Segurança da Informação e Proteção de dados no setor da Saúde

No mercado da saúde, a discussão atual se refere à questão da segurança da informação e a proteção de dados pessoais. Empresas do setor já estão promovendo mudanças significativas em seus processos de trabalho, para assegurar segurança no tratamento de dados dos participantes do segmento de saúde e de seus usuários de serviços.

Com previsão para entrar em vigor no Brasil, em agosto de 2020, a Lei de Proteção de Dados Pessoais (LGPD) brasileira / Lei 13.709/18, foi sancionada no dia 14 de agosto de 2018, com objetivo de regulamentar o uso, a proteção e transferência de dados pessoais com relação às operações realizadas por pessoa física e/ou jurídica, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.

A medida visa a definição da forma de coleta dos dados pessoais, por empresas, governo e utilização das informações, proporcionando mais controle aos dados pessoais. De acordo com a LGPD, dados pessoais são informações relacionadas a pessoa natural identificada ou identificável, sendo consideradas críticas, exigindo proteção adequada pelas organizações.

Em decorrência desse movimento, diversas empresas já trabalham na adequação dos processos de trabalho e medidas de segurança, como é o caso da Duosystem, empresa de tecnologia, especializada em inteligência e inovação em saúde. Algumas por exemplo, utilizam algumas diretrizes e recomendações estabelecidas pela ISO/IEC 27001.  A ISO/IEC 27001 é um conjunto de padrões desenvolvidos pela ISO (International Organization for Standardization) e pela IEC (International Electrotechnical Commission), com o objetivo de oferecer um framework reconhecido pelo mercado como padrão, para o gerenciamento da segurança da informação. Aplica-se a qualquer organização, pública ou privada, de grande ou de pequeno porte.

Os mecanismos estabelecidos na ISO/IEC 27001 podem agregar valor e auxiliar no processo de proteção de dados e adequação à LGPD. Abaixo, destacamos alguns pontos da ISO que podem contribuir no processo de adequação e conformidade com a nova legislação:

• Formalização de compromissocom a segurança e privacidade de dados pessoais – Com a implementação da ISO 27001/27002, por conta do controle A.18.1.1 (Identificação de legislação e requisitos contratuais aplicáveis), é obrigatório ter uma lista de requisitos legislativos, estatutários, regulatórios e contratuais relevantes. Se a organização precisa estar em conformidade com a LGPD, esta regulamentação terá que fazer parte da lista. Além disso, o controle A.18.1.4 (Privacidade e proteção de informações pessoais) da ISO 27001/27002 exige que as organizações implementem uma política de privacidade e proteção de informações de dados pessoais;
• Notificação de incidente de segurança– As organizações terão que notificar a Autoridade Nacional de Proteção de Dados dentro de “prazo razoável” (a ser definido pela Autoridade), a ocorrência de incidente de segurança da informação (por exemplo: vazamento de dados pessoais). A implementação do controle A.16.1 (Gestão de incidentes de segurança da informação) da ISO 27001/27002 exige “uma abordagem consistente e eficaz para a gestão de incidentes de segurança da informação, incluindo a comunicação de eventos de segurança”. De acordo com a LGPD, o titular do dado pessoal (“pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”) também deverá ser notificado;
• Gestão de Ativos– O controle A.8 (Gestão de Ativos) da ISO 27001/27002 exige a inclusão de dados pessoais como ativo de segurança da informação e auxilia a organização no mapeamento dos dados pessoais dando diretrizes para seu armazenamento, tratamento e processamento. A gestão de ativos está relacionada aos 10 (dez) princípios da atividade de tratamento de dados pessoais da LGPD (Artigo 6º);
• Programa de Governança em Privacidade– A elaboração de um programa de governança em privacidade, outro requisito da LGPD, atinge o desenvolvimento de produtos e sistemas. O controle A.14 (Aquisição, desenvolvimento e manutenção de sistemas) da ISO 27001/27002 exige que “a segurança da informação é uma parte integral dos sistemas de informação por todo o ciclo de vida”.
• Relações com fornecedores– O controle A.15.1 (Segurança da informação na relação com fornecedores) da ISO 27001/27002 requer a “proteção dos ativos da organização que são acessíveis por fornecedores”. De acordo com a LGPD, existem os conceitos de controlador e de operador no tratamento de dados pessoais, onde a formalização de contratos e acordos devem estar em conformidade com os requisitos da regulamentação;
• Avaliação de Risco– A Autoridade Nacional de Proteção de Dados poderá exigir que as organizações elaborem um relatório de impacto à proteção de dados pessoais, para analisar os riscos a privacidade, da mesma forma que é requerido pela ISO 27001/27002. A implementação da ISO 27001/27002 fornece suporte na elaboração deste relatório. Como exemplo, citamos o controle A.8.2.1 (Classificação da informação): “A informação deve ser classificada em termos de requisitos legais, valor, criticidade e sensibilidade com relação a divulgação ou modificação não autorizada”.

Estes são apenas alguns dos pontos contemplados pela ISO e que podem contribuir no processo de adequação à LGPD. Isso é o bastante? Não, porém se a organização já implementou a norma, ela está pelo menos na metade do caminho em direção a assegurar a proteção de dados pessoais e minimizar os riscos de um vazamento, por exemplo.

Além dos controles técnicos, documentação estruturada, monitoramento e melhoria contínua adotadas, a implementação da ISO 27001 promove uma cultura sobre incidentes de segurança nas organizações. Os colaboradores ficam mais conscientes e adquirem conhecimento para serem capazes de detectar e reportar incidentes de segurança.

A segurança da informação não é apenas sobre tecnologia, e sim sobre pessoas e processos. O desafio de adequação à LGPD consolidará a necessidade do uso ético, responsável e seguro dos dados pessoais, proporcionando a todos, mais transparência e evolução no setor da Saúde.