Os estabelecimentos de saúde estão entre os maiores alvos dos ataques cibernéticos, tanto no Brasil quanto em outros países do mundo. Por conterem dados sensíveis, hospitais, clínicas e operadoras costumam ser citados como alguns dos setores da economia que mais precisam se adequar à LGPD - Lei Geral de Proteção de Dados.
Desde que as regras impostas pela lei (número 3.709, de 14/8/18) começaram a vigorar, em setembro de 2020, o descumprimento pode fazer com que as instituições sejam punidas com multas severas, que podem chegar a 2% do valor de seus faturamentos, com limite de R$ 50 milhões por infração.
Os ataques hackers colocam em risco toda a infraestrutura computacional das organizações de saúde. Nos últimos anos, têm sido noticiados na mídia casos de estabelecimentos que tiveram suas operações parcialmente ou totalmente paralisadas devido ao acesso irregular a suas criptografias de base. Muitas vezes, os criminosos têm como objetivo o recebimento de um resgate sobre os dados sequestrados.
Segundo dados mais atuais da pesquisa TIC Saúde, desenvolvida pelo Comitê Gestor da Internet no Brasil, em 2022 apenas 39% das instituições de saúde do país, privadas ou públicas, eram adeptas a uma política de segurança da informação. Por outro lado, no mesmo ano, 76% das organizações da área realizavam treinamentos de funcionários em relação ao tema. Isto demonstra que a preocupação em relação às normas impostas pela LGPD existe na maioria dos estabelecimentos, mas que o manejo das mesmas ainda ocorre de forma bastante “amadora”, o que resulta em vulnerabilidade.
Para se adaptar à LGPD, não basta ter um sistema de prontuário eletrônico eficiente e atualizado. É preciso implantar todo um sistema de compliance, que envolve, entre outros fatores, a contratação de uma pessoa para a função de DPO - Data Protection Officer; a adoção de um TCLE - Termo de Consentimento Livre e Esclarecido eficiente e que esclareça de que forma os dados dos pacientes serão manuseados e mantidos; um bom sistema de transferência internacional de dados, caso o estabelecimento mantenha relações com instituições de outros países; e desenvolvimento da cultura da privacidade dentro das equipes.
Fora do Brasil, além do DPO, já é muito difundida a figura do CISO - Chef Information security officer dentro das instituições de saúde. Ele é o responsável pela identificação de riscos presentes em todas as etapas de atuação dos estabelecimentos e por definir quais são as ferramentas mais adequadas para uso em cada tipo de situação, garantindo a segurança cibernética de todos. Em território nacional, ainda são poucos os profissionais habilitados para desenvolver a função e poucas as entidades de saúde que a possuem. O serviço ainda é considerado caro. Porém, é barato se comparado aos valores de multas e gastos gerados por outros tipos de penalidades.
Izabela Rücker Curi
Advogada e sócia fundadora do escritório Rücker Curi Advocacia e Consultoria Jurídica e da Smart Law, uma startup focada em soluções jurídicas personalizadas para o cliente corporativo, que mesclam inteligência humana e artificial. É board member certificada pelo Instituto Brasileiro de Governança Corporativa IBGC-São Paulo, mediadora ad hoc e consultora da Global Chambers na região Sul. É mestre em Direito pela PUC-SP e negociadora especializada pela Harvard Law School.