Lei de proteção de dados: Já está dando o que falar.

Entrou em vigor em 25 de Maio na Europa e em 13 de Agosto de 2018 no Brasil (ainda com Vacatio Legis até Fevereiro de 2020) a chamada lei de proteção de dados.

 A lei tanto lá quanto cá é bastante clara nas premissas de consentimento obrigatório para coleta, uso e processamento dos dados.

 Deste lado do Atlântico, tanto eu quanto outros profissionais temos ressaltado a importância das empresas e pessoas se adaptarem a nova legislação – inclusive a Européia, pois ela atinge qualquer cidadão Europeu (quantos tem dupla cidadania no Brasil?) – e da necessidade de criar órgãos internos para monitorar as atividades que prescindem de autorização de uso e outras em em que a coleta seja igualmente autorizada.

 Parece algo simples, mas quando começamos a pensar na nossa vida ao redor, percebemos que tudo que lidamos será afetado: Portaria de prédios, processos judiciais, dados para cadastros, enfim, tudo que se refira a dados…

 E já começamos a ver os resultados desta realidade do outro lado do Atlântico: Um hospital foi multado em 400 mil Euros por não ter autorização de uso para que médicos e técnicos acessassem o banco de dados do hospital.

 Vejamos um trecho da reportagem:

 A Comissão Nacional de Proteção de Dados (CNPD) aplicou coimas num valor de 400 mil euros ao Centro Hospitalar Barreiro-Montijo, devido às políticas de acesso às bases de dados, que permitiam que técnicos e médicos consultassem processos clínicos dos doentes sem a devida autorização. A coima foi anunciada na sequência de uma inspeção levada a cabo, depois de um alerta lançado pela Ordem dos Médicos em junho. O Hospital da margem sul ainda poderá recorrer à justiça, caso pretenda impugnar a deliberação da CNPD. A coima já foi aplicada à luz do Regulamento Geral de Proteção de Dados (RGPD) que entrou em vigor a 25 de maio. A administração do Hospital pôs em causa a competência da CNPD para a aplicação da coima.

 A deliberação assinada no dia 11 de outubro refere que pelo menos nove profissionais com funções na área dos serviços sociais dispunham de acessos que deveriam ser da exclusividade dos médicos. A CNPD também justificou a aplicação das coimas com o facto de estarem registados 985 médicos com contas ativas que davam acesso aos ficheiros clínicos, apesar de os quadros do Hospital do Barreiro apenas contarem com 296 médicos (a disparidade entre número de contas e número de médicos estará relacionada com as passagens temporárias determinadas pelo sistema de colocação dos profissionais de saúde).

 A deliberação revela ainda que, numa conta de teste, os peritos da CNPD conseguiram aceder a dados clínicos de um doente, que se encontravam nos arquivos digitais do Hospital de Santa Cruz, em Carnaxide. A estes dados, juntaram-se mais algumas lacunas: o hospital não dispunha de regras internas para a criação de contas (que eram criadas depois do envio de e-mails pelos diferentes diretores dos serviços) ou para os diferentes níveis de acesso à informação clínica. Por seu turno, o método de autenticação não tinha em conta os dados identificativos que vinculam os diferentes profissionais ao hospital.

 Tendo em conta o cenário que foi apurado numa primeira inspeção que remonta a julho, a deliberação da CNPD identificou três infrações: violação do princípio da integridade e confidencialidade, violação do princípio da minimização de dados que deveria impedir o acesso indiscriminado a dados clínicos dos doentes, e incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos dados. As duas primeiras infrações foram punidas com coima 150 mil euros cada, enquanto a terceira representou um acréscimo de 100 mil euros.

 A CNPD realça a disponibilidade do Hospital do Barreiro para corrigir as diferentes falhas na gestão de acessos e repositórios clínicos, mas não deixa de considerar que a responsabilidade da unidade de saúde como «elevada», «quanto à violação das restrições dos níveis de acesso dos profissionais aos dados pessoais dos clientes, uma vez que conscientemente permitiu associar o grupo funcional de “médico” a quem apenas deveria estar credenciado com o perfil de “técnico”».

 A CNPD também responsabiliza a administração do Hospital do Barreiro por não ter tomado as medidas necessárias para garantir que as contas de médicos que já não estavam a trabalhar no Barreiro eram eliminadas.

 (…)

Fonte da reportagem completa: http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos

 Já imaginaram esta cena num escritório de advocacia? Um estagiário acessando dados de clientes sem autorização dos mesmos? Ou um advogado de uma área não afeta ao cliente (portanto sem estar na procuração ou autorização) acessando dados do cliente?

 Pode parecer que um prontuário médico tem mais valor, mas há inúmeros dados que são muito sensíveis dentro dos escritórios de advocacia. Dados estes que muitas vezes estão em softwares jurídicos cuja proteção é relegada a segundo plano, onde muitas vezes colaboradores que já saíram continuam tendo acesso, onde as senhas são simples demais…

 Não se trata apenas de proteger os dados, mas de quem pode acessar, copiar, manusear.

 E a tecnologia é um diferencial importante neste aspecto e também pode ser um fardo, depende de como será usada e implementada.

 Saliento ainda que não basta comprar tecnologia, posto que o que irá fazê-la funcionar e manter-se íntegra é a gestão, treinamento constante e ferramentas adequadas.

 Use a gestão para criar as melhores alternativas e estude a proteção de dados: Estamos diante de uma lei que para a advocacia lida com gestão, tecnologia e marketing jurídico, uma vez que o advogado pode ser uma solução as empresas neste momento de transformação.

____________________________________________________
Sou Gustavo Rocha CEO da Consultoria GustavoRocha.com  | Gestão, Tecnologia e Marketing Estratégicos
Robôs  | Inteligência Artificial  | Jurimetria 
(51) 98163.3333  | gustavo@gustavorocha.com  | www.gustavorocha.com