Com a aproximação do último trimestre do ano, reuniões para definições orçamentárias começam a ocupar espaço na agenda. A avaliação de indicadores, a análise de faturamento e a prospecção de cenários serão cada vez mais frequentes até o final do ano. E, os setores que não fazem parte da atividade principal da companhia e nem são geradores de receita, precisam batalhar pelas suas fatias orçamentárias. Esse é o caso do setor de compliance.
Embora o Compliance seja essencial na prevenção de fraudes, na transformação cultural ética e na adequação normativa da empresa, a mudança de cenário econômico pode diminuir os recursos destinados à manutenção do setor.
Neste momento, é importante considerar diferentes caminhos para montar o orçamento e o planejamento, que pode passar por ganho de eficiência em tarefas frequentes, compartilhamento dos deveres de conformidade e diminuição da complexidade das atividades.
Ainda de acordo a pesquisa, o mercado apresenta um cenário em que mais de 60% dos setores dedicados ao Compliance são compostos por duas a cinco pessoas. Além dessa configuração enxuta, 72% dos profissionais respondentes não atuam unicamente com compliance e conjugam suas atividades com outras, como privacidade de dados (35%) ou auditoria interna (28%).
Dado à situação de “setores enxutos versus múltiplas demandas”, o ganho de eficiência em atividades de rotina é essencial. Segundo o mesmo estudo, o gerenciamento de canais de denúncia é a líder em frequência (92%), seguido por “conscientizar e buscar apoio da alta liderança da companhia” (87%) e “mapear, monitorar e mitigar os riscos de compliance” (79%).
Outro ponto importante é entender que, como a ética e a conformidade empresarial é um dever de todos, o orçamento não deveria ser somente da área de compliance. Um bom exemplo disso são os treinamentos e as comunicações dos setores de Recursos Humanos e Comunicação Interna, que normalmente possuem planos corporativos e poderiam prever ações de compliance em seus orçamentos. Para isso, é importante montar um bom plano em conjunto entre as áreas, alinhando cronogramas, recursos humanos e financeiros e infraestrutura disponível.
Ainda nesse sentido, de acordo com a pesquisa, os desafios mais complexos citados pelos gestores de compliance são: realizar o monitoramento de terceiros (77%) e inovar na forma de disseminar os conteúdos e os treinamentos de compliance (77%).
Dito isso, como conseguir o ganho de eficiência, o compartilhamento de deveres e a diminuição de complexidade? Os resultados do estudo mostraram que apenas 35% dos participantes trabalham em empresas que escolheram terceirizar atividades de Compliance. Destes, 76% citaram a melhoria na produtividade e na qualidade do serviço.
Ao adotar softwares com rápida curva de aprendizagem e que favoreçam a diminuição da complexidade de tarefas aliado à terceirização de atividades de rotina, os profissionais das enxutas estruturas de Compliance poderão focar seu tempo nas atividades estratégicas da área e nas tomadas de decisão relevantes.
Nesse sentido, as plataformas de canais de denúncia aliado a serviços de análise prévia dos casos podem ser aliados na captação de informações e na preparação das investigações. Desta forma, o compliance fica responsável por decidir se segue com a investigação e, se sim, já possui todos os elementos para isso. Já as plataformas de Due Diligence são excelentes para monitorar e mitigar riscos de terceiros e, atreladas a serviços de análise e atendimento de workflow, deixando para o compliance somente a responsabilidade por aprovar ou reprovar aqueles de alto risco.
A inovação também tem um papel fundamental nesta redução de custos e no planejamento orçamentário: a adoção de plataformas de treinamento mobile via WhatsApp, que aparecem como ponto de disrupção no mercado, é um ótimo exemplo de como alcançar estruturas pulverizadas.
Por fim, uma vertente pouco explorada pelos setores de Compliance é a contratação de relatórios que traçam panoramas evolutivos e comparativos com outras empresas do mesmo setor. O monitoramento de tendências, a identificação de pontos de melhoria e o benchmarking são essenciais para a apresentação de relatórios convincentes em reuniões do gênero.
