DPO na área da saúde: qual a importância do encarregado no setor?
O papel do DPO é essencial para a adequação das empresas da área de saúde à LGPD. Ao contrário do que muitos acreditam, não se trata de uma mera nomeação formal e sem efeito prático, afinal ele possui não apenas a obrigação de responder às requisições da ANPD e dos titulares de dados, mas também pode ser uma figura estratégica no posicionamento de uma instituição.
A seguir, conheça a importância desse profissional na sua organização e como ele pode ajudá-los!
Quem é o DPO e qual o seu papel?
A Lei Geral de Proteção de Dados prevê um papel especial para o Encarregado de dados, também chamado no mercado de DPO em referência à regulamentação europeia sobre o tema.
O DPO possui duas funções principais e muito relevantes para a área de saúde: primeiramente, ele é o porta-voz da empresa perante a ANPD, os titulares de dados pessoais, parceiros e fornecedores com quem há troca de dados, e, em segundo lugar, é o responsável por apoiar a equipe interna e oferecer treinamentos sobre o tema. Ambas as funções são extremamente importantes na área de saúde.
O contato com o titular é essencial, já que é através dele que passa a ser possível criar uma relação de confiança. Independentemente da função desempenhada pela empresa, a área de saúde lida com dados sensíveis e, muitas vezes, com um grande volume de informações. Ao manter uma boa relação com o titular dos dados, é possível deixá-lo mais tranquilo sobre a forma como suas informações são utilizadas, evitando reclamações formais, desconfiança e danos reputacionais. Além disso, é uma obrigação legal oferecer informações acerca do tratamento de seus dados.
A ANPD também é um ator que merece atenção, especialmente quando falamos do tratamento em grande volume de dados sensíveis. Apesar da constante lembrança do seu papel de fiscalizadora e aplicadora das penalidades legalmente previstas, ela possui outra função muito útil e necessária: receber questionamentos e emitir orientações para melhor compreensão da LGPD.
A proteção de dados ainda é, no Brasil, tema bastante novo e cercado de dúvidas. Assim, ter a possibilidade de recorrer à própria autoridade fiscalizadora para sanar questões pouco claras é uma ferramenta extremamente útil, mas que deve ser utilizada com cuidado e parcimônia. O DPO na área de saúde é a melhor pessoa para não apenas responder os questionamentos da Autoridade, mas também para saber como e quando recorrer a ela para explicar pontos ainda em aberto.
Porque as empresas da área de saúde precisam de um DPO?
Para várias empresas, ter um DPO é uma obrigação legal. Mas, além disso, na área de saúde é ainda mais importante ter esse profissional.
Por lidarem com dados sensíveis, o risco das atividades dessas empresas já pode ser considerado, quase sempre, maior que a média. O volume de dados é outro fator relevante para ressaltar a importância do DPO na área de saúde, já que os cadastros de colaboradores, prestadores de serviço e pacientes, assim como prontuários e resultados de exames, costumam criar uma base de dados robusta e variada, o que também cria dificuldades para sua gestão.
Como os tipos, fontes, finalidades e titulares dos dados são muito diferentes entre si, é preciso ser atenção para definir quais as medidas e salvaguardas aplicáveis a cada informação.
Ainda, importante salientar o fato de tratar-se de um mercado super regulado. Isso significa que existem muitas normas aplicáveis ao uso dessas informações, entre as quais regulamentações da ANS, da ANPD, dos conselhos profissionais, e diversas leis específicas, e é papel do DPO na área de saúde, juntamente com a equipe interna, compreender o sentido de todas elas para ao uso de dados, e retirar dali a regra a ser utilizada.
O DPO na área de saúde é essencial também para análise dos riscos envolvidos com o tratamento de dados pessoais. Todo uso de informações protegidas pela LGPD implica necessariamente em algum nível de risco, e as empresas devem aprender a avaliar cada situação individualmente. O DPO deve ser sempre alguém que, mesmo que não seja um funcionário interno, tenha grande conhecimento tanto da legislação setorial quanto da de proteção de dados, e, da junção desse conhecimento, poderá avaliar adequadamente o caso concreto, com elaboração de Relatórios de Impacto quando necessário.
O papel do DPO em incidentes de segurança
Outra situação que demanda a presença e atuação de um DPO é no caso de ocorrência de um incidente envolvendo dados pessoais. Por maiores que sejam os cuidados, treinamentos e ferramentas adotados por uma empresa, não é possível garantir que um incidente envolvendo dados pessoais não virá a ocorrer. Qualquer instituição envolvida em um incidente tem motivos para se preocupar e agir rápido na mitigação de riscos, mas a situação pode ser ainda mais grave quando falamos de empresa da área de saúde, em razão do volume e sensibilidade dos dados e das regras específicas do setor.
Por isso, é preciso que um plano de contingência seja colocado em ação o mais rápido possível, e que ele aborde todos os principais aspectos do incidente: comunicação com titulares e ANPD, apuração interna e com fornecedores, comunicação com clientes e parceiros, levantamento do ocorrido e danos causados.
O DPO é quem deve centralizar a gestão de incidentes, atuando em conjunto com outras áreas da empresa, como a comunicação, RH, diretoria, TI, jurídico e outras, a depender do ocorrido. A velocidade e eficiência na reação é essencial para evitar que os danos sejam ainda maiores e para adoção de medidas de mitigação adequadas.
A importância do DPO na área da saúde
Por fim, outro fator que ressalta a importância do DPO para a área de saúde é seu papel junto à equipe operacional. É ele quem deve treinar a equipe de acordo com temas e situação que façam sentido para o negócio, e deve sanar dúvidas e ajudar na definição de ações cotidianas.
Empresas da área de saúde possuem um grande volume de dados envolvido em suas operações, e é preciso que todos os colaboradores tenham noções básicas no que diz respeito a como manipular essas informações. Caso contrário, independentemente da qualidade da documentação disponível (como termos, políticas e avisos de proteção de dados) erros acontecerão com uma frequência maior que o necessário, expondo a empresa à aplicação de sanções.
Ter um DPO é de extrema importância para uma boa gestão de um programa de proteção de dados. Para as empresas do setor de saúde, como ficou demonstrado, é ainda mais importante, já que estão envolvidas com dados que representam risco muito maior. Por isso, não deixe de buscar um profissional que atenda às demandas da sua empresa! Estamos à disposição para ajudá-lo através do serviço de DPO as a service, com profissionais especializados e certificados pela IAPP.
Quer entender mais sobre a nossa solução de DPO terceirizado? Entre em contato com nosso time e agende uma reunião com um dos nossos especialistas!