A implantação da Lei Geral de Proteção de Dados impôs diversas obrigações à todas as empresas e Organizações Sociais no recolhimento, tratamento, armazenamento e eventual compartilhamento de dados de pessoas físicas, que envolvem investimentos muito altos em aquisição de tecnologias de criptografia, manipulação e armazenamento seguro de dados de clientes da organização, pacientes das unidades hospitalares, fornecedores e funcionários.
No primeiro momento muitas definições sobre a fiscalização e controle de algumas especificidades no tratamento de dados de saúde foram sendo desenhadas pelo Compliance do FAS, após a criação da Autoridade Nacional de Proteção de Dados (ANPD), e o TI e o Compliance mapearam todas as nossas fontes de entrada de dados e as metodologias de manipulação e segurança de armazenamento nas unidades de saúde; Afinal, os preceitos gerais sobre proteção de dados de pessoas físicas já estão valendo, com multas previstas de até 50 milhões.
Diante deste quadro, a diretoria do FAS decidiu que algumas medidas de ajuste seriam implantadas, a saber:
1 – Exclusão de todos dados de candidatos a processos seletivos encerrados, currículos, bancos de talentos etc.
Obs.: Esse processo de exclusão se deu em acordo com a LGPD, dando ciência a cada usuário de que seus dados foram excluídos, nos isentando de qualquer responsabilidade futura em eventual divulgação ou compartilhamento de dados.
2 – Proibição expressa de uso de e-mails pessoais, sob qualquer pretexto, para envio e recebimento de mensagens e arquivos corporativos.
3 – Proibição expressa de encaminhamento de mensagens corporativas para e-mails pessoais não corporativos, como gmail, hotmail, Yahoo, etc.
4 – Implantação de quarentena de contas e mensagens de projetos descontinuados em ambiente seguro e criptografado.
5 – Criação da CLOUDFAS, plataforma de nuvem corporativa própria e exclusiva do FAS, e migração de todos os arquivos armazenados em nuvens de armazenamento e compartilhamento fora de nossos servidores, como DRIVE, ONEDRIVE, etc.
6 – Interrupção de qualquer processo de recebimento de documentos de pessoas físicas sem uma justificativa imperativa aos nossos processos de trabalho, requerendo autorização por aceite eletrônico ou por escrito, informando ao dono dos dados sobre as finalidades, e sobre nossa política de privacidade, determinando prazo de uso e destino dos dados.
7 – Criptografia de todos os formulários de entrada de dados sensíveis, utilizados pelo FAS.
8 – Adequação e ativação do protocolo HIPAA (Health insurance portability and accountability act) nos formulários dirigidos ao público das unidades.
9 – Implantação de controle de acesso aos dados pessoais gerais, mediante identificação dos operadores de dados com privilégio de acesso, com criptografia, rastreamento de IP e Geotagueamento, impedindo que os dados sejam acessados de terminais ou locais geográficos diferentes dos estabelecidos, com controle de domínio por sufixo (apenasnome@fas.org.br) e informe automático de acesso ao Compliance e ao TI.
10 – Divulgação da Política de privacidade no site e ferramenta de aceite de uso de cookies, com opção de customização dos tipos de cookies a serem autorizados pelo usuário.
11 – Apesar do FAS não utilizar ferramentas de mail-marketing, oferecemos em nossas mensagens, a partir de 31/3/2021, o recurso para o destinatário não receber mais os nossos e-mails (Opt-out).
12 – Criação da Comissão de Proteção de Dados e um setor de segurança de dados.
13 – Implantação do Regulamento de Proteção de Dados, que deve ser lido e assinado por todos do FAS.
14 – Treinamentos de proteção de dados na plataforma de treinamentos do FAS, para todos os funcionários.
Estas aplicações imediatas se referem basicamente aos dados administrativos do FAS, mas novas medidas irão se impor, conforme as normas de fiscalização e aplicação da LGPD forem se definindo pela ANPD; principalmente no que tange às questões de dados de pacientes nas unidades de saúde.
Entretanto, estas adequações envolverão certamente investimentos altos e não previstos nos contratos, e se faz mister a participação das prefeituras, do departamento jurídico e do TI em sua implantação.