O processo de fechamento orçamentário não é uma tarefa simples, muito menos rápida – o convencimento da alta administração na importância do compliance não é a parte mais complexa. O desafio é como demonstrar que algo que não traz retorno financeiro (direto) precisa ter um investimento. Neste momento, argumentos sólidos e planos consistentes são fundamentais à obtenção dos recursos necessários para a evolução da jornada do Compliance.
*Yaniv Chor é diretor de Education e Serviços Gerenciados na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
*Pedro César Sousa Oliveira é consultor em Pesquisa e Desenvolvimento da Aliant, empresa especializada em soluções para governança, compliance, ética, privacidade e ESG.
A profissão de DPO (Data Protection Officer) ou Encarregado de Dados se tornou conhecida no Brasil com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD), tendo sido incluída, em 2022, na Classificação Brasileira de Ocupações (CBO) pelo Ministério do Trabalho.
Um DPO é a pessoa física ou jurídica responsável por realizar a comunicação entre o controlador, a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares de dados. Nas organizações, exceto nas de pequeno porte, conforme Resolução CD/ANPD nº 2/2022, a nomeação deste profissional é obrigatória perante à LGPD. Mas, além da responsabilidade como agente de tratamento inerente à comunicação, o DPO enfrenta desafios no exercício da sua função que exigem atuação multidisciplinar.
Posto isso, a ele cabe a promoção da cultura de Privacidade e Proteção de Dados Pessoais na organização para que as políticas e os procedimentos internos sobre privacidade sejam seguidos em todos os níveis organizacionais.
O profissional também precisa estar sempre atento às orientações da Autoridade Nacional (ANPD), tomar as devidas providências diante das situações que envolvem tratamento de dados pessoais, prestar esclarecimentos aos titulares de dados, dar respaldo no que tange às reclamações e comunicações e orientar colaboradores sobre boas práticas, bem como monitorar a conformidade da empresa em relação às obrigações legais.
Para tanto, é necessário engajamento com diferentes áreas para que a cultura da privacidade seja estabelecida de forma efetiva e contínua. Na análise de um incidente, por exemplo, é possível e necessário envolver mais de uma área para além da atuação do DPO, como a Segurança da Informação, que irá aplicar medidas técnicas de contenção e avaliação do incidente. O jurídico, por sua vez, emitirá um parecer sobre as eventuais consequências jurídicas, e as áreas de negócio serão acionadas em caso de informações adicionais.
Nos casos de treinamentos aos colaboradores, é necessário o envolvimento do RH para promover o engajamento. Já no que tange à avaliação de fornecedores, é preciso contar com a área de suprimentos para garantir que a avaliação de privacidade faça parte do fluxo de contratação e de renovações.
Esses são alguns dos casos nos quais é possível perceber a necessidade de atuação de um DPO com conhecimento dos processos internos da organização, desenvolvimento interpessoal e capacidades técnicas que vão além de privacidade.
Essa abordagem multidisciplinar permite mitigar os riscos no que diz respeito à privacidade e à proteção de dados pessoais a partir de uma análise mais completa e efetiva sobre os impactos do tratamento das informações.
Portanto, apenas o conhecimento teórico do DPO, sem a atuação focada nas várias áreas correlacionadas ao desenvolvimento das ações de privacidade e proteção de dados e sem um bom entendimento da estrutura organizacional da empresa, o programa de privacidade não será efetivo.
*Tainã Dias e Evelliza Dornela são consultoras de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O comércio eletrônico tem experimentado um crescimento exponencial nos últimos anos, oferecendo inúmeras oportunidades para empresas e consumidores. No entanto, juntamente com essa expansão, surgem os desafios da gestão ampla das fraudes.
