SST e-Social e a LGPD
Com o advento da Lei nº 13.709/2018, mais conhecida como Lei de Proteção de Dados Pessoais (LGPD), aumentam os desafios para o setor de medicina ocupacional, que deve se adaptar aos ditames desta Lei, ao mesmo tempo em que se adequa ao novo sistema da SST e-Social. Cumpre destacar que, neste novo sistema, devem ser apresentadas de forma unificada as obrigações fiscais, previdenciárias e trabalhistas, referentes aos funcionários da empresa. Insta ressaltar que a última fase de implementação para agentes privados terminou recentemente, em 10/01/2022.
Entretanto, segundo um levantamento da Associação Brasileira das Empresas de Software (ABES), 60% das companhias brasileiras ainda não estão em conformidade com as exigências da LGPD[1], o que demonstra que muitos gestores podem estar em dúvida sobre como efetivamente cumprir com as disposições desta nova lei ao mesmo tempo em que se faz preciso cumprir com a obrigação de prestar informações ao governo através do sistema da SST e-Social (Sistema de Escrituração Digital das Obrigações Fiscais, Previdenciárias e Trabalhistas).
De fato, se antes os escritórios de contabilidade tomavam para si a responsabilidade de realizar o envio destas informações para os seus clientes, com o surgimento da LGPD, deve se tornar uma prática mais comum os escritórios optarem por transferir esta responsabilidade para as clínicas ocupacionais, a fim de mitigar quaisquer riscos de incidentes de segurança com estas informações pessoais.
Ao contrário do que vem sendo alardeado, esta Lei nº 13.709/2018 não regulamenta apenas as situações relacionadas a vazamento de dados pessoais, muito embora este seja o incidente de segurança mais comum. De fato, é importante destacar que o vazamento afeta apenas um dentre os 4 pilares da segurança da informação, que são, respectivamente:
- Confidencialidade, que garante que os dados estão protegidos de terceiros, e neste pilar pode-se então contemplar o vazamento de dados, que é conduta ainda mais grave quando se fala sobre a saúde das pessoas;
- Integridade, que garante que os dados estão íntegros e que não sofreram e tampouco sofrerão quaisquer espécies de alterações, se não as autorizadas. Um ponto bastante relevante aqui, neste pilar da segurança da informação, diz respeito ao lançamento incorreto de um CID em um formulário, o que poderia causar seríssimos transtornos ao paciente;
- Disponibilidade, que garante que as informações do titular estarão sempre disponíveis. A perda de formulários, contratos, a perda de um equipamento, ou até mesmo a indisponibilidade de um sistema colocam em xeque este pilar da segurança da informação;
- Autenticidade, que garante que as informações poderão ser entregues a uma outra pessoa ou sistema, quando autorizados. A título de exemplificação, neste pilar, tem-se o caso de um falso oficial de justiça que tenha subtraído um dos computadores de uma clínica ocupacional, contendo um vasto número de registros de dados de pacientes, portando um mandado de busca e apreensão falsificado.
De toda forma, as clínicas ocupacionais deverão assegurar a existência de processos claros e recursos adequados para garantir estes pilares da segurança da informação, especialmente dos dados relacionados aos trabalhadores participantes dos programas de saúde do trabalho, como o PCMSO (Programa de Controle Médico de Saúde Ocupacional) e o Serviço Especializado em Engenharia de Segurança e em Medicina do Trabalho (SESMT).
A título de curiosidade, cabe, inclusive, estampar alguns casos em que houve o descumprimento da LGPD, envolvendo de forma direta clínicas médicas:
- Fato ocorrido em São Paulo, em que um funcionário, antes de se demitir, acessou, copiou e apagou toda a base de dados da clínica. Por não ter implementado um sistema de registros de logs e de backups em sua plataforma interna, a clínica não conseguiu comprovar que teria sido aquele funcionário que havia furtado tais informações e, tampouco, recuperá-las, acarretando um enorme prejuízo financeiro e, também, a sua reputação.
- Em um outro caso emblemático, uma pessoa que trabalhava na limpeza de uma clínica identificou, em alguns papéis na mesa do médico, o nome de um conhecido. Por curiosidade, acabou por ler os prontuários e descobriu que aquela pessoa era o pastor da sua igreja e portadora do HIV, informação que acabou se espalhando por toda a comunidade. Trata-se de um caso em que uma medida simples, como uma política de mesa limpa, poderia ter evitado este incidente. Fato é que esta situação ocasionou um transtorno enorme tanto para a clínica quanto para o cidadão, titular desses dados.
Desta maneira, é possível perceber que, pelo fato de as clínicas ocupacionais serem empresas que lidam com dados sensíveis dos trabalhadores dos seus clientes, deverão passar por uma reavaliação de seus processos para embasar suas ações na nova legislação de proteção de dados.
Portanto, para coibir quaisquer incidentes de segurança, a LGPD criou diversos mecanismos para garantir o seu cumprimento, que vão desde a elaboração de documentos e relatórios relacionados com a identificação e a mitigação de eventuais riscos à proteção de dados pessoais, até a previsão de sanções, incluindo multas que podem chegar a 50 milhões de reais, com destaque para um agravante: a suspensão das atividades da empresa.
Artigo Semelhante – Cuidado com as Soluções Milagrosas da Internet… saiba mais
Neste sentido, a Lei Geral de Proteção de Dados traz diversas penalidades para o seu descumprimento. Além da multa mais conhecida – 2% do faturamento global –, se o banco de dados apresentar vulnerabilidades, ocorrendo ataques de hackers ou vazamento de qualquer dado pessoal do paciente, causando-lhe danos, materiais ou morais, e até mesmo a violação de direitos fundamentais, o profissional da área da saúde estará sujeito à ação de indenização.
Fato é que toda essa regulamentação poderá levar muitas clínicas à falência, nos casos em que não conseguirem demonstrar que estão em conformidade com a Lei, ressaltando, uma vez mais, a possibilidade de suspensão das atividades de tratamento de dados, por parte da ANPD, impedindo efetivamente que a clínica atue.
Referencias:
Pesquisa ABES 60% das empresas não estão adequadas… saiba mais Disponível em: Acesso e: 22/02/2022.
Conheça as 8 consultorias à LGPD mais contratadas no Brasil… saiba mais