Nas últimas semanas, diversas notícias relacionadas a instituições de saúde acabaram ocupando posições de destaque nos veículos de comunicação. Desde questões sobre condutas profissionais e até mesmo propostas de projetos de lei relacionados aos serviços e atendimentos de saúde foram objeto de discussões.

Esse movimento, principalmente quando relacionado a “eventos” negativos, gera o chamado dano reputacional, e o impacto nas instituições por vezes é realmente muito intenso. Ao pensarmos na aplicação da Lei Geral de Proteção de Dados (LGPD), é impossível não considerar nessa equação justamente esse dano como um dos elementos cruciais na avaliação quanto a necessidade de realizar a adequação à LGPD nos serviços de saúde.

A bem da verdade é que com a lei em vigor, não deveria haver qualquer questionamento sobre a urgente necessidade de adequação por parte das instituições. Por outro lado, sabemos que as necessidades imediatas das empresas, na maioria das vezes, impossibilitam que projetos que não estão relacionadas a execução do objeto do negócio sejam realizados.

São os dilemas existentes diante do gargalo dos custos, e em outros momentos, não é o custo em si que inviabiliza, mas a não priorização desse trabalho. Só que é importante mencionar que um dos itens que tem cada vez mais pesado na escolha do consumidor é justamente a confiança naquele serviço e a segurança da instituição.

Por isso, quando pensamos na possibilidade de uma exposição da marca da empresa relacionada a um possível incidente com dados pessoais de pacientes, seja um acesso indevido, compartilhamento com terceiros ou qualquer outra conduta que exponha as informações dos pacientes, esse tipo de “fato” pode trazer um dano reputacional tão intenso quanto os demais tipos de incidentes que ocorrem nas instituições.

Por vezes existe a compreensão de que a proteção de dados é algo “menor” ou “supérfluo”, mas é justamente o que faz com que as instituições não destinem a devida atenção ao tema e colaborem com a própria exposição quando houver algum tipo de incidente com dados pessoais sensíveis.

Se algo dessa natureza ocorre, quem deverá assumir o “problema”? A T.I.? O RH? O Marketing? A Diretoria? Por onde começar? Quais documentos produzir? Como comunicar isso aos consumidores sem ampliar o dano e sem expor ainda mais a marca? E a pergunta mais importante: como esperar que tudo isso possa ser definido no pior momento para tomada de decisões, que é justamente quando o problema já ocorreu?

Dessa forma, o cenário em que há um trabalho de adequação prévio será sempre o mais confortável para as instituições, ainda que isso exija um investimento de recursos, já que é possível mensurar o quanto custará a adequação. Já no caso do dano é praticamente impossível mensurar quanto custará à marca a sua exposição de maneira negativa.

O paciente quando precisa buscar uma instituição de saúde, parte do pressuposto que além do cuidado relacionado a sua integridade física, haverá o cuidado com a sua integridade psíquica, que na atualidade está iminentemente liga à privacidade de cada indivíduo.

Pensar na proteção dos dados nas empresas do setor da saúde não é apenas cumprir com a LGPD, mas também garantir a proteção do paciente e a preservação da reputação da marca. Por isso a saúde precisa se preocupar com a LGPD sim, já que proteger os dados dos pacientes é proteger o paciente também!

Nycolle Araujo Soares

Advogada. Sócia e Gestora Jurídica do Lara Martins Advogados. MBA em Direito Médico e Proteção Jurídica Aplicada a Saúde. Pós-Graduada em Direito Civil e Processo Civil. Analista de Finanças pela FGV. Especialista em Ética e Compliance na Saúde pelo Einstein. Presidente do Instituto Goiano de Direito Digital – IGDD/GO

Quando o assunto é sobre a Lei Geral de Proteção de Dados (LGPD), é comum a conversa girar em torno da importância de se adequar. Só que ela costuma se iniciar nos dados pessoais, passar pelas operações de tratamento, depois que controlador isso e operador aquilo para, por fim, terminar na tão falada multa de R$ 50 milhões. Tudo isso para a pergunta mais importante acabar não sendo respondida: por onde devo começar?

Antes de mais nada, é importante compreender que a LGPD é produto de um movimento global que fez proliferar diversas legislações sobre proteção de dados mundo afora, com o intuito não só de fortalecer os titulares de dados, mas também para garantir uma maior previsibilidade de atuação durante a digitalização acelerada da economia, que trouxe novas estruturas de negócios e de trabalho.

Desse modo, por a LGPD tratar de temas recentes – mas que já se tornaram parte do nosso dia a dia – como a proteção de dados e a privacidade, ela exige das organizações, acima de tudo, uma adaptação cultural, como parte de um novo modelo de pensar e agir.

No caso do Brasil, entretanto, essa mudança tende ser mais disruptiva, uma vez que o país não contava, até então, com uma cultura de privacidade nas organizações. Diferentemente, por exemplo, do cenário europeu que está há décadas à frente quando o assunto é a regulamentação da proteção de dados.

Portanto, por onde devemos começar?

Apesar de não existir uma fórmula única para a adequação à LGPD, e se tornar necessário para que cada organização encontre seu caminho, considerando particularidades como porte, ramo e modelo de negócio, há unanimidade de que o primeiro passo deve ser sempre o da conscientização a respeito da cultura de privacidade.

A adequação à LGPD não deve ser movida pelo medo de suas sanções e multas milionárias, mas sim pela preocupação em disseminar a cultura de privacidade para garantir um maior acesso das pessoas às informações, na forma de conscientização sobre a temática, com a internalização sobre a razão da existência da lei e os benefícios advindos da sua compreensão e adequação.

Com a mudança de cultura, o bom uso dos dados pessoais torna-se questão de preservação e valorização da imagem da própria organização. Ela é capaz de revigorar a confiança não só externa, na figura dos consumidores e parceiros de negócio, mas também internamente, como no caso dos atuais e futuros colaboradores. Ou seja, a mudança de cultura é capaz de refletir até mesmo em vantagem competitiva no mercado.

Não bastante, conforme poderá ser percebido com o avanço em um projeto de adequação, a mudança de cultura também possibilitará um aprofundamento a respeito dos dados pessoais manipulados, o que incrementa muito o grau de controle e de gestão sobre os processos envolvidos, que permite não só corrigi-los como também otimizá-los. Essas mudanças podem ser promovidas com a utilização de treinamentos que vão capacitar as pessoas envolvidas nas atividades para a construção de novas políticas e a revisão das que eventualmente já existam.

Dessa forma, independentemente do porte, ramo de atuação e modelo de negócio da organização, o primeiro passo em qualquer planejamento que envolva a adequação à LGPD sempre deve envolver a mudança da cultura corporativa, por meio de uma conscientização efetiva, capaz de moldar comportamentos para a redução de riscos e expansão de oportunidades de negócio.

Fernando Abdelaziz

Advogado. Especialista em Direito Digital e Proteção de Dados.