Toda informação possui um ciclo de vida. Um dado é gerado, permanece disponível pelo tempo necessário, passa por atualizações e, depois, ao perder sua serventia, deve ser descartado adequadamente. Essa prática vale também para o setor da Saúde. A sequência regular de início, meio e fim de uma informação não deveria ser motivo de apreensão para os gestores do segmento. Entretanto, falhas na condução desse ciclo podem representar um tormento para muitos administradores. Há quem sofra com a possibilidade de uma informação sigilosa ser acessada e comprometer o futuro da organização. E esse medo tem sentido: qualquer vazamento, seja de um arquivo sobre o histórico de saúde de um paciente, seja de dados sobre as finanças da instituição, é potencialmente desastroso para a reputação de quem deveria zelar pela proteção da informação.
A tendência atual aponta para uma crescente dificuldade de gerir e armazenar informações, mas a tarefa é perfeitamente executável, embora exija esforço significativo das áreas administrativa e de tecnologia da informação. Somam-se a esse desafio os avanços da informática, a geração e o detalhamento de um volume crescente de informações de toda natureza e a criatividade quase infinita de infratores para burlar sistemas e acessar dados sigilosos.
Na área de Saúde, especificamente, o agravante nessa complexa equação é a indefinição, até o momento, de um padrão global de geração, armazenamento e descarte de dados. Desde 1996, após a promulgação da Lei de Portabilidade e Responsabilidade de Seguros-Saúde (HIPAA, da sigla em inglês de Health Insurance Portability and Accountability Act), nos Estados Unidos, a comunidade administrativa da Saúde e especialistas em TI têm se dedicado a proteger a privacidade dos pacientes, prover acesso à informação, melhorar a qualidade do atendimento médico e criar uma conexão nacional para o atendimento à Saúde, premissas da HIPAA. Parte desses grandes objetivos foi atingida. Outra, não. Mas uma das vantagens da HIPAA foi tornar a gestão e a proteção das informações um tema central para os gestores da área.
O fato de não haver um padrão global e definitivo não significa que nada possa ser feito sobre esse tema. Tem avançado, por exemplo, entre empresas do setor, sobretudo hospitais, o uso do protocolo ?HL-7? ? sigla para Health Level Seven, uma das organizações desenvolvedoras desses standards. Alguns processos e ferramentas também usados em muitas organizações estão diretamente ligados às exigências estabelecidas pelos regimes de acreditação hospitalar.
Há quem não deseje aplicar imediatamente um ou outro protocolo por temer que a definição de um padrão global diferente do escolhido gere retrabalho no futuro. Mesmo assim, esse risco precisará ser enfrentado.
Um ponto-chave é a questão dos direitos de acesso aos sistemas informatizados. Por exemplo, faltam regras e compreensão sobre quais informações os profissionais terceirizados podem consultar no local onde estão ou atuam. Ou seja, usando ainda o caso de um hospital, quem pode acessar qual dado, de que forma e com qual finalidade? Como são armazenados os registros de ingresso no sistema? Quem cuida das faturas da farmácia pode ou deve conhecer também as informações do almoxarifado? A revisão da política de acessos, portanto, é um assunto sensível para quem entende que o ciclo de vida da informação deve ser saudável e seguro.
A combinação perfeita entre uso da ferramenta certa e processos adequados e controlados garante integralidade, confidencialidade e disponibilidade das informações. É para isso que os sistemas existem, afinal de contas.
Mesmo depois de tornar-se desnecessária, a informação ainda precisa chegar ao fim de seu ciclo. O mais adequado é, novamente, armazená-la de forma protegida e com acesso restrito, ainda que o arquivo seja ?morto?. Isso se justifica porque um prontuário desviado de um paciente que faleceu pode ser usado de forma inadequada. Da mesma maneira, uma informação sigilosa, embora antiga, talvez seja valiosa para um concorrente.
Compreender e administrar o ciclo de vida da informação é uma tarefa complexa. Não existem sistemas e modelos definitivos, mas a preocupação permanente com a segurança dos dados ajuda muito a encarar esse desafio. Além disso, envolver as linhas de comando e as áreas operacionais da organização é vital para construir soluções eficazes.
*João Castilho -Gerente de Consultoria da PwC – Governança e Riscos em TI
**Crédito atualizado no dia 13 de maio de 2013