Tecnologia

Impacto da Lei Geral de Proteção de Dados Pessoais (LGPD) na auditoria

Tempo de leitura: 17 minutos

Rodrigo Santos Buoro
Enfermeiro Auditor Sênior – Sepaco Autogestão

O mundo da saúde vive em constante transformação, exigindo adaptação, reciclagem e especialização de todos os profissionais que nele atuam. As novas tecnologias permitem atuar em situações nas quais até um tempo atrás seria inimaginável, como consulta por telemedicina, resultados de exames com acesso remoto, agendamento online, entre outros, mas como todo lado bom, necessita-se de um cuidado extra, levando em consideração que as situações elencadas demandam dados pessoais, o que pode trazer prejuízos ou constrangimento a quem eles pertencem. Prejuízos estes que não só acometem ao usuário, mas também ao que presta serviços, tendo em vista a necessidade de receber as informações corretas, para uma análise e intervenção individualizada de acordo com a necessidade. Nesse contexto, torna-se necessário verificar a importância da Lei Geral de Proteção de Dados Pessoais (LGPD) e a importância do processo de auditoria, seja ele nos tratamentos dos dados e conformidade da lei, ou na importância do fornecimento de dados para uma auditoria trabalhada em evidências.

A auditoria tem sua definição como avaliação sistemática, e existem registros de suas atividades documentados desde o ano 4500 a.C. A denominação auditor é de origem latina (auditore), significando apenas “que ou aquele que ouve; ouvinte”, tem sua origem desconhecida, sem data de início da terminologia. Por sua vez, o termo auditoria foi usado pelos ingleses para rotular a tecnologia contábil da revisão (auditing), com o significado de “fazer ou fazendo balanço”, mas que hoje tem sentido muito mais abrangente (1, 2).

Atualmente a auditoria deve ser vista com um setor de consultoria, educacional e técnico, auxiliando os gestores e colaborando com as administrações de dados e informações confidenciais, agindo de forma imparcial e justa, facilitando a tomada de decisão e melhorando os resultados das instituições (3).

A gestão na área da Saúde e a prestação de serviços com qualidade sempre serão pontos importantes para se pautarem trabalhos a qualquer época, já que se supõem mudanças técnicas e, para isso, mudanças organizacionais que também sugerem atualizações dos conhecimentos e das técnicas dos envolvidos no processo de trabalho (4).
A sociedade, no decorrer do tempo, tem recebido informações valiosas a respeito de qualidade de serviços, algo que décadas atrás não havia, e torna-se fundamental que as empresas saibam de seu compromisso para com o mercado consumidor (neste caso, os usuários/pacientes) e também para com seus clientes internos.

Auditoria
A gestão utiliza-se de novos modelos que possam lhe trazer uma melhor compreensão junto ao relacionamento entre hospitais públicos e privados, proporcionando melhorias nas práticas assistenciais e operacionais, tendo como base a Constituição Federal de 1988 que referencia garantia da saúde como um direito de cidadania. A avaliação sistemática não requer apenas informar a eficiência, eficácia ou efetividade das ações realizadas, apontando falhas e críticas, mas também apontar sugestões e soluções, assumindo, portanto, uma função educativa, utilizando-se de evidências que comprovem a necessidade de intervenção, seja na esfera administrativa ou na assistencial (5).

Para tanto, os serviços de saúde podem contar com o auxílio da educação continuada, pois esta permite ao profissional o acompanhamento das mudanças que ocorrem na profissão, visando mantê-lo atualizado dessas mudanças e aplicá-las no seu trabalho (6).

Dentro das perspectivas em auditoria no mundo profissional que evolui constantemente, é necessário o auditor acompanhar atualidades com aprimoramentos e ressaltando que sua função retrata uma dimensão burocrática acerca dos métodos de auditoria, podendo ser realizada como uma avaliação sistemática da assistência prestada e verificada através das anotações dos profissionais de saúde registradas em prontuários e/ou das próprias condições destes de cunho contábil e financeiro, contemplando as atuais exigências das instituições de saúde (5) e justificado por evidências (7).

Essa questão poderá possibilitar aos profissionais da saúde, e especialmente aos que atuam diretamente nessas áreas, uma opção e ideias para o alcance de resultados positivos, tanto para a equipe como para a instituição em que atuam. Instituições de saúde (operadoras, cooperativas, seguradoras, autogestão) precisam se manter competitivas para sobreviver ao mercado de trabalho, devido à grande oferta de prestação de serviços, implementando sistemas de qualidade com o objetivo de melhoria contínua e tendo nos auditores o papel de identificar processos, cobranças, serviços prestados e fluxo que não está condizendo com o programa de qualidade da instituição (6, 8).

A auditoria pode ser realizada em vários momentos, seja por análise retrospectiva, operacional ou concorrente (durante internação), interna ou externa, contínua ou periódica, total ou parcial.

