A Lei Geral de Proteção de Dados (LGPD) vai entrar em vigor daqui a um ano. Ela estipula os parâmetros para proteção, uso e compartilhamento de dados pessoais por instituições públicas e privadas no território nacional. As empresas já começam a se organizar para definir um plano de ação. Entretanto, há uma percepção de que existe uma lentidão em compreender as implicações da LGPD para as atividades do mercado de saúde e um certo processo de negação, como se as pessoas não acreditassem realmente que ela possa mudar os negócios de maneira significativa. Com isso, gostaria de levantar algumas questões. Acredito que a necessidade de melhorar a segurança de dados em saúde deveria ir, na verdade, além das obrigações legais.
Fraudes nos sistemas de saúde são frequentes em todos os países, incluindo o Brasil. Aqui, em outubro passado, registrou-se um ataque ao sistema CADSUS, o Cadastro Nacional de Usuários do Sistema Único de Saúde. Essa ferramenta permite ao governo e seus agentes buscarem informações sobre pacientes, hospitais e medicamentos na rede do SUS. Foram alterados dados pessoais de usuários e familiares, com a inserção de uma data de óbito nos registros. Além dessa alteração, também aconteceu o roubo de informações como nome completo, endereço residencial, telefones, e-mail e CPF.
Essas fragilidades não se restringem ao sistema público e já são conhecidas. Grupos criminosos comercializam dados na web, em fraudes dos mais variados tipos, que eventualmente são descobertas. Empresas privadas, órgãos governamentais, pessoas físicas – todos estão vulneráveis a esse tipo de crime. Adequar-se às novas normas é uma necessidade para manter a sustentabilidade dos negócios em um contexto de tecnologia digital e globalização. As mudanças passam por atualização tecnológica e melhoria de processos.
Devemos lembrar que o Fórum Econômico Mundial, em Davos, teve justamente como tema neste ano a 4ª Revolução Industrial e seus impactos para as economias dos países. Em uma pesquisa realizada com lideranças presentes no evento, o risco de ciberataques está entre os dez maiores riscos listados – tanto pelas consequências quanto pela probabilidade. Ataques cibernéticos em larga escala ou risco de informação crítica em infraestrutura e redes representam o segundo maior risco, depois do aquecimento global.
Durante o evento, 40 CEOs da indústria de tecnologia móvel comprometeram-se com uma Declaração Digital, que estabeleceu pautas para uma conduta ética no mundo digital, como privacidade, segurança dos dados pessoais, transparência, gestão de riscos e combate a toda forma de assédio. O documento está disponível para acesso público no site da associação GSMA.
Outro evento internacional que tratou sobre essa nova realidade foi a Cybertech, em Tel Aviv, Israel, com um debate específico sobre os crimes cibernéticos. Enquanto a economia mundial avança rumo à 4ª Revolução Industrial, as fraudes eletrônicas avançam para a sexta geração: vírus na década de 90, em seguida interferência nas redes, invasão de aplicativos, roubo de dados e ofensivas globais. O próximo grande risco são ataques virtuais mais sofisticados, aproveitando as oportunidades de um mundo em que mesmo objetos de uso cotidiano, tais como automóveis, eletrodomésticos, jogos e drones, estão conectados. Isso significa que na área da saúde, os investimentos necessários em inteligência artificial e internet das coisas devem ter em conta a segurança de dados dos pacientes e das organizações de saúde.
A lei brasileira foi inspirada na Regulamentação Europeia de Proteção de Dados (GDPR), que entrou em vigor em maio de 2018. Anteriormente, não havia nenhuma legislação específica sobre proteção de dados pessoais no País, e o assunto era regulado por legislações diversas.
A questão tem ganhado cada vez mais debate e corpo nos diferentes segmentos e, claro, no setor de saúde, que conta uma enorme quantidade de informações de pacientes e do sistema, necessitando, portanto, de parâmetros para proteção mais eficaz dos dados. No entanto, a lei ainda carece de aprimoramentos no que tange as especificidades do segmento. Muitas questões ainda são tratadas de modo genérico – o que pode suscitar entendimento divergente – como as que dizem respeito ao consentimento e “anonimação” das informações nos diferentes elos da cadeia de saúde.
Ainda há um longo caminho pela frente que envolve o movimento das empresas do setor, do governo, gestores e tomadores de decisão – podendo, inclusive acarretar em aumento de custos para o setor. Trago todas essas questões para uma compreensão mais ampla do cenário e da importância para o setor de saúde em fazer os ajustes necessários, não somente em razão da LGPD, mas por um aprimoramento incontestável para o mercado. Penso que 2019 será um ano decisivo para adaptação a essa nova realidade, e por isso pretendo esmiuçar outros pontos em próximos artigos.