Mesmo com o possível adiamento da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) para 1º de janeiro de 2021, a empresa especializada em prescrição médica digital, Memed, segue trabalhando para estar em total conformidade com as exigências da lei. Para certificar-se de que todas as questões que envolvem a privacidade de dados estão sendo seguidas rigorosamente, a healthtech contratou a consultoria francesa Beijaflore. O projeto foi iniciado em março e deverá ser concluído ao longo dos próximos três meses. A consultoria Beijaflore atua no Brasil desde 2016 e possui certificações ISO 27001 e ISO 9001.
O projeto será dividido em três fases. Nesta primeira, já em curso, está sendo feito um diagnóstico para mapear processos, identificar o nível de governança, avaliar o grau de maturidade da plataforma Memed em relação às políticas internas da empresa em matéria de privacidade e proteção de dados, bem como a maturação das cláusulas de proteção de dados em contratos e acordos firmados entre a Memed e seus fornecedores e parceiros; além de inventariar os dados e a forma como cada um deles é tratado. Também estão sendo analisadas as questões técnicas, como infraestrutura tecnológica e de segurança da informação.
Em uma segunda etapa, com base nas recomendações, será traçado um plano de adequação e, embora todo esse trabalho seja para evitar problemas de vazamento, também já serão definidas ações de contingência de incidentes, caso eles ocorram. Já na uma última fase, todas as medidas serão auditadas pela Beijaflore, inclusive por meio de testes de invasões.
“O objetivo desse trabalho é saber onde está cada dado e como ele é acessado e armazenado. E quando falamos de dados não estamos nos referindo somente aos dos usuários da Memed. Isso inclui informações de médicos, pacientes, fornecedores, parceiros, funcionários, colaboradores, ou seja, tudo o que trafega no âmbito da plataforma da Memed”, explica Gabriel Couto, CTO da Memed.
Segundo o executivo, bem antes da LGPD começar a ser discutida no Brasil, a privacidade de dados já era uma preocupação da empresa. “Em 2017, já falávamos na Memed sobre a importância da Anonimização e Pseudonimização, um dos temas fortemente abordados em eventos importantes do setor naquele ano, como o eSaude & PEP. Em 2018 participamos de um Workshop sobre a GDPR, que é a lei de proteção a dados da União Europeia e, em março de 2019, já tínhamos um memorando com uma série de diretrizes, elaborado pelo nosso time jurídico. Várias entidades de saúde, como Anvisa, Conselho Federal de Medicina (CFM) e Conselho Federal de Farmácia (CFF) também foram consultadas para termos uma visão clara sobre o que a Memed teria que fazer. Essa iniciativa com a Beijaflore, portanto, deve chancelar a nossa trajetória de proteção e privacidade de dados”, explica.
Algumas medidas já fazem parte dos processos da empresa, é o caso da assinatura de um termo de confidencialidade por todos os colaboradores da Memed. O acesso ao banco de dados é restrito ao CTO e Vice-presidente de Engenharia e, além de requerer duas camadas de autenticação, a conexão é criptografada. No caso das informações relacionadas às prescrições, como medicamento e nome do paciente, o acesso é ainda mais controlado e todas as ações dos colaboradores ficam salvas para posterior auditoria. Para os dados que precisam ser mantidos, um mapa traz informações sobre o motivo para que cada um deles seja preservado e também a lei que determina essa ação. Mesmo os relatórios que são acessados por toda empresa têm regras aplicadas. Os dados são estatísticos, nunca possuem identificadores pessoais (nome, documentos, endereço, entre outros) e para garantir que as leis do país sejam seguidas, todos os dados da Memed são hospedados no Brasil.
Já do ponto de vista técnico, para evitar o risco de vazamento nos ambientes de desenvolvimento e de teste, não são utilizados dados reais. O time de desenvolvedores conta com apoio de um software que gera dados falsos; e nenhum script de terceiros, como por exemplo, do Google Analytics é empregado.
“Essas questões todas chegam até a dificultar o desenvolvimento, mas é algo que não abrimos mão. Tomamos sempre uma série de cuidados e isso, inclui a integração com terceiros. No caso de nossa plataforma ser incorporada em outras soluções, como de prontuário eletrônico, o parceiro só tem acesso às prescrições feitas através do seu software e da plataforma como um todo”, enfatiza Couto. É importante ressaltar ainda que, no caso de parceiros, merece ser ressaltado que eles assumem, por meio de contrato, uma série de obrigações relacionadas à proteção das informações que estão sob sua responsabilidade.
