Políticas de proteção de dados adotadas na área da saúde ainda são consideradas frágeis

Os estabelecimentos de saúde estão entre os maiores alvos dos ataques cibernéticos, tanto no Brasil quanto em outros países do mundo. Por conterem dados sensíveis, hospitais, clínicas e operadoras costumam ser citados como alguns dos setores da economia que mais precisam se adequar à LGPD - Lei Geral de Proteção de Dados.

Desde que as regras impostas pela lei (número 3.709, de 14/8/18) começaram a vigorar, em setembro de 2020, o descumprimento pode fazer com que as instituições sejam punidas com multas severas, que podem chegar a 2% do valor de seus faturamentos, com limite de R$ 50 milhões por infração.

Os ataques hackers colocam em risco toda a infraestrutura computacional das organizações de saúde. Nos últimos anos, têm sido noticiados na mídia casos de estabelecimentos que tiveram suas operações parcialmente ou totalmente paralisadas devido ao acesso irregular a suas criptografias de base. Muitas vezes, os criminosos têm como objetivo o recebimento de um resgate sobre os dados sequestrados.

Segundo dados mais atuais da pesquisa TIC Saúde, desenvolvida pelo Comitê Gestor da Internet no Brasil, em 2022 apenas 39% das instituições de saúde do país, privadas ou públicas, eram adeptas a uma política de segurança da informação. Por outro lado, no mesmo ano, 76% das organizações da área realizavam treinamentos de funcionários em relação ao tema. Isto demonstra que a preocupação em relação às normas impostas pela LGPD existe na maioria dos estabelecimentos, mas que o manejo das mesmas ainda ocorre de forma bastante "amadora", o que resulta em vulnerabilidade.

Para se adaptar à LGPD, não basta ter um sistema de prontuário eletrônico eficiente e atualizado. É preciso implantar todo um sistema de compliance, que envolve, entre outros fatores, a contratação de uma pessoa para a função de DPO - Data Protection Officer; a adoção de um TCLE - Termo de Consentimento Livre e Esclarecido eficiente e que esclareça de que forma os dados dos pacientes serão manuseados e mantidos; um bom sistema de transferência internacional de dados, caso o estabelecimento mantenha relações com instituições de outros países; e desenvolvimento da  cultura da privacidade dentro das equipes.

Fora do Brasil, além do DPO, já é muito difundida a figura do CISO - Chef Information security officer dentro das instituições de saúde. Ele é o responsável pela identificação de riscos presentes em todas as etapas de atuação dos estabelecimentos e por definir quais são as ferramentas mais adequadas para uso em cada tipo de situação, garantindo a segurança cibernética de todos. Em território nacional, ainda são poucos os profissionais habilitados para desenvolver a função e poucas as entidades de saúde que a possuem. O serviço ainda é considerado caro. Porém, é barato se comparado aos valores de multas e gastos gerados por outros tipos de penalidades.