À medida que as transações on-line se tornam mais comuns, os fraudadores também se tornam mais sofisticados, desenvolvendo métodos cada vez mais elaborados para enganar e explorar os sistemas de comércio eletrônico. Nesse contexto, a gestão eficaz das fraudes no comércio eletrônico torna-se uma prioridade crucial para as empresas, exigindo a implementação de estratégias e tecnologias avançadas para identificar, prevenir e mitigar fraudes, a fim de garantir a confiança e a segurança dos consumidores.
Quando tratamos da gestão ampla da fraude, é importante olhar além da transação de compra e passar a cuidar de todo o fluxo do cliente na jornada do comércio eletrônico, pois os varejistas sofrem fraudes da criação da conta ao pós-venda. Porém, cada uma dessas etapas é geralmente gerenciada por entidades diferentes dentro das organizações.
Se a fraude é transversal, os processos são tratados em silos. É aí que mora o grande problema, pois a falta de indicadores e de conhecimento dessas estruturas no tema leva ao pensamento de que barrar compras fraudulentas na etapa da transação já é suficiente e não há necessidade de se criar controles nas outras fases, sob o risco de o cliente desistir da compra.
Muitos comércios eletrônicos ainda mantêm o estigma de reduzir ao máximo a fricção do cliente, sem pensar que há fraudadores profissionais entre eles. Sendo assim, são criadas fragilidades na jornada do usuário, o que permite fraudes além da transação em si, como a criação de contas falsas em massa, a apropriação de conta de usuários legítimos e o abuso no uso de políticas de devolução e no uso de cupons, entre outras. Como esses processos são conduzidos por áreas distintas, que não têm um modelo de trabalho de segurança nativa (security by design), geralmente os produtos digitais são entregues e disponibilizados cheios de brechas.
Até pouco tempo, os casos de fraude citados acima poderiam ser exceção. Mas, em um cenário cujas soluções de proteção das transações ficam cada vez mais sofisticadas e a fraude nessa etapa torna-se cada vez mais difícil, os fraudadores passaram a migrar para outros tipos de ataques, entendendo que ali também há valor.
A apropriação de contas legítimas, por exemplo, tornou-se muito atrativa a partir do momento em que houve aumento dos cashbacks. Logo, as contas passaram a estar cheias de dinheiro limpo para ser gasto. A criação de contas falsas, por outro lado, é atrativa em um cenário de aumento da disponibilidade de cupons de desconto para novos usuários. Além disso, usuários legítimos cometem muitas fraudes amigáveis quando notam que as políticas comerciais são frágeis como, por exemplo, as de devoluções de itens.
É importante que as pessoas que gerenciam os comércios eletrônicos entendam que, assim como as estratégias de venda mudam nos seus negócios, os fraudadores também acompanham essas alterações para poderem maximizar os seus retornos. Reconhecer que os fraudadores existem, que são profissionais e que podem fazer um grande estrago na operação do comércio eletrônico é um bom começo para colocar todos na mesma mesa e discutir a proteção de toda a jornada do usuário.
*Rodrigo de Castro Schiavinato é diretor executivo de parcerias e inovação e sócio da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Organização para a Cooperação e Desenvolvimento Econômico (OCDE) é uma associação intergovernamental que promove a cooperação entre países e parceiros estratégicos em áreas como comércio, investimento, inovação e governança corporativa, entre outras, buscando o desenvolvimento econômico e o bem-estar social. A adesão do Brasil à OCDE é um assunto de grande importância pelo potencial intrínseco de recebimento de investimentos internacionais, facilitação de exportações e aumento da confiança de investidores.
Porém, para que seja realizada, há uma série de exigências a serem cumpridas, como a adoção de instrumentos jurídicos e pré-requisitos estabelecidos pela própria OCDE, tendo como destaque a Governança Corporativa, um conjunto de valores, princípios e processos que visam garantir o funcionamento das organizações de forma ética e eficiente.
