Instituições têm até 2020 para se adequar à LGPD, legislação brasileira que garante a proteção dos dados pessoais dos cidadãos e prevê pesadas sanções em caso de ocorrência de vazamentos

A aprovação da Lei Geral de Proteção de Dados (LGPD) no Brasil reafirmou a responsabilidade das organizações de Saúde em proteger os dados pessoais de seus pacientes. Para tanto, elas devem contar com uma boa infraestrutura de TI em Saúde e com soluções adequadas para evitar vazamentos, que podem ocasionar pesadas sanções — de multas ao bloqueio total do banco de dados. 

Um desafio a ser considerado na hora de planejar a adequação é o nível de maturidade de adoção de tecnologia na Saúde. Enquanto há organizações que estão avançando rumo à Saúde Digital, com uso de tecnologias disruptivas como big data e machine learning, outras nem sequer adotaram o prontuário eletrônico e ainda baseiam suas operações exclusivamente no papel. 

Tiago Brack Miranda, especialista em segurança da informação e líder de infraestrutura da Indyxa, explica que o setor de Saúde é um dos mais impactados pela LGPD, uma vez que os dados são classificados como sensíveis pela legislação. Portanto, a atenção deve ser redobrada para impedir vazamentos. É preciso, segundo o especialista, criar uma política estruturada de segurança da informação, que garanta tanto a infraestrutura tecnológica quanto medidas de governança. A existência dessa política será considerada pela autoridade nacional responsável pela lei no caso de vazamentos — e pode ajudar a reduzir as penas. 

O especialista indica três ferramentas fundamentais para a TI em Saúde: 

• Firewalls de Nova Geração (NGFW):  possuem proteção em diversas camadas, a fim de evitar acesso a conteúdo indevido, malwares e até mesmo vazamento de dados; 
• AntiSpam: controla a entrada e saída de e-mails, que são comumente utilizados para propagar malwares ou obter informações de funcionários e da organização; 
• Antivírus: protegem contra a execução de malwares e ransomware (sequestro de dados) nos servidores e estações de trabalho. 

"A infraestrutura ideal é aquela que é constantemente atualizada de acordo com as melhores práticas do mercado. Ou seja, não adianta contratar a tecnologia e achar que ela vai resolver tudo dali para a frente. É preciso revisão constante, porque os riscos mudam de forma veloz”. Alerta Miranda sobre essas ferramentas não devem ser estanques.

Prova disso está em uma pesquisa da KPMG que aponta que, dos 400 incidentes de segurança da informação registrados em 2017 no Brasil em empresas de todos os setores, 85% teriam sido evitados se elas tivessem adotado ao menos um controle básico. A Saúde foi apontada como um dos setores com mais risco de ataques em 2019, em palestra realizada por representante da consultoria no IT Forum Expo.

Passo a passo

As instituições que ainda não se organizaram para criar uma política de segurança da informação ou não adequaram sua infraestrutura para proteger os dados dos pacientes devem seguir três passos básicos: 

• Realizar um balanço do que já existe: um programa de proteção de dados e conformidade com a LGPD deve ser sempre iniciado com uma boa análise dos riscos e vulnerabilidades aos quais a organização está exposta, que variam conforme o nível de adoção de tecnologia em Saúde e também com o porte e o core da instituição, entre outros fatores; 
• Criar políticas de segurança da informação: a elaboração das políticas e normas e a conscientização dos colaboradores sobre o tema é caminho a ser percorrido por todas as organizações até 2020;
• Contratar uma consultoria profissional: a análise do ambiente atual por especialistas no tema faz com que o investimento em tecnologias, governança e pessoas seja adequado à necessidade da organização. 

"Possuir a cultura de segurança da informação nas atividades diárias faz com que o risco de vazamento de dados ou exploração de vulnerabilidades seja consideravelmente reduzido", garante Miranda. 

O uso de dados obtidos com a tecnologia na Saúde é um caminho sem volta. Portanto, a garantia da segurança dessas informações deve ser encarada pelas organizações como obrigatória não apenas por conta da legislação, mas também porque essa massa de dados é essencial para a tomada de decisões assertivas tanto na operação quanto na assistência.