A cada dia está mais evidente que os dados são ativos de grande importância em qualquer empresa. Com a Lei Geral de Proteção de Dados (LGPD) entrando em vigor, a necessidade de um Data Protection Officer nas organizações só cresce.
O grande ofensor da atualidade é decorrente do uso de informações pessoais e sensíveis como moeda de troca por diversas plataformas. Essa situação gerou uma inquietação global e fez com que, em 2016, fosse apresentado ao Parlamento Europeu o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR).
Diante desse contexto, uma nova função se fez necessária à gestão hospitalar: o Data Protection Officer (DPO) ou Encarregado de Proteção de Dados. Vale dizer que ela não é função obrigatória, mas é recomendada a todas as organizações que lidam com informações sensíveis.
Sua função é ser vanguarda de iniciativas de proteção de dados, com respeito ao que determina a lei e estimulando o uso e a adequação.
Qual o papel do DPO nas instituições de saúde?
Na área médica, o grande papel dos DPO’s é manter a saúde dos dados, ou seja, manter a segurança de todas as informações, prestando serviço de aprimoramento e melhoria do asseguramento de dados.
Para fazer esse controle, o Data Protection Officer deve se amparar em três pilares: processos, ferramentas e pessoas. O profissional deve mapear o processo do início ao fim (end-to-end) dos dados na instituição, desde a entrada do paciente ao pronto-atendimento até a sua saída, pós-tratamento.
Ao longo dessa jornada, o paciente passa por diversos departamentos e sistemas da instituição que, caso não tenham a devida integração, podem gerar gargalos e extravio de informações. O papel do DPO é fazer com que todo esse processo esteja bem estruturado, acompanhando-o regularmente, além de treinar, preparar e fomentar a questão da LGPD dentro das instituições.
Outra questão importante sobre a pessoa (interna ou “DPO as a Service”, contratada como um serviço) que assume a função é que ela deve atuar como canal de comunicação entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Apesar do foco da atuação ser legislativa, a função não exige formação em direito, abrindo o leque para especialistas em tecnologia e monitoramento. Ainda assim, é indispensável que o profissional domine a lei a fundo, e veja a LGPD não como uma ferramenta, ou apenas como um software, mas sim como toda a parte do processo.
Saiba como escolher o Data Protection Officer
O grande desafio do DPO na área da saúde é conhecer bem os processos da instituição, desde a entrada do paciente até a sua saída, para que então possa definir como será a proteção de dados em cada estágio.
A designação para a função deve ser técnica, sem conflito de interesses, realizada em função das competências profissionais, em especial dos conhecimentos avançados de proteção de dados, para que o colaborador seja capaz de cumprir as tarefas atribuídas no Artigo 39º, relacionadas à segurança e proteção de dados.
É muito importante que o candidato tenha vivência em segurança da informação e saiba como aplicar processos, desenhar metodologias, fluxos e indicadores. Assim, ele poderá entender o comportamento dos processos da empresa, para poder comunicá-lo aos usuários e autoridades reguladoras.
Quais são as funções do DPO?
Apesar do termo Data Protection Officer não existir na Lei Geral de Proteção de Dados, o escopo da legislação orienta as atividades que o encarregado deve empregar.
Segundo o artigo 41 da lei, a instituição é responsável pela indicação do encarregado de proteção de dados. Além disso, deve divulgar publicamente a identidade e as informações de contato do colaborador, de forma clara e objetiva, preferencialmente no site institucional.
As funções do DPO são estipuladas pelo segundo parágrafo do artigo, que determina em seus incisos:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Sendo assim, o principal desafio do Data Center Protection Officer na saúde é integrar três pilares – processos, ferramentas e pessoas – às normas da LGPD e fazer com que ela seja devidamente executada e aplicada. Em suma, o profissional deve estar preparado para o compliance de segurança institucional que envolve as diretrizes da lei.
Por fim, vale frisar que a autoridade nacional tem a prerrogativa de estabelecer normas complementares sobre a definição e as atribuições do encarregado. Além disso, é essencial que o trabalho do novo profissional seja facilitado, sendo papel da empresa estabelecer políticas protetivas, disponibilizando sistemas de saúde interoperáveis.
Segurança e proteção dos dados: como podemos contribuir para a sua instituição?
Além do Data Protection Officer, contar com parceiros e fornecedores que garantam a proteção dos dados é indispensável. Por isso, nossas soluções são pensadas para agilizar e melhorar os processos das instituições, levando em consideração as premissas necessárias para garantir a segurança e proteção dos dados dos pacientes.
Com a missão de encurtar a distância entre os sintomas e o tratamento, facilitamos a integração das informações desde o cadastro do paciente até o laudo médico.
Nossas soluções armazenam os dados institucionais e promovem uma melhor gestão da sua operação, através de dashboards inteligentes e conexões com outros sistemas. Uma solução de ponta a ponta, hospedada em nuvem, sem instalações, robusta, segura, com criptografia de ponta a ponta, e adaptada à LGPD.
Para mais informações, fale com um de nossos especialistas.
José Henrique Lopes é especialista em Gestão e Governança em Tecnologia da Informação pela Universidade Federal de Goiás (UFG). Apaixonado por inovação e novos negócios, atua há mais de 16 anos como Diretor e Gestor de TI e Inovação. Atualmente é Chief Technology Officer (CTO) e Data Protection Officer (DPO) na Neomed