Para implementar tal prática, é necessária a supervisão das atividades da empresa, principalmente no âmbito interno, onde pequenas mudanças podem impactar enormemente o resultado. Dentro deste escopo está a auditoria interna, que pode ser pode ser composta por uma equipe própria ou terceirizada, e é responsável por avaliar processos de negócios e controles internos estabelecidos, identificar novos riscos e garantir a conformidade das atividades com as leis e regulamentações. Portanto, se apresenta como um elemento chave, tendo em vista que é ela quem gerencia os riscos das organizações de forma independente, objetiva e confidencial, gerando bases sólidas que servem para atender as expectativas de investidores.
As nações que adotam boas práticas de governança corporativa têm a necessidade de ter um sistema de auditoria interna desenvolvido e independente. E isso se faz presente no Brasil por meio de alguns órgãos, como a AGU (Advocacia-Geral da União), CGU (Controladoria-Geral da União), TCU (Tribunal de Contas da União) e outros, que buscam seguir as Normas do IIA (Institute of Internal Auditors).
A auditoria interna realizada por estes entes pode exercer um papel protagonista na avaliação da conformidade das políticas e dos procedimentos com as normas da OCDE, além de aprovisionar apontamento de oportunidades de melhoria. Isso porque essas organizações fiscalizadoras realizam atividades relacionadas à defesa do patrimônio público e ao incremento da transparência da gestão por meio de ações de auditoria pública, correição, prevenção e combate à corrupção e ouvidoria, sempre visando os cinco princípios da administração pública: legalidade, impessoalidade, moralidade, publicidade e eficiência.
Dessa forma, com uma prática madura de auditoria interna, a adesão do Brasil à OCDE pode contribuir para o fortalecimento da cultura de conformidade no país, sendo um bom caminho de redução de índices de corrupção e fraudes, uma vez que, ao identificar pontos críticos nas organizações, é possível recomendar planos de ações para reparar vulnerabilidades.
*Luiz Antonio Guedes da Silva é consultor de Auditoria Interna e Assessoria Financeira da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O Banco SBV (Silicon Valley Bank) decretou recuperação judicial devido à falta de liquidez e à evasão em massa de investidores. Na sequência, episódios como a venda, a preço “irrisório,” do Credit Suisse para seu rival, o UBS, mostram toda a fragilidade atual do sistema bancário frente a um cenário que há muito não se via, principalmente nas grandes economias: a alta da inflação. E o que ESG (Environmental, Social and Governance) e a produção de relatórios ESG tem a ver com essa crise bancária? Tudo.
A pandemia da Covid-19 foi a chave para esse colapso inflacionário em diversos países, que tiveram que despejar dinheiro na economia para solucionar problemas emergenciais e reacender a movimentação financeira estacionada por meses. Mas, no médio prazo, tal medida se tornou um remédio amargo devido ao reflexo conhecido: quando há mais dinheiro circulando no mercado, maior é a inflação.
Para combater esse cenário, uma das regras mais antigas e concretas da macroeconomia é o aumento da taxa de juros, o que deixa o crédito mais escasso e caro, refletindo em uma desaceleração econômica que, consequentemente, reduz o poder de compra e acaba impactando a inflação. A partir daí, pessoas com menos acesso a recursos financeiros têm menos poder de compra, obrigando o mercado a reduzir o preço de seus produtos para manter o giro da economia.
Como vimos, a pandemia foi só o início, um aperitivo para que os governos comecem a pensar em crises que impactam o coletivo, como as questões climáticas e todos os desafios que estão por vir. Prejuízos na agricultura, extinção de espécies animais e vegetais, crises de abastecimento de combustíveis e de saúde pública e alta do custo de energia elétrica, entre outras consequências que já foram sentidas por diversos países, são apenas amostras do futuro de um planeta em colapso.
Todas essas questões devem aumentar a pressão sobre o governo com a macroeconomia, impactando neste cenário de inflação e juros altos que deve perdurar. Desta forma, as instituições financeiras devem estar atentas e preparadas, com boas reservas de capital, para realizar análises de cenário e testes de estresse de forma recorrente, levando em consideração todas as questões ESG, primeiramente para garantir sua sobrevivência e, em segunda instância, evitar um caos ainda maior na economia global.
