Nenhuma organização está imune ao comportamento de seus colaboradores, ainda mais quando falamos em vazamento de informações relativas à saúde. Mas como os hospitais podem implementar medidas profiláticas para garantir a proteção dos dados pessoais de seus pacientes? Já vale adiantar: o tratamento passa pela conformidade dos hospitais com a Lei Geral de Proteção de Dados (LGPD).
Hospitais estão, naturalmente, mais expostos aos riscos à privacidade, na medida em que lidam com dados de saúde, que, para a LGPD, são classificados como sensíveis e exigem maiores cuidados por parte da organização. Mas o que isso significa na prática?
As atividades de enfermeiras, médicos, secretárias, auxiliares de enfermagem, nutricionistas, fisioterapeutas etc. se confundem, para fins da LGPD, com atividades do próprio hospital, sendo ele o responsável pela conformidade de cada atividade com a legislação, enquanto agente controlador que determina finalidades e meios relacionados ao tratamento dos dados pessoais dos pacientes, respondendo pelos descumprimentos legais e danos causados por seus colaboradores.
O hospital pode não apenas ser condenado a indenizar os danos sofridos pelo titular de dado, como ser sancionado pela Autoridade Nacional de Proteção de Dados (ANPD) no âmbito de eventual procedimento fiscalizatório instaurado pelas sanções administrativas previstas no artigo 52 da LGPD. Contudo, muito além dos impactos financeiros, o efeito reputacional é incontestável, incluindo o impacto na percepção de confiança dos pacientes.
Medidas que hospitais podem tomar
A principal medida é a necessidade de implementação de um robusto programa de governança em privacidade, que pode mitigar – e muito – os riscos de novos eventos danosos. No entanto, muitas vezes, o que se perde com isso tem a ver com a privacidade relacionada à gestão de pessoas.
Escolhas individuais de colaboradores envolvidos no tratamento de dados pessoais afetam as organizações, o que significa que um programa de privacidade será tão bom quanto forem efetivas suas políticas e procedimentos. A mera existência de documentação de privacidade e proteção de dados, sem efetiva internalização pelos colaboradores de hospitais, é inócua.
Para garantir a efetividade dessas políticas e procedimentos, deve-se tratar a causa raiz do problema: a cultura enraizada nos colaboradores, motor para seus comportamentos, já viciada por momento anterior à legislação de privacidade. Para isso, um dos principais instrumentos é o treinamento e a conscientização dos envolvidos no tratamento de dados pessoais no dia a dia do hospital. Ainda que a LGPD seja silente sobre esse tema, treinamentos são obrigatórios em algumas legislações, como no caso do Health Insurance Portability and Accountability Act (HIPAA), de 1996, dos Estados Unidos.
Os treinamentos podem mudar comportamentos inadequados e reforçar os bons, ao transformar políticas e procedimentos em conteúdo que possa ser absorvido, trazendo para a realidade do colaborador os princípios de privacidade – que devem servir como bússola para que o profissional, enquanto representante do hospital, tome a decisão ética e juridicamente necessária.
O primeiro passo é: não pressupor o entendimento sobre o tema da privacidade e da proteção de dados, sem garantir oportunidades de aprendizado suficientes aos envolvidos. Em razão do caráter recente da privacidade, existe uma curva de aprendizado de todos. Por essa razão, é essencial que se identifique o público a quem devem ser fornecidos os treinamentos, ou seja, quem tem acesso aos dados dos pacientes. Ainda, deve-se customizar os treinamentos de acordo não apenas com as atividades realizadas pelo departamento, mas considerando o perfil dos participantes. Técnicas diferentes, desde aulas expositivas até casos práticos com gamificação, geram maior adesão.
Tão importante quanto a realização são os registros dos treinamentos realizados. Esse tipo de documentação ajuda os hospitais a comprovar diligência em caso de eventual vazamento, cumprindo com o princípio da accountability. Dessa forma, os participantes de treinamentos devem reconhecer por escrito o recebimento e entender que estão sujeitos às políticas dos hospitais e à legislação de proteção de dados pessoais.
O acompanhamento da participação e a compreensão do público faz parte desse controle, gerando métricas para avaliar diversos aspectos relacionados aos programas de treinamento, que podem ir desde o número de pessoas treinadas e treinamentos contemplados até a mudança no número de relatos de incidentes de privacidade ou necessidade de treinamentos adicionais. Testes podem ajudar a demonstrar o nível de maturidade dos colaboradores.
Os profissionais, sejam eles de saúde ou administrativos, são agentes em nome de um hospital, em sua nobre missão de cuidar de vidas. A criação de uma cultura de privacidade significa tornar todos vigilantes e atentos em relação à proteção de dados pessoais em uma organização, em especial de pacientes, normalmente já em situação de vulnerabilidade. Treinamentos representam, assim, remédio organizacional com ótimo retorno de investimento, na medida em que seus custos são baixos em relação aos eventuais danos financeiros significativamente maiores em caso de vazamento de dados.
Fonte: JOTA. Leia matéria completa.
