Damião Oliveira*
Um zelador terceirizado de uma universidade em Nova York, nos EUA (Rensselaer Polytechnic Institute), desliga o freezer após alarmes “irritantes” e os EUA perdem 20 anos de pesquisas.
O freezer do laboratório continha mais de 20 anos de pesquisa, incluindo culturas e amostras de células, nas quais uma “pequena variação de temperatura de três graus causaria danos catastróficos”, de acordo com a ação movida na Suprema Corte do condado de Rensselaer.
Algumas empresas ainda me perguntam, se por acaso algum fornecedor ou parceiro comercial pode comprometer todo o processo de adequação à LGPD que está sendo realizado na companhia? Sempre respondo que incidentes como este são um exemplo claro de falta de treinamento e conformidade. Entender os processos internos do cliente é fundamental para a continuidade do negócio e a gestão de riscos. Além do impacto direto na pesquisa, o incidente também levanta questões sobre a segurança e a gestão adequada de instalações científicas.
É crucial que medidas rigorosas sejam implementadas para garantir que erros semelhantes não ocorram no futuro. O treinamento adequado de funcionários e terceirizados, juntamente com sistemas de monitoramento redundantes, pode ajudar a prevenir perdas trágicas e irreparáveis como essa.
Riscos de terceirizados
Assim como no mundo científico, uma empresa ao conduzir um processo de adequação à LGPD pode se surpreender ao deixar de realizar diligências em seus fornecedores e parceiros. Entender em que momento, em que nível de maturidade em relação à proteção e privacidade de dados a empresa está é crucial.
Além do risco reputacional, que é enorme, o risco financeiro pode fechar um negócio para sempre. Assim como o prestador de serviços terá dificuldades em pagar esta ação de 1 milhão de dólares, já pensou você se responsabilizando por perdas decorrentes de segurança que você não investiu ou possíveis riscos que você não investigou?
Aí vem uma pergunta: se ao invés de ter desligado o freezer, este mesmo zelador tivesse vazado um dado pessoal sensível de um laboratório que faz Exames de Análise Clínicas (EAC)? Fica clara a importância de implementar medidas eficazes de proteção de dados em todas as organizações de saúde, incluir as revisões regulares dos sistemas de segurança, adotar a criptografia avançada, implementar políticas de privacidade claras e cumprir o as rigorosas regulamentações de proteção de dados existentes, que neste caso seria a Lei Geral de Proteção de Dados (Lei 13.709/18).
Legislação pertinente
A Agência Nacional de Vigilância Sanitária publicou em, 10/05/23, a RDC 786/23, que substitui a RDC 302/2005 referente ao funcionamento de laboratórios de análises clínicas, anatomia patológica e demais serviços que executam atividades relacionadas a exames de análises clínicas (EACs) no Brasil.
Isso se aplica a todas as pessoas jurídicas, de direito privado ou público, civis ou militares, que executam atividades relacionadas aos Exames de Análises Clínicas (EAC).
Ressalto o disposto no Art. 32 deste RDC, que entra em vigor no dia 01/08/2023, tendo um prazo legal de adequação até o dia 09/11/2023.
“Art. 32. O Serviço que executa EAC é responsável por estabelecer uma política de acesso a dados e informações, computadorizados ou não, necessária para prover o serviço prestado e de forma a assegurar a proteção às informações do paciente de acordo com a Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados – LGPD, ou outro instrumento legal que venha a alterá-la ou substituí-la.”
Os laboratórios estariam preparados para esta mudança regulatória que levou em consideração a necessidade de introduzir conceitos e procedimentos decorrentes de novas descobertas e avanços tecnológicos?
Esses fatores são determinantes para a modernização das ações laboratoriais. A nova norma preserva os cuidados sanitários imprescindíveis à qualidade e à segurança dos exames de análises clínicas, de forma alinhada, ainda, aos princípios constitucionais que amparam a atividade econômica e a inovação no país.
Assim como a perda de 20 anos de pesquisas científicas devido ao desligamento acidental do freezer por um zelador terceirizado é um lembrete doloroso da importância de uma abordagem cuidadosa e responsável em ambientes de pesquisa, esforços contínuos devem ser feitos para garantir a conscientização, o treinamento adequado e a implementação de protocolos de segurança eficazes, a fim de proteger o trabalho árduo e valioso dos cientistas e avançar no conhecimento científico de forma segura e sustentável.
E você também acha que investir em segurança da informação, governança, mitigação de riscos e plano de continuidade de negócios é “custo” ou é uma estratégia inteligente para proteger os ativos das empresas, salvaguardar sua reputação e assegurar a continuidade operacional?
Leia outros artigos do autor:
Por que negligenciar alertas de segurança pode ser fatal?
Como o aliciamento de funcionários do INSS gerou prejuízo bilionário
Antes de criar seu avatar, leia este artigo
ANPD divulga novo formulário para incidentes de segurança – CIS
PARTE I – Como proteger dados na hotelaria
PARTE II – Boas práticas para segurança hoteleira
Damiao Oliveira: Atua há mais de 26 anos na Área de Tecnologia, mais de 16 anos como Instrutor do Sistema “S”, mais de 03 anos com Direito Digital, atualmente é Encarregado de Dados em mais de 30 empresas de tamanhos e segmentos diferentes, Jornalista e Responsável pelo Portal de Notícias da ANPPD (DRT 6688/SC), possui Certificação Cisco CyberSecurity | CyberOps | IoT Security, Certificação em Análise de Segurança e Privacidade – IBSEC, Membro Comitê de Privacidade e Proteção de Dados – OAB/SP, Vice Representante Estadual em SC da ANPPD pelo Comitê de Segurança, possui Formação em Computação Forense – UNIVALI, Graduado em Análise de Sistemas – UVA, Graduado em IA & Big Data – UNIASSELVI e atualmente cursando Análise Forense e Perícia Criminal – UNIASSELVI.