Assim, os países e suas instituições regulatórias devem intervir para que as instituições financeiras já se preparem, evitando a migração dos investidores de ações de empresas para dívidas públicas, como o tesouro direto, que, no cenário dos juros altos, são mais rentáveis, culminando na queda de geração de novas posições de emprego e, consequentemente, na retração da economia.
Neste cenário, o Banco Central desenvolveu e instituiu, desde 2021, uma série de normas que regram a elaboração de um Relatório de Gestão de Riscos Sociais, Ambientais e Climáticos (GRSAC) com tabelas padronizadas para divulgação, bem como regras de gerenciamento dos riscos ESG de instituições financeiras enquadradas nos segmentos 1 a 4 (S1, S2, S3 e S4), além da padronização da elaboração Política de Responsabilidade Social, Ambiental e Climática (PRSAC) pelas instituições integrantes do SFN (Sistema Financeiro Nacional).
Este arcabouço de regulações e instruções normativas vêm para aprimorar a forma como as instituições financeiras gerenciam e reportam seus riscos socioambientais e climáticos, bem como trazem obrigatoriedade regulatória de o fazerem buscando mitigar a ocorrência de crises no setor derivados de eventos ESG. Vale ponderar que as instituições S1 a S4 tem até dia 30/06/2023 para divulgar o relatório de Riscos e Oportunidades Sociais, Ambientais e Climáticas (GRSAC), o que reforça a importância dos relatórios ESG.
Outras regulamentações associadas à temática ESG devem ocorrer em breve contemplando diversos outros setores, como o mercado de capitais, e devem tomar força com a “tropicalização” destes padrões pela CBPS (Comissão Brasileira de Pronunciamentos Sustentáveis) e apoio de órgãos como CVM (Comissão de Valores Imobiliários) e o próprio BACEN (Banco Central).
Para as empresas que não estão enquadradas a essas regulações, serve o alerta para começarem o recolhimento de informações e relatórios ESG, e terem preocupação sobre os riscos da área. Pois, em breve, passarão a ser cobradas em momentos como tomada de crédito, renovação de seguros e abertura de mercado para investidores. O detalhamento das regulações e instruções pode ser encontrado no próprio site do BCB (Banco Central Brasileiro) na busca por normas. A principal é a resolução BCB 139/21, que estabelece os requisitos para a divulgação do relatório, e a IN 153/21, voltada a tabelas padronizadas para fins de divulgação
De fato, os governos dos países começam a tomar o protagonismo nesta agenda de relatórios ESG, antes puxada pelo setor privado por meio de grandes investidores no mercado de capitais. Se antes as empresas já iniciavam um movimento de adoção deste tema por questões estratégicas, busca de capital mais barato e ganho de marketshare, agora precisam começar a se atentarem para as novas regulamentações e legislações que se tornaram obrigatórias. É um mar de riscos e oportunidades que vem pela frente. Empresas e governos, sejam bem-vindos a era do “Cisne Verde”, cujas mudanças climáticas já são uma realidade.
*Filipe Monteiro e Beatriz Busti atuam na área de Sustentabilidade da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Compliance no setor público – Tem sido constante no Brasil e no mundo exemplos de como a ineficiência de controles sobre atividades críticas das organizações tem gerado grande crises de reputação. E isso acontece não apenas no setor privado, mas também em governos. Como consequência direta desse quadro, empresas quebram, governos perdem popularidade, empregos são perdidos, renda é prejudicada e a qualidade de vida da população piora. Trata-se de um círculo vicioso que desenha um cenário que parece não ser possível modificar.
Não são poucas as empresas privadas que descobriram, já há algum tempo, que crises de reputação custam muito e, a depender do caso, podem inclusive levar ao encerramento de suas atividades. E muitas dessas organizações também já se deram conta que o programa de compliance é um dos meios mais eficientes para proteger seus ativos e manter íntegra sua imagem pública.
