Quando uma pessoa chega a um hospital para consulta ou exame, uma série de dados é coletada. Além de nome, endereço e telefone, os pacientes são questionados sobre hábitos e, é claro, suas condições de saúde. Portanto, os estabelecimentos desse setor lidam com um grande volume de informações pessoais diariamente.
A LGPD (Lei Geral de Proteção de Dados), em vigor desde 2020, fez com que as empresas médicas investissem mais na proteção de dados. Isso porque a lei salvaguarda o titular das informações – ou seja, a entidade é totalmente responsável pelo armazenamento e utilização adequada dos elementos, sendo responsabilizada em caso de uso indevido ou vazamento.
Segundo a pesquisa TIC Saúde 2022, no Brasil, 50% das organizações privadas adotam medidas de proteção de dados, contra 25% no setor público. Mesmo com números abaixo do esperado, o percentual geral de empresas com iniciativas protetivas aumentou de 30% para 39% entre 2021 e 2022.
Sinal de alerta
No mesmo período, a quantidade de ciberataques contra negócios do setor aumentou 78% em todo o mundo, conforme levantamento da Check Point Software. Hospitais, clínicas e demais companhias brasileiras da área registraram aproximadamente 1.800 incursões por semana, quase duas por minuto, em 2022.
Por isso, ainda que os investimentos na proteção de dados no setor da saúde estejam aumentando, não acompanham a velocidade de crescimento dos crimes cibernéticos – e os prejuízos podem ser enormes. Além de manchar a reputação do estabelecimento e poder prejudicar os pacientes com as informações vazadas, o atendimento é comprometido.
Em março de 2023, por exemplo, o Hospital Universitário da USP sofreu um ataque cibernético que paralisou vários serviços, entre eles, o atendimento à população que precisava passar por consultas e exames.
Dados sensíveis
As empresas médicas têm uma preocupação a mais quando o assunto é proteção cibernética, pois lidam não apenas com informações pessoais básicas, mas também com dados sensíveis – categoria criada pela LGPD para elementos que, se divulgados, podem prejudicar o indivíduo.
Os dados básicos sobre a saúde do paciente são classificados como sensíveis, assim como aqueles contendo orientação sexual, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, biometria e informações genéticas.
LGPD na prática
Devido à complexidade do tratamento e da segurança de dados, a LGPD prevê que as companhias coletem apenas informações realmente necessárias para, no caso da saúde, a prestação do serviço. Outro ponto importante é que elas precisam deixar claro como e por quanto tempo os arquivos serão usados, além de ter o consentimento expresso do titular dos dados.
A fiscalização é de responsabilidade da ANPD (Agência Nacional de Proteção de Dados). A lei estabelece sanções pelo descumprimento, incluindo multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. A empresa também pode ser proibida de executar, total ou parcialmente, a atividade referente ao tratamento de dados.
Gostou deste conteúdo? Compartilhe-o nas redes sociais!