Nesse contexto, para que o auditor realize a auditoria de maneira justa e honesta, necessita operar suas ações com base em princípios éticos e legais, conhecendo o contrato firmado entre a operadora e o hospital e suas peculiaridades. Deve estar atualizado sobre os termos médicos e temas que sofrem constantes mudanças devido a novas tecnologias e deve também conhecer os documentos que compõem o prontuário, sendo claro e transparente quando analisar a conta hospitalar. Quanto mais elaborados e completos forem os contratos entre os hospitais e operadoras de planos de saúde, menores serão os índices de desgaste e impasses no momento de auditoria (8).

Lei Geral de Proteção de Dados Pessoais (LGPD)
Devido ao grande número de informações que são disponibilizadas e trocadas entre as instituições, torna-se imprescindível uma atenção maior na divulgação desses dados, tanto por se tratar de dados de terceiros quanto de informações que possam trazer constrangimentos. Partindo desse princípio que, em agosto de 2018, foi criada uma lei que assegura o direito da privacidade a todos os indivíduos.

Com a legislação nº 13.709/2018 (Lei Geral de Proteção de Dados) direcionada a como tratar dados pessoais de forma física e/ou virtuais, cresce a necessidade de uma nova readequação de tratamento em toda uma operação de trabalho já concretizada, visando proteger os direitos de liberdade e privacidade do indivíduo (9).

Ao se inspirar em legislações europeias, trouxe um melhor respaldo em relação ao tratamento desses dados e como respeitá-los, agindo de forma correta na utilização e divulgação deles em qualquer tipo de organização.
Tal tema é um dos grandes desafios na atualidade e, com o avanço tecnológico, necessidade de informações, avaliações e justificativas técnicas, este desafio se torna cada vez maior.

Desafio este que, ao direcionar a área da saúde, se torna muito maior, já que existem informações socioculturais, biopsicossociais e seu estado de saúde atual, necessitando de ferramentas específicas de manuseio, equipe preparada e principalmente de alertas aos profissionais envolvidos sobre seu desempenho e entendimento em relação à importância de se adequar à nova lei, tanto em seu cotidiano profissional quanto às questões tecnológica e jurídica.

A crescente demanda tecnológica nos últimos tempos vem possibilitando atendimentos por telemedicina (aprovados pelo conselho em Resolução nº 1.643/202), exames de imagem com acesso remoto, prontuários eletrônicos e laudos disponíveis por login e senha, o que traz um avanço ao cuidado do indivíduo em relação ao conhecimento de informações, prescrição intervencionista, registro de ações, entre outras, mas também demonstra um risco em vazar informações; logo, as instituições necessitam de um amplo planejamento, mapeamento e gerenciamentos do risco envolvido.

Em seu artigo 49 da LGPD (10), é definido:

Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

E por isso, mesmo com toda regulamentação e norma, torna-se importantíssimo estar atento à forma como esses dados são tratados na instituição, tornando um dos principais problemas dentro das instituições, por não terem em sua estrutura a política de compliance, conforme Peck (11).

[…] dependendo do ramo do negócio, da empresa e da maturidade da governança dos dados pessoais, é fundamental criar um programa de compliance digital, com risk assessment e comunicação, due diligence de terceiros em um contexto multissetorial dentro do negócio e com visão holística para a legislação nacional e internacional.

Essa política auxilia diretamente na estrutura corporativa, visando aperfeiçoar os modelos de gestão e riscos e nos permite uma liberdade mais segura em relação ao tratamento dos dados, utilizando-se de programas que estejam de acordo com a lei de privacidade, conforme artigo 50 da LGPD (10).

Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Estar atento às particularidades, necessidades e à legislação vigente traz todo o diferencial na segurança de todos os dados analisados, inseridos e tratados.

Auditoria × LGPD
Ao falar de auditoria junto à LGPD, temos dois pontos de vista: auditoria no processo de sigilo de informações e o impacto da legislação dentro da auditoria.

Partindo do princípio do que já foi elucidado em relação a auditoria, trata-se de uma avaliação sistemática, ou seja, verificar o processo como um todo, tendo início, meio e fim, e ela pode ser empregada nos dois segmentos e, independente do processo no qual esteja inserida, é possível analisar a efetividade, eficácia e eficiência do processo de um modo geral.

Com o início da legislação, a análise sistemática vai permitir entender como esses dados estão sendo tratados e os riscos de vazamento de informações, podendo ter o auxílio da compliance nos casos que dispõem dessa estrutura, trabalhando em uma melhora progressiva no processo de sigilo e cumprimento da legislação.