O compliance pode ser resumidamente definido como o conjunto de ações e ferramentas que buscam fazer com que a organização cumpra adequadamente as normas e os regulamentos a que está sujeita, estando capaz de prevenir e identificar irregularidades e, se for o caso, punir os responsáveis por elas.
No caso do setor público, a implementação de programas de compliance vem ganhando dimensão mais recentemente, em muito inspirada pela experiência da iniciativa privada e tendo como base a percepção de que, se adequadamente instituído, e considerando as suas particularidades, ele pode vir a ser uma ferramenta útil para controlar atos praticados por gestores públicos, além de um meio de reduzir riscos de crises de reputações e de imagem do próprio governo.
Nesse sentido, para ter uma boa governança, é fundamental, por exemplo, a correta gestão de conflito de interesses para impedir que as decisões sejam tomadas visando o favorecimento pessoal, de familiares e de amigos em detrimento do interesse da população. Há ainda espaço para promover melhorias e aprimorar a efetividade, garantindo que cargos sejam designados para profissionais competentes e que exerçam com excelência a função, que as compras tenham, de fato, o melhor custo-benefício e as decisões sejam tomadas de forma independente e justa.
Além disso, os órgãos do setor público podem se utilizar de atividades típicas do compliance para aprimorar seus controles e a prevenir irregularidades. Entre elas, podemos citar estratégias de treinamento e comunicação, códigos de conduta ética, práticas de monitoramento, critérios de avaliação de riscos, sistemas de investigação interna, canais de denúncias, boas regras de governança etc.
Parece óbvio, todavia, que, para que tais medidas sejam de fato efetivas, são necessárias adaptações e ajustes decorrentes da própria natureza jurídica e das peculiaridades do setor público. Nesse sentido, não são poucos que se perguntam se a adoção do compliance pelo setor público não se confundiria com as ações relacionadas a controles internos que, há algum tempo, já são de instituição obrigatória por governos e com os sistemas de responsabilização disciplinar ou corregedorias que muitos órgãos públicos têm de longa data.
Tal questionamento não é de todo sem sentido, visto que, se não houver o devido cuidado, pode sim haver superposição e uma certa confusão entre tarefas. Vale destacar que o Programa de Compliance tem pilares que atuam de forma preventiva, detectiva e reativa, atuando de forma complementar aos controles internos, prática já adotada por empresas. Uma abordagem que parece ser razoável é que o poder público deve enxergar o compliance como um conjunto de ferramentas e ações que podem ajudar, não apenas o controle interno, mas todos os setores da organização a protegerem seus ativos, incluindo a imagem e reputação, tendo maior capacidade de prevenir irregularidades e de identificar os responsáveis.
A experiência do setor privado, não apenas no Brasil, mas em todo o mundo, evidencia a importância do compliance e sua real capacidade de contribuir com atuação dos governos somente poderá ser mensurada ao longo do tempo. Mas parece evidente que, em um mundo cada vez mais conectado e atento a questões de ordem ética e reputacional, não resta outra trajetória a ser percorrida.
*Jefferson Kiyohara é diretor de Compliance & Sustentabilidade e Mário Spinelli é diretor executivo de Compliance Regulatório, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Imagine que exista um pequeno gotejamento de água frequente em um ambiente industrial. Agora imagine a mesma situação em uma área assistencial de uma unidade hospitalar. Os riscos e impactos deste incidente seriam os mesmos para ambos os cenários? A resposta é não. Qualquer tipo de vazamento comprometeria o atendimento em uma área cirúrgica, o que poderia atentar contra a manutenção da vida. Em outro ambiente, o fabril, por exemplo, o impacto poderia ser a paralisação da linha de produção. Mas a Continuidade de Negócios em Hospitais tem características específicas
Para administrar situações como esta, é necessário investir em um plano de Continuidade de Negócios, uma vez que ele consiste na preparação da empresa para responder rapidamente à materialização de um risco e, mesmo os incidentes incorrendo em rupturas, permite manter níveis aceitáveis de operação, com a redução dos impactos ao negócio e à sua reputação – sendo ágil no retorno à normalidade.
