ePharma PBM do Brasil

A JORNADA DO PACIENTE PARA CONFORMIDADE COM A LGPD

Heath tech aposta na tecnologia, proteção e privacidade de dados como um diferencial competitivo.

Health tech pioneira no gerenciamento de programas de benefícios de medicamentos, a ePharma lançou o Portal da Privacidade, como parte dos processos de adequação à Lei Geral de Proteção de Dados (LGPD).

O portal foi projetado especialmente para atender à exigência do Capítulo III da lei, relacionado aos direitos dos titulares dos dados pessoais. Segundo Marcos Inocencio, DPO e líder do time de Privacidade de Dados da empresa, trata-se de um diferencial que possibilita que mais de 22 milhões de titulares de dados tenham acesso à maneira por meio da qual a ePharma se utiliza de suas informações pessoais.

“O portal permite que nossos clientes, entre os quais operadoras de planos e empresas com programas de gestão de saúde, exercitem alguma das atividades que são de incumbência do controlador, segundo a LGPD. Essas atividades podem consistir na verificação de quais dados estão armazenados no sistema da ePharma, em uma solicitação de portabilidade ou no monitoramento e revisão de informações relacionadas às transações”, explica Marcos Inocencio, DPO de LGPD da ePharma.

Para os próximos meses, a empresa implementará uma ferramenta que fará a Gestão de Privacidade dos Dados. “Com a implementação dessa ferramenta, nosso processo de governança passará a ser mais robusto e automatizado. Conseguiremos verificar todo o fluxo de dados, o tempo de armazenagem e para quem as informações estão sendo enviadas, com mais eficiência e agilidade”, ressalta Inocencio.

Outro passo que a heath tech está seguindo, dentro dos requisitos da LGPD, é o processo de centralização de currículos. “O objetivo é concentrar em uma única plataforma os dados de todos os candidatos, minimizando a coleta dos dados, garantindo maior segurança e controles das informações dos nossos candidatos.”, acrescenta.

Segurança da informação

Preocupada com o sigilo e segurança de cada um de seus beneficiários, a ePharma investe constantemente em segurança da informação. Além de cumprir rigorosamente os critérios requisitados pela LGPD, a empresa garantiu, em dezembro de 2020, a certificação SOC – Type two (SOC 2), considerada uma das mais exigentes do mercado global de tecnologia da informação.

A SOC 2 (Service and Organization Controls) é uma auditoria de procedimentos de controle em organizações de TI provedoras de serviços. Em poucas palavras, ela é um padrão internacional para relatórios sobre sistemas de gerenciamento de riscos para cibersegurança. Desenvolvida pelo American Institute of CPAs (AICPA), define critérios para gerenciar dados de clientes com base em cinco princípios – segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.

A ePharma segue também os requisitos mandatórios de segurança da Norma ISO/IEC 27001, além de fazer uso da Norma ISO/IEC 17799 (atual NBR ISO/IEC 27002), que estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.

A norma apresenta diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação, entre as quais a Política de Segurança da Informação, Organizando a Segurança da Informação, Gestão de Ativos, Segurança em Recursos Humanos, Segurança Física e do Ambiente, Gestão das Operações e Comunicações, Controle de Acesso, Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação, Gestão de Incidentes de Segurança da Informação, Gestão da Continuidade do Negócio e Conformidade.

Due Diligence

Outro diferencial da ePharma, após a aquisição da ferramenta de Gestão de Privacidade, será o processo de Due Diligence de fornecedores. “Com a ferramenta, conseguiremos enviar a nossos parceiros de negócio formulários e documentos, por meio dos quais poderemos conhecer o estágio de desenvolvimento de cada projeto de adequação que vem sendo construído por nossos parceiros, de forma automatizada”, pontua. Toda informação de envio e resposta ficará armazenada na própria ferramenta, o que possibilita classificar a criticidade por fornecedor e criar processos de auditoria para evidenciar a adequação na LGPD de maneira individualizada.