, a empresa está aplicando fortes medidas técnicas, como a criptografia em um dos padrões mais altos atualmente disponíveis no mercado, o AES 256. Com a lei, somente quem for estritamente necessário poderá ter acesso às referências pessoais de clientes ou consumidores – é uma questão de segurança para garantir a confidencialidade e a integridade da informação.
Também é preciso assegurar que o usuário, a qualquer momento, por um canal gratuito e facilitado, entre em contato conosco e peça para excluir suas informações, alterar o cadastro ou consultar o que é feito com as informações a seu respeito. Todos os canais estão sendo disponibilizados para esse fim.
No início deste ano, foi iniciada a comunicação com os pacientes ativos de sua base a fim de coletar os seus consentimentos e, assim, armazenar as informações sobre eles.
As ações de segurança seguem as regras ISO 27001 nos controles para garantir que a informação esteja íntegra e segura. Assim, tudo está sendo feito a fim de proteger os dados do usuário de um setor dos mais sensíveis nessa questão. Ele poderá ficar sossegado a respeito da privacidade de sua vida e saúde.
*Rodrigo Galesi é Diretor de Produtos e Tecnologia da InterPlayers.