Gestão hospitalar: quem é, o que faz e como escolher o DPO?
O Data Protection Officer surge como o guardião que irá proteger dados sensíveis de pacientes
A Lei Geral de Proteção de Dados (LGPD) foi promulgada em 2018, com o intuito de estabelecer boas práticas e parâmetros que deveriam ser seguidos por todas as empresas, a fim de zelar pela privacidade e pelos dados de seus clientes. Com a regra sancionada, também foi criado o chamado Data Protection Officer, ou simplesmente DPO, um novo cargo necessário à gestão hospitalar obrigatório a partir de agosto de 2020.
"Ele é o ponto focal, a ponte entre a empresa e a Agência Nacional de Proteção de Dados", resume José Sobrinho, head do programa LGPD da MV.
"O papel dele é estar à frente das iniciativas de proteção de dados baseadas na lei, fomentando uso e conformidade", completa Ivan Paiva, gerente de Negócios de Território SP Sales Executive da Indyxa.
O perfil do DPO
Apesar de ter um trabalho com enfoque legislativo, o profissional que assume o cargo de DPO não precisa, necessariamente, ser formado em direito, afirmam os executivos. Esse candidato, porém, precisa conhecer a lei a fundo. Para tanto, ele pode ser devidamente treinado.
Na opinião de Paiva, "Há alguns perfis que podem ser seguidos: especialista jurídico, tecnologia, monitoramento".
Mas, mais importante do que ter uma formação, a pessoa responsável pelo cargo tem de ter a capacidade pessoal de relacionamento — especialmente porque terá de responder diretamente para lideranças. Há também a possibilidade de terceirizar uma empresa para fazer o trabalho, ou mesmo um escritório de advocacia, o que significa que ele não precisa ser um membro da gestão hospitalar.
Mesmo com todas as suas nuances, a recomendação para a área da Saúde na escolha do candidato ideal é a mesma.
"Não acredito que o DPO deva ter um papel diferente na Saúde, ou em qualquer outra área", aponta Sobrinho.
Além dos limites da empresa
O DPO, como dito, é responsável por estabelecer regras que serão usadas como diretrizes para a instituição. Nesse sentido, é preciso não apenas olhar para dentro, estabelecendo políticas internas de práticas, mas também garantir a postura de fornecedores.
Paiva explica que, especialmente em empresas grandes, é preciso identificar, por exemplo, com qual fornecedor os dados são compartilhados ou recebidos, ranquear o tipo de tratamento e o grau de risco de determinado fornecedor também é recomendado. Isso vale para todos que têm contato com as informações, do motoboy ao médico e ao presidente da empresa.
Comitês para apoiar a iniciativa
A figura do DPO é importante, mas ele não precisa atuar sozinho. Há a possibilidade de criar comitês mistos, multidisciplinares, que darão respaldo à iniciativa na gestão hospitalar.
"Criar um comitê com a maior quantidade de áreas possíveis acaba tratando e estimulando novas visões para tratar um mesmo tipo de questão", recomenda sobrinho.
Comece a trabalhar
Ivan ressalta que já há muitas empresas que ainda não iniciaram seus trabalhos no âmbito da LGPD. Para ele, o receio de capacitar um profissional para que ele, posteriormente, volte ao mercado ou migre para a concorrência, é um dos motivos para postergar o início de projetos.
"A cada mês atrasado, é um mês a menos que você terá de justificar no futuro, quando identificarem que não há o cumprimento de caráter preventivo", diz.
"É preciso iniciar e não esperar as melhores condições", encerra.