À medida que a Lei Geral de Proteção de Dados (LGPD) e o papel do DPO (Data Protection Officer) se consolida no Brasil, muitas instituições de saúde ainda sofrem para atender aos seus requisitos.
De fato, uma parte crítica de qualquer plano de segurança de dados é a nomeação de um Data Protection Officer, e muitas organizações de saúde estão buscando encontrar alguém com as habilidades certas para preencher essa função.
O encarregado da proteção de informações, como também é conhecido o DPO, é responsável por desenvolver e implementar um plano de segurança de dados que atenda aos requisitos da LGPD, devendo ter conhecimento especializado das leis e práticas de proteção de dados.
Vejamos os desafios enfrentados pelas organizações de saúde na nomeação de um Data Protection Officer, juntamente com a importância de ter alguém nessa função que possa garantir o cumprimento da LGPD.
A LGPD e requisitos a serem atendidos pelas instituições de saúde
A Lei Geral de Proteção de Dados (LGPD) é uma lei que entrou em vigor em agosto de 2018, no Brasil, e regula a proteção de dados pessoais. A LGPD se aplica a todas as organizações do Brasil, incluindo instituições de saúde.
Em resumo, os requisitos da LGPD para as instituições de saúde são os seguintes:
- O DPO deve ser nomeado e ter conhecimento sobre a Lei Geral de Proteção de Dados;
- O plano de segurança de dados da instituição de saúde deve atender aos requisitos da LGPD;
- As informações médicas dos pacientes precisam ser protegidas, conforme previsto na lei;
- Os pacientes têm o direito de saber como suas informações serão usadas e quem terá acesso a elas;
- As instituições de saúde precisam divulgar uma política de privacidade para os pacientes.
O encarregado da proteção de dados é um funcionário fundamental para as instituições de saúde, pois é ele quem garante que os requisitos da LGPD sejam atendidos.
Sem um Data Protection Officer adequado, as instituições correm o risco de sofrer sanções da lei.
O papel do DPO no desenvolvimento e implementação de um plano de segurança de dados
O desenvolvimento e a implementação do plano de segurança de dados são tarefas complexas, que exigem o conhecimento especializado do DPO.
O encarregado da proteção de informações precisa estar familiarizado com as leis e as práticas de proteção de dados para garantir que o plano atenda a todos os requisitos da LGPD.
O plano de segurança de dados deve ser desenvolvido com base em um levantamento das ameaças, bem como do impacto que elas podem causar.
O encarregado da proteção de dados deve considerar todos os aspectos da segurança dos dados, incluindo o controle de acesso, criptografia, monitoramento e detecção de intrusão.
Uma vez que o plano esteja desenvolvido, é importante que seja implementado de forma eficaz. Para isso, o DPO deve coordenar o trabalho de todas as equipes envolvidas, incluindo o time de segurança da informação, a equipe médica e os profissionais de TI.
Além disso, o encarregado da proteção de dados precisa monitorar constantemente o plano para garantir que esteja funcionando de forma efetiva.
Desafios enfrentados pelo DPO das instituições de saúde no atendimento à LGPD
Os primeiros desafios enfrentados pelo DPO nas instituições de saúde são a complexidade do plano de segurança de dados e as restrições de tempo e recursos.
De fato, o encarregado da proteção de dados precisa ter um amplo conhecimento sobre a LGPD para que possa desenvolver um plano de segurança de dados adequado. Essa é uma tarefa complexa, que exige o envolvimento de diversas equipes.
Vale destacar ainda, que as instituições de saúde tratam em seus dia a dia com documentos sensíveis, a exemplo de prontuários médicos, exames laboratoriais com dados biométricos, receitas etc.
Desta forma, o Data Protection Officer tem a responsabilidade de garantir que fluxos e processos médicos utilizados para a elaboração e entrega de exames, agendamento de consultas, atendimentos de pacientes e seus acompanhantes, atendimento aos planos de saúde e fluxo de medicações estejam de acordo com a Lei de Proteção e Privacidade.
Isso representa um grande desafio, tendo em vista a rotina diária das organizações de saúde e as inúmeras atividades que são realizadas para o atendimento dos pacientes.
Além disso, as instituições de saúde enfrentam um grande desafio na hora de garantir a observância da Lei, já que ainda há muitas dúvidas sobre como ela deve ser aplicada.
O DPO precisa contar com o apoio da diretoria da instituição para ter sucesso na missão de atender à LGPD
Esse apoio é fundamental, pois a diretoria é responsável por garantir os recursos necessários para que o encarregado da proteção de dados possa cumprir seu trabalho. Além disso, a diretoria deve estar comprometida com a segurança dos dados e com a proteção dos pacientes.
O DPO também enfrenta desafios na hora de comunicar as mudanças provocadas pela LGPD às equipes envolvidas. Isso exige um trabalho de coordenação efetivo, já que todas as equipes devem estar alinhadas para garantir o respeito da lei.
Por fim, vale ressaltar que o DPO não trabalha sozinho e que seu sucesso depende do engajamento de todos os envolvidos. A criação de um comitê de proteção de dados, que inclua representantes da diretoria, da equipe médica e das áreas de segurança e TI, pode ajudar a garantir os requisitos da LGPD.
CipherTrust Data Security Platform como importante recurso na proteção e privacidade de dados de pacientes
De acordo com o IDC, mais de 175 zetabytes de dados serão criados até 2025, e hoje mais da metade de todos os dados corporativos são armazenados na nuvem.
Para lidar com a complexidade de onde os dados são armazenados, a CipherTrust Data Security Platform oferece recursos fortes para proteger e controlar o acesso a dados confidenciais em bancos de dados, arquivos e contêineres.
O portfólio de produtos de proteção de dados que compõe a solução CipherTrust Data Security Platform permite que as instituições de saúde protejam dados em repouso e em movimento em todo o ecossistema de TI e garante que as chaves dessas informações estejam sempre protegidas e apenas sob seu controle.
Ela simplifica a segurança dos dados, melhora a eficiência operacional e acelera o tempo de conformidade. Independentemente de onde seus dados residem.
A plataforma CipherTrust garante que seus dados estejam seguros, com uma ampla gama de produtos e soluções comprovados e líderes de mercado para implantação em data centers, ou aqueles gerenciados por provedores de serviços em nuvem (CSPs) ou provedores de serviços gerenciados (MSPs), ou como um serviço baseado em nuvem gerenciado pela Thales, empresa líder no segmento de segurança.
Sobre a Eval
Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.
Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança de informações sensíveis e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