A segurança no tratamento dos dados é fundamental em todas as etapas do processo de auditoria. Foto: Freepik

Um dos maiores impactos é a readequação da nova lei, por se tratar do processo de auditoria de contas, entre outros, dentro de um ambiente de saúde, pois envolve várias informações confidenciais e necessárias para validação de procedimentos, internações, encaminhamentos, monitoramento, entre as diversas necessidades de troca de informações para o funcionamento correto da instituição. A auditoria, por se trabalhar de forma sistemática e por meios de evidências, precisará dispor de colaboradores empenhados em manter as trocas de informações dentro da área competente e se respaldar em todas as situações que necessitam de divulgação.

Conclusão
Como qualquer tipo de mudança comportamental e institucional, acaba causando uma certa ansiedade. Isso faz com que se tenha uma melhor preparação e conhecimento dos fatos, permitindo assim uma ação/atitude mais certeira.

A auditoria, assim como qualquer outra ferramenta de qualidade que auxilia nos processos de gestão e também no operacional, precisa de treinamento e investimento, e, conforme descrito ao longo deste artigo, o processo de auditoria junto ao mecanismo de tratamento de informações sigilosas é mais tranquilo em relação ao impacto, o que vai na contramão do setor de auditoria de contas, regulação técnica, pois necessita de trocas de informações condizentes com o processo cobrado, e principalmente evidenciado, para que assim a tomada de decisão seja de acordo com as reais necessidades.

Vale ressaltar que nossa instituição está nesse processo de montagem e implantação, o que limita mais informações neste contexto.

Referências bibliográficas

  1. HOUAISS, A.; VILLAR, M. de S.; FRANCO, F. M. de M. Dicionário Houaiss da língua portuguesa. 1. ed. Rio de Janeiro: Objetiva, 2001.
  2. SANTOS, L. C, BARCELLOS, V. F. Auditoria em Saúde: Uma Ferramenta de Gestão – https://core.ac.uk/download/pdf/16018266.pdf (acessado em 31/03/2021).
  3. MENEZES, M. C. Auditoria, Excelente Ferramenta de Gestão para o Administrador Moderno.
  4. FRANÇA, A C L. Indicadores Empresariais de Qualidade de Vida no Trabalho: Esforço Empresarial e Satisfação dos Empregados no Ambiente de Manufaturas com Certificação ISO 9000, 1996.
  5. CONSTITUIÇÃO de 1988 – http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm (acessado em 31/03/2021).
  6. FERREIRA TS et al. Auditoria de Enfermagem: O Impacto das Anotações de Enfermagem no Contexto das Glosas Hospitalares. Aquichán. 2009.
  7. MATOS, I S. http://bibliotecaatualiza.com.br/arquivotcc/AE/AE05/MATOS-indira-silva.pdf (acessado em 31/03/2021).
  8. SETZ VG, DÍINNOCENZO M. Avaliação da Qualidade dos Registros de Enfermagem no Prontuário por Meio da Auditoria. Acta Paul Enferm. 2009.
  9. MINISTÉRIO DA DEFESA – https://www.gov.br/defesa/pt-br/acesso-a-informacao/lei-geral-de-protecao-de-dados-pessoais-lgpd (acessado em 31/03/2021).
  10. PRESIDÊNCIA DA REPÚBLICA – http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm (acessado em 31/03).
  11. PECK, Patrícia Pinheiro. Proteção de Dados Pessoais: Comentários à Lei nº 13.709/2018. 1ª ed. São Paulo: Saraiva., 2018.
  12. COELHO, A L. MORAIS, I A, ROSA, W V S – A Utilização de Tecnologias da Informação em Saúde para o Enfrentamento da Pandemia do COVID 19 no Brasil, 2020.
  13. SOARES, T V – O Tratamento de Dados Pessoais Sensíveis nas Empresas do Setor da Saúde, Seguindo a Lei Geral de Proteção de Dados (LGPD), 2020.
  14. VILARINS, G C M, SHIMIZU, H E, GUTIERREZ, M M U – A Regulação em Saúde: Aspectos Conceituais e Operacionais, 2020.
  15. RAMOS, P H – A Regulação de Proteção de Dados e seu Impacto para a Publicidade Online: Um Guia Para LGPD, 2012.
  16. GAMARRA, T P N – Auditoria na Saúde Suplementar: Uma Visão Integrativa, 2018.
  17. SANTOS, A S – A Importância da Atuação da Auditoria Interna na Implementação da Lei Geral de Proteção de Dados na Empresa Pública.

Sobre o autor

  • - Docente Universitário
    - Mestre em Ciências da Saúde - Iamspe - USP
    - Pós-graduado em Auditoria em Serviços de Saúde, Compliace e Auditoria
    - MBA em Serviços de Saúde
    - Especialista em Psiquiatria e Saúde Mental, Dependência Química e Qualidade de Vida e Docência para Nível Superior
    - Graduação em Enfermagem

    Ver todos os posts

Veja também!

Incorporação de tecnologias para punção venosa periférica no Hospital Sepaco
O que é ECMO?
Sepaco inicia novo protocolo de anticoagulação com citrato e reposição de cálcio

Tags: , , ,