Conheça as etapas que devem ser feitas para estar em conformidade com a LGPD e entenda por onde começar, os procedimentos a seguir e a documentação que deve ser criada para ter sucesso na auditoria!
Atualmente, a Lei Geral de Proteção de Dados Pessoais (LGPD) – nº 13.709, aprovada em agosto de 2018, tem sido bastante comentada, e se tornou uma preocupação evidente das instituições. A LGPD estabelece as diretrizes acerca do tratamento de dados pessoais cujo objetivo é garantir a privacidade e a proteção dos dados através de práticas seguras e transparentes.
É importante destacar também o valor da LGPD para a área da saúde, em que a proteção dos dados pessoais do paciente – a figura central de todas as instituições do setor – deve ser uma grande prioridade.
O Grupo IAG Saúde compartilhou um pouco da sua experiência e a trajetória de implantação de todo um programa contínuo de proteção e privacidade dos dados, e destacou os 10 passos importantes que fizeram com que a instituição se tornasse uma das primeiras organizações do Brasil a receber a declaração de conformidade com a LGPD.
O evento de apresentação contou com a presença do Diretor Executivo e Data Protection Officer (DPO) do Grupo IAG Saúde, Breno Duarte, e da Chief Compliance Officer (CCO)Rafaela Coleta. Os especialistas retrataram o case do processo de implementação e fortalecimento da segurança da informação e privacidade de dados pessoais no Grupo IAG Saúde como um todo, com enfoque na plataforma de valor em saúde DRG Brasil.
Além disso, Márcio Sanches e Walfrido Brito, das empresas parceiras Clinigroup e BI Gestão & TI, puderam compartilhar sua vasta experiência no tema e contar um pouco mais sobre os aspectos centrais da LGPD, como as empresas vêm se preparando, bem como a solução dessas empresas podem auxiliar nessa trajetória.
Confira a metodologia dos 10 passos da LGPD em empresa do setor saúde, desenvolvida pelos experts em Compliance do Grupo IAG Saúde!
1º Passo - Definir um DPO (Data Protection Officer) e estabelecer um Comitê de Segurança da Informação
O DPO (Data Protection Officer ou Encarregado de Proteção de Dados), além de possuir um conhecimento técnico e formação adequada, deve ter facilidade de interagir com todas as áreas envolvidas no tratamento de dados, bem como conhecer a organização e as informações que transitam em todos os processos, desde a entrada até o produto final.
Com encontros quinzenais, o Grupo IAG Saúde possui um Comitê de Segurança da Informação, encabeçado pelo DPO, para assegurar que as informações da empresa sejam tratadas de forma protegida, em conformidade com a LGPD e com base em boas práticas de TI.
2º Passo - Mapear todos os dados pessoais tratados na organização
Este passo é muito importante, pois somente envolvendo todas as áreas da empresa que torna-se possível identificar, com propriedade, todos os dados pessoais tratados na organização e quem são os agentes do tratamento.
Por meio de um documento chamado de Tratamento de Dados Pessoais criado internamente, foi realizado o inventário de dados, ou seja, um levantamento de todos os dados pessoais tratados, ordenando-os de acordo com as classificações estabelecidas pela própria LGPD. Foi realizado também o mapeamento de todo o ciclo de vida dos dados pessoais nos processos da empresa, identificando todas as fases do tratamento que vai desde a etapa da coleta até a eliminação do dado.
3º Passo - Realizar o levantamento dos riscos e implementação de mecanismos de segurança
Além do levantamento dos riscos envolvidos, foram implementadas cópias de segurança da informação, política de desenvolvimento seguro, criptografia, procedimentos seguros de acesso ao sistema, dentre outros mecanismos para garantir a segurança e a proteção do dado tratado.
4º Passo - Realizar testes de penetração (Pentest) em todas as soluções
Nesta etapa, para análise da segurança cibernética, o Grupo IAG Saúde contratou uma empresa especializada em testes de penetração para identificar possíveis vulnerabilidades de segurança nos aplicativos e nas aplicações web da empresa.
Esses testes tiveram como base a metodologia OWASP (Open Web Application Security Project).
5º Passo - Revisar os contratos com os colaboradores, clientes, parceiros e fornecedores que impliquem no tratamento de dados.
Para todos esses entes, foram feitos aditivos aos contratos, com cláusula específica de tratamento e proteção de dados pessoais conforme as exigências da LGPD.
6º Passo - Elaborar e disseminar a Política de Privacidade de Dados Pessoais e Segurança da Informação
Outro passo importante é estabelecer a política de privacidade de dados pessoais e segurança da informação. Este documento nada mais é do que a descrição de todas as diretrizes da empresa para garantir integridade, confidencialidade e privacidade das informações.
A política possui como referência a própria LGPD e as normas ISO de Técnicas de Segurança da Informação.
Conheça, nesta página especial, todas as políticas institucionais do Grupo IAG Saúde!
7º Passo - Treinamento e conscientização
O objetivo do treinamento é assegurar que todos os colaboradores sejam competentes para cumprir o seu papel, e que estejam comprometidos com a empresa e dispostos a seguir as regras definidas.
Foram adotadas técnicas de treinamento e comunicação flexíveis e dinâmicas para atingir mais facilmente todo público interno. Sendo assim, foram realizados: webinars após o expediente, pílulas de comunicação e discussões acerca da aplicabilidade da LGPD nos processos internos através de cenários práticos.
8º Passo - Elaborar um Relatório de Impacto
O relatório de impacto é um documento que descreve todo e qualquer processo de tratamento de dados que pode gerar algum risco aos direitos dos titulares, bem como os controles existentes para mitigar esses riscos.
9º Passo - Estabelecer um processo de tratamento e comunicação de incidentes de segurança
Adotar medidas de segurança e estabelecer controles, barreiras e gerenciar o risco para que não ocorra o tratamento indevido do dado são as ações que devem ser feitas neste passo.
Caso o ocorram acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito do dado, deve haver um planejamento de comunicação e ações corretivas – seguindo as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD).
10º Passo - Realizar auditorias (Internas e Externas)
É fundamental realizar auditorias para o acompanhamento, diagnóstico e verificação do atendimento à LGPD. Na busca pela conformidade e melhoria contínua dos processos, o Grupo IAG Saúde passou por vários processos de auditoria:
Como foi destacado pelo DPO Breno Duarte, “O processo de implantação da LGPD é possível para todas as empresas no país, desde que haja o entendimento dos conceitos e a cultura da privacidade de dados em todos os processos da empresa. É um trabalho árduo e de ações contínuas, mas que é possível de ser executado, assim como foi no Grupo IAG Saúde”.
A missão do Grupo é compartilhar conhecimento e empoderar as organizações de saúde para a entrega de valor. Neste e-book gratuito, você pode conhecer a nossa experiência através de 3 estudos especiais, ver como nos adequamos à LGPD e de que modo estamos construindo uma governança de dados ética e eficiente: “Desafios da implantação da LGPD em empresa brasileira do setor saúde”.
Veja os 10 passos que seguimos, abrangendo a estruturação do comitê de Compliance e LGPD, as etapas de implantação da norma, os obstáculos que encontramos, as premissas da auditoria externa e como conseguimos nos tornar uma das primeiras organizações do Brasil a receber a declaração de conformidade com a LGPD - confira o vídeo a seguir!