Data Privacy Day: Entrevista com Amaro Neto – Coordenador de TI

Tempo de leitura: 9 minutos

Todo dia 28 de janeiro é realizado o Data Privacy Day, um dia de ação global focado na privacidade de dados que acontece desde 2006. Neste ano a Introduce está contribuindo para o Data Privacy Day com uma trilha de conteúdos sobre privacidade de dados, segurança digital, LGPD e mais.

Para nos auxiliar na missão de conscientizar sobre esse tema tão importante e que deve ser prioridade de qualquer gestor convidamos Amaro Neto, Coordenador de TI (Infraestrutura e Suporte) e membro responsável pelo escopo de Segurança da Informação da Comissão de Gerenciamento de Riscos do Hospital Ernesto Dornelles de Porto Alegre, para esclarecer alguns conceitos e falar sobre sua experiência na área da saúde.

Qual a relação da Privacidade de Dados e Lei Geral de Proteção?

Amaro Neto: Cultura e Regra. Temos muito a aprender e conquistar em relação ao conceito de privacidade. Embora seja simples a definição do direito de reserva, e isso tenha se consolidado em 1890 nos Estados Unidos da América pela Suprema Corte de Justiça, reforçando que a privacidade é o “Direito de ser deixado em Paz”, pode-se pensar que a cultura de privacidade vem se construindo ao longo de séculos, desde quando começamos a confessar-se isoladamente, ter acesso a leitura silenciosa individualmente, dormir separadamente entre tantas outras transformações resultantes do avanço tecnológico e ruptura dos costumes.

Mesmo assim, 125 anos se passaram e ainda lutamos com o entendimento e exercício do conceito de privacidade, talvez por inobservância, ignorância ou conveniência.

A LGPD possibilitará dar passos nessa evolução cultural em nosso país, por meio de regras e penalidades que visam adequar e direcionar o bom uso de dados pessoais, buscando garantir um direito fundamental já previsto no artigo 5º da Constituição Federal Brasileira. – Amaro Neto

Privacidade de Dados: o que a TI deve levar em consideração? 

Amaro Neto: Não é de hoje que áreas de TI das organizações têm foco e preocupação com Segurança da Informação (SI).

Logo, a Privacidade de Dados por meio da LGPD é uma ótima oportunidade para consolidação de projetos, ações corretivas, fortalecimento de infraestrutura e o desenvolvimento da cultura de SI dentro da empresa.

Contudo (depende do tamanho/complexidade do negócio de cada organização), penso que a área de TI não deva atacar este tema sozinha ou atuar em desespero.

Ainda que estejamos em meio a construção e evolução constante de frameworks para implementação da adequação e continuidade em conformidade de privacidade de dados em nossas empresas, baseadas na adoção de boas práticas de outras metodologias norteadoras como ISO, ITIL, COBIT, entendo que a TI deva buscar o alinhamento multidisciplinar dentro da organização, para além da área jurídica que inevitavelmente será muito tocada também, e do apoio de parceiros com expertise na proteção dos dados e segurança da informação.

A adequação para o tratamento da Privacidade dos Dados não está somente em aquisições de licenças, ferramentas e controles. Está muito presente nos processos e no comportamento das pessoas, portanto toda a empresa deve estar engajada, mesmo que comece por um “empurrãozinho” da TI.

Como coordenador de TI da área da saúde, quais as principais preocupações em relação à privacidade de dados?

Amaro Neto: Todo treinamento que prestei sobre o tema de segurança da informação, sempre fiz analogia para exemplificar nossa capacidade de banalizar a segurança, “de tanto atravessar por determinada rua, conhecendo o sentido do fluxo, passou a não olhar mais para os dois lados”. Essa disposição para correr riscos ecoa em nossas diversas ações no cotidiano e vai aos poucos gerando um senso de conforto “isso não acontece comigo”, até que aconteça.

Ainda lida-se com a percepção de que as senhas de acesso nos sistemas empresariais não têm a mesma ou maior importância de uma senha de acesso na própria conta bancária.

Portanto, o comportamento de banalização da segurança ainda é minha primeira preocupação.

Permitindo-me a esta reflexão e considerando o contexto do segmento saúde, eu relacionaria algumas preocupações como: Permissões de Acesso ao Prontuário; Vazamento de Dados; Revisão e implementação de Políticas de Segurança; Revisão de Termos de Consentimento; Capacitação Continuada; (muita capacitação) entre outros.

São tantas questões relacionadas a adequação da LGPD envolvendo o tratamento da privacidade dos dados, que acaba ficando muito clara a necessidade de execução de um projeto ordenado em fases, e talvez uma das mais importantes seja a fase do Assessment, para identificar os principais gaps e quais com prioridade atacar.

