Solução permite adequar empresas à legislação sobre proteção de dados

Eduardo Geraque  |  Pesquisa para Inovação – A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde setembro de 2020, tem estimulado as empresas a buscar soluções para proteger informações sobre seus clientes. Embora as sanções econômicas para quem não cumprir as normas passem a valer apenas a partir de agosto deste ano, existem várias adequações que precisam ser feitas desde já.

As novas exigências da legislação ampliaram o mercado para diversas empresas como, por exemplo, a CIAware, de Ribeirão Preto, no interior paulista. A empresa, que por mais de cinco anos ofereceu ao mercado inovações na área de informação em saúde, redirecionou atividade também para área de proteção de dados de empresas interessadas em se adequar à LGPD.

Para tanto, a empresa contou com o apoio do Programa FAPESP Pesquisa Inovativa em Pequenas Empresas (PIPE).

“Com a tecnologia de anonimização, pseudoanonimização e criptografia, as empresas gravam os dados e garantimos aos clientes dos nossos clientes que eles podem acessar a informação que está em poder de outros”, afirma Flavio Barbosa, cientista da computação e fundador da CIAware.

A LGPD estabelece uma série de direitos para o chamado titular da informação: pessoa, cliente ou funcionário que teve os seus dados coletados e armazenados por alguém. Uma empresa que detém um banco de dados, por exemplo, está obrigada a declarar, de forma compulsória, quais informações estão sob seu controle quando alguém perguntar, além de enviar todos os dados para o solicitante. Os titulares da informação também poderão atualizar os dados quando desejarem ou mesmo pedir para que todas as informações sobre ele sejam apagadas de um determinado banco de dados.

As normas também estabelecem uma série de particularidades sobre as informações armazenadas. Dados pessoais, por exemplo, são definidos como características que podem identificar qualquer cidadão. Dados sensíveis são aqueles que dizem respeito à origem étnica e religiosa ou quando estão relacionados com a vida sexual de alguém. Essas informações precisam ser ainda mais bem protegidas por quem as detém.

Existem exceções também previstas pela LGPD. O Estado pode obter informações protegidas pelas regras legais desde que seja utilizada, por exemplo, em investigação de infrações penais.

Outra determinação imposta pela legislação diz respeito ao termo de consentimento esclarecido, que deverá referir-se a finalidades determinadas. As autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas, segundo a LGPD. O titular da informação também pode revogar a qualquer momento o consentimento dado previamente. Os mecanismos para que isso seja feito devem ser totalmente facilitados pelas empresas.

Segundo Barbosa, não basta mais um checkbox no final de um termo de consentimento gigante para que o cliente consinta a utilização do sistema, aplicativo móvel ou uso de cookies pelo site de determinada empresa. Também deverão estar em destaque os pontos relativos à privacidade, que podem ser aceitos ou não.

Nesse contexto, a CIAware disponibiliza dois produtos principais: o Guardian, para obtenção e revogação de termos com captura de prova circunstancial, e o Portal do Titular da Informação. A plataforma reúne ferramentas que facilitam a obediência legal.

“As nossas soluções utilizam padrão de ultra proteção de dados e permitem a restrição ao acesso de várias informações, de maneira inteligente e auditável, sem afetar o funcionamento de nenhum sistema da empresa. São tecnologias que permitem integração via API de maneira acoplável”, afirma Rebeka Gomes Pinto da Cunha, CEO da CIAware.

Extrapolação bem-sucedida

De acordo com Barbosa, a experiência adquirida desde o início com as soluções exclusivas para o setor de saúde está bem consolidada, o que indica uma base sólida, segundo ele, para agora o serviço ser oferecido para outras áreas. “Nosso ecossistema tecnológico pode auxiliar empresas de diversas áreas em relação ao compliance de proteção de dados” afirma Rebeka.

No caso da área de saúde, por exemplo, explica o desenvolvedor, o sistema da empresa permite o acesso aos dados clínicos de pacientes de uma determinada unidade de saúde. Mas quem acessa o banco de informações não sabe nada sobre a identidade das pessoas.

“Os dados demográficos também ficam em outra base. Não sabemos realmente quem é quem sem passar pelo sistema de auditoria”, diz o cientista da computação.

Segundo Barbosa, o fato de a empresa ter começado suas atividades com foco na área de saúde tem uma explicação pragmática: o segmento foi um dos primeiros a normatizar tanto o uso de dados como vários itens relacionados à privacidade dos clientes.

“Modelos de informações internacionais, como o europeu openEHR, adotado no Brasil e desenvolvido pela CIAware desde 2015, estão em desenvolvimento e em consolidação desde a década de 1980 e já carregam conceitos de privacidade e sigilo de dados pessoais e sensíveis.”, afirma Barbosa. “Agora, as normas também existem para outras áreas. É preciso que todos se adequem”, diz.