O Data Protection Officer surge como o guardião que irá proteger dados sensíveis de pacientes

A Lei Geral de Proteção de Dados (LGPD) foi promulgada em 2018, com o intuito de estabelecer boas práticas e parâmetros que deveriam ser seguidos por todas as empresas, a fim de zelar pela privacidade e pelos dados de seus clientes. Com a regra sancionada, também foi criado o chamado Data Protection Officer, ou simplesmente DPO, um novo cargo necessário à gestão hospitalar obrigatório a partir de agosto de 2020. 

"Ele é o ponto focal, a ponte entre a empresa e a Agência Nacional de Proteção de Dados", resume José Sobrinho, head do programa LGPD da MV.

"O papel dele é estar à frente das iniciativas de proteção de dados baseadas na lei, fomentando uso e conformidade", completa Ivan Paiva, gerente de Negócios de Território SP Sales Executive da Indyxa.

O perfil do DPO

Apesar de ter um trabalho com enfoque legislativo, o profissional que assume o cargo de DPO não precisa, necessariamente, ser formado em direito, afirmam os executivos. Esse candidato, porém, precisa conhecer a lei a fundo. Para tanto, ele pode ser devidamente treinado. 

Na opinião de Paiva, "Há alguns perfis que podem ser seguidos: especialista jurídico, tecnologia, monitoramento".

Mas, mais importante do que ter uma formação, a pessoa responsável pelo cargo tem de ter a capacidade pessoal de relacionamento — especialmente porque terá de responder diretamente para lideranças. Há também a possibilidade de terceirizar uma empresa para fazer o trabalho, ou mesmo um escritório de advocacia, o que significa que ele não precisa ser um membro da gestão hospitalar. 

Mesmo com todas as suas nuances, a recomendação para a área da Saúde na escolha do candidato ideal é a mesma.

"Não acredito que o DPO deva ter um papel diferente na Saúde, ou em qualquer outra área", aponta Sobrinho.

Além dos limites da empresa

O DPO, como dito, é responsável por estabelecer regras que serão usadas como diretrizes para a instituição. Nesse sentido, é preciso não apenas olhar para dentro, estabelecendo políticas internas de práticas, mas também garantir a postura de fornecedores. 

Paiva explica que, especialmente em empresas grandes, é preciso identificar, por exemplo, com qual fornecedor os dados são compartilhados ou recebidos, ranquear o tipo de tratamento e o grau de risco de determinado fornecedor também é recomendado. Isso vale para todos que têm contato com as informações, do motoboy ao médico e ao presidente da empresa.

Comitês para apoiar a iniciativa

A figura do DPO é importante, mas ele não precisa atuar sozinho. Há a possibilidade de criar comitês mistos, multidisciplinares, que darão respaldo à iniciativa na gestão hospitalar.

"Criar um comitê com a maior quantidade de áreas possíveis acaba tratando e estimulando novas visões para tratar um mesmo tipo de questão", recomenda sobrinho.

Comece a trabalhar

Ivan ressalta que já há muitas empresas que ainda não iniciaram seus trabalhos no âmbito da LGPD. Para ele, o receio de capacitar um profissional para que ele, posteriormente, volte ao mercado ou migre para a concorrência, é um dos motivos para postergar o início de projetos. 

"A cada mês atrasado, é um mês a menos que você terá de justificar no futuro, quando identificarem que não há o cumprimento de caráter preventivo", diz.

"É preciso iniciar e não esperar as melhores condições", encerra.