A ruptura, quando não contingenciada ou tratada com a devida celeridade, pode se desdobrar em uma emergência, ou seja, um evento que atente contra a vida de uma ou mais pessoas e, ou, uma crise de imagem para a instituição. No âmbito hospitalar, uma indisponibilidade operacional que afete diretamente a assistência ao paciente, como a falta de acesso ao prontuário e às informações relativas aos medicamentos aos quais ele é alérgico, pode desencadear uma crise.
Todavia, o uso incorreto do Prontuário Médico pode expor de forma indevida a vida e os dados sensíveis do paciente, caso ela transponha os limites éticos do sigilo acerca dos dados clínicos e pessoais. Recentemente, algumas unidades hospitalares foram expostas na mídia mediante alegação de uso indevido deste documento, como vemos a seguir.
Em junho de 2022, uma atriz global, após ter dado à luz a um bebê fruto de um estupro, relatou ter sido ameaçada por uma enfermeira que pretendia vazar seu prontuário médico. Diante da fragilidade vivenciada, além de não ter recebido o acolhimento necessário exigido pela situação, a paciente ainda teve ameaçado o direito ao sigilo de seu prontuário. O caso foi exposto na mídia e afetou diretamente a reputação da instituição de saúde.
Já em outubro de 2022, uma criança de três anos recebeu uma overdose de medicamentos após um ataque ransomware indisponibilizar temporariamente a consulta à prescrição médica contida em seu prontuário eletrônico. A quantidade de medicamento administrado foi cinco vezes maior do que havia sido prescrito.
Semelhante a esse caso, em janeiro de 2023, o Tribunal de Justiça de Minas Gerais (TJMG) intimou um hospital a indenizar uma paciente intoxicada por medicamentos devido à administração de dosagem incorreta.
Para lidar com esses tipos de situações, a Gestão de Riscos e a Continuidade de Negócios apresentam estratégias de preparação e resposta ,geralmente contempladas nos Planos de Gestão e de Comunicação em Crises. Porém, para atenuar uma crise causada a partir de uma exposição negativa na mídia, recomenda-se a preparação de porta-vozes específicos, que serão os responsáveis pelo posicionamento oficial da instituição para o público externo e para os demais stakeholders.
Por outro lado, é necessário que equipes que lidam diretamente com o preenchimento, consulta e guarda do prontuário médico, passem por treinamento periódico de boas práticas de utilização do documento, com foco no cumprimento da Lei Geral de Proteção de Dados (LGPD) e na importância do sigilo dos dados sensíveis do paciente. Além disso, é importante para o Sistema de Continuidade de Negócio que exista um sistema backup apartado que contenha os dados relevantes contidos no Prontuário Médico Eletrônico e, ou, documentação impressa para consulta manual, que possa ser utilizados como contingência durante uma indisponibilidade. Vale ressaltar que garantir a boa assistência e, consequentemente, priorizar a recuperação da saúde do paciente, implica em ter acesso, sempre que necessário a dados como alergia medicamentosa, dose e tempo de administração prévia de produtos e resultados de exames, entre outros.
A exposição dos eventos acima, cujo foco voltou-se para o prontuário médico, consolida a premissa de que as instituições necessitam dispor de diretrizes específicas a serem executadas na vigência de rupturas e crises. Assim, minimizam-se os danos ao paciente e os efeitos negativos sobre a reputação da empresa. Porém, o diferencial para a resiliência operacional em hospitais está em ter um sistema de continuidade eficaz para a proteção de pacientes e suas famílias e colaboradores, além de resguardar a sociedade para um atendimento perene, digno e humanizado.
*Bruno Siqueira é Consultor de Gestão de Riscos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