Como gerir e mitigar riscos de segurança, quando o foco é gestão de TI?

Amaro Neto: Entendo que em diversos momentos pisamos em terrenos de modelo de gestão orgânica quando falamos de TI e Segurança da Informação, já com o olhar e ações voltadas para experiência do paciente. Quero dizer que, de certa forma, isso se mistura, permeia diversas áreas e processos de maneira positiva quando o foco é mais o humano.

Estar presente e próxima da alta gestão, alinhada diretamente aos propósitos da organização, permitirá alcançar resultados mais assertivos nas ações de segurança.

A área de TI deve sempre atuar como área produtiva e estratégica do negócio, embora seja comum estar presente em organogramas como uma área de apoio, não deve apenas atuar como suporte aos serviços.

Nos fale sobre a Gestão de Risco da Segurança da Informação

A trajetória na carreira de TI, antes mesmo da gestão de suporte e infraestrutura, sempre me colocou atento aos requisitos de segurança.

Para quem é de TI, sabe que sempre estivemos vulneráveis às ameaças e que elas evoluem na mesma velocidade em que novas tecnologias tornam-se disponíveis aos usuários.

Desde o ano de 2012 tive oportunidade de fazer parte da Comissão de Gerenciamento de Riscos do Hospital Ernesto Dornelles auxiliando no escopo de Segurança da Informação.

Esta experiência além de aproximar ao tema de SI, proporcionou aprendizagem prática para abordagens de alinhamento de grandes grupos, mapeamento e classificação de riscos, gestão das ações corretivas e adoção de princípios que regem nossa conduta para disseminação de uma cultura justa, transparente e educativa. Estes ensinamentos norteados pela coordenadora da comissão, ajudaram na formação de uma visão de gestão de riscos alinhada aos desafios sistêmicos de uma grande Instituição.

A Tecnologia da Informação está presente em todos os processos que permeiam nossa organização e não é diferente também quando pensamos em segurança de informação e privacidade de dados. Em nosso contexto de cenário, a gestão de riscos de segurança da informação tende a ser mais que um escopo de atuação da área de TI, passando a ser um braço de apoio estratégico com visão macro para auxiliar o negócio na mitigação de riscos e melhorar resultados por meio da revisão de processos essenciais de maneira mais segura. 

Algum caso que possa ilustrar os riscos reais de Privacidade de Dados?

Amaro Neto: Já se tem ciência de casos relativos à violação do GPDR em hospitais na Europa. Um no Centro Hospitalar Barreiro Montijo em Portugal e outro no Hospital de Haga na Holanda, ambos relacionados ao acesso indevido de registos médicos de pacientes. As multas nestes casos chegaram a 460 mil euros. Diversos riscos irão nos desafiar diariamente, não somente na área da saúde, mas em todos segmentos que tratam os dados dos titulares.

A violação dos princípios de tratamento dos dados, perda ou vazamento de dados pessoais, resultam risco de impacto na imagem, jurídico e financeiro de uma organização. Estes riscos estão sujeitos às causas (ameaças) comuns como o acesso indevido, ausência de consentimentos informados, ausência de política de privacidade, uso inadequado ou discriminatório de dados, etc.

Os riscos estão presentes durante todo o ciclo de vida do dado. Começa desde  o por quê um dado deve ser coletado, como será processado, armazenado, compartilhado, até o momento que pode ou não ser descartado.

Compartilhe conosco dicas de gestão

Amaro Neto: Embora estejamos falando de LGPD desde 2018 e sobre segurança da informação desde “sempre”, este momento de adaptação e oportunidade de melhoria ainda parece sinônimo de novidade. Pode-se dizer que é extremamente revigorante, visto que é o ensejo para amadurecimento e aprofundamento do tema de SI nas organizações.

Humildemente penso que devemos estudar muito e alinhar-se o quanto antes com outras organizações de mesmo segmento para avançar nas melhorias e decupar cada vez mais os cenários de riscos e incidentes que teremos pela frente. Contar com apoio da Direção, da gerência direta (no meu caso) e de parceiros com expertise em segurança da informação, é fundamental para a assertividade dessa jornada.

Falando nisso, por mais que a adequação da LGPD necessite fatiar atividades em fases/etapas para garantir as entregas, procure enxergar como uma grande jornada de segurança de dados, para não correr o risco de implementar um projeto raso, pois os problemas que forem fáceis de serem vistos na superfície são apenas resultado de muitos problemas bem mais profundos.

Conecte-se com a gente e acompanhe os conteúdos do Introduce Connect Data Privacy Day 2021!

Quer contar com um parceiro com mais de 7 anos de expertise em segurança digital e privacidade de dados! Então fale com nossos especialistas e dê o próximo passo na jornada de segurança corporativa.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.