A implantação da Lei Geral de Proteção de Dados (LGPD) nas instituições de saúde costuma ser um processo lento, entretanto, existem meios para acelerar a dinâmica com segurança e eficácia. O Ágil Scrum é um dos mais bem-sucedidos.
O método foi apresentado pela gerente de Tecnologia da Informação e Qualidade, Fernannda Tedesco, também DPO na Sociedade Médico Hospitalar, no webinar Metodologia Ágil Scrum e LGPD: Acelerando a Implantação da Lei, realizado recentemente pelo SindHosp. Fruto do encontro, este artigo trata das principais características e de como implantar o Scrum no seu negócio.
O que é a metodologia Ágil Scrum
A metodologia Ágil Scrum é uma estratégia aplicada em gestão de projetos, com enfoque na formação de equipes, que define entregas para um curto espaço de tempo. O que possibilita controlar as atividades de modo eficiente, potencializando times que atuam conjuntamente para alcançar um fim específico.
Criada inicialmente para atender à demanda por produtividade na área de tecnologia da informação (TI), a Ágil Scrum conquistou novos horizontes com o passar do tempo, sendo adaptada para diversos fins.
Aplicando Scrum na implantação da LGPD
Partindo para as ações de implantação, para aplicar a metodologia Ágil Scrum em sua empresa, o primeiro passo é reunir o grupo de trabalho e, dentro da necessidade apresentada, implantar a LGPD, mapear o que precisa mudar para então começar a trabalhar. Escrever as ações e definir prazos. Feito isso, é hora de estipular os encontros periódicos para discutir as metas.
“Scrum é isso, tenho a necessidade de entregar um produto final, no nosso caso a implantação da LGPD, e tenho um dono da necessidade, quem solicita. E essa não é uma metodologia fechada, podemos definir tempo de conclusão diferentes para cada sprint (fase). Entretanto, ao fim de todas elas, é preciso entregar algo de valor, seja um mapeamento, mudança ou feito que leve ao avanço do projeto”, enfatizou a palestrante Fernannda.
Confira a lista de ações para aplicar o Scrum:
- Escolher o Scrum Master
A pessoa que cobra e acompanha os resultados, geralmente um gestor ou diretor-executivo;
- Levantar blacklog do produto
O resumo das entregas;
- Definir a primeira sprint
Comece com coisas possíveis, mensure as etapas e inicie com ações que não têm custos;
- Definir o tamanho da sprint
Cada fase deve ser concluída entre 1 e 4 semanas;
- Revisar ao final de cada sprint
Revisar, além de identificar erros, permite avaliar se algo pode ser adiantado ou precisa de mais prazo.
Dica extra: para acompanhar as etapas e avanço do projeto, o Kanban é uma excelente ferramenta, pois expõe um panorama do que foi ou será feito e incentiva os participantes.
Em que investir
Caso surjam dúvidas quanto aos investimentos necessários nessa jornada da LGPD, Fernannda indica 4 esferas, as quais julga fundamentais. A primeira está relacionada às pessoas, “implantar a LGPD é em grande parte um trabalho de conscientização. Se as pessoas não entendem a importância, não há progresso”.
Depois vêm os processos, para Fernannda a adequação à lei não pode ser imposta ao funcionário com a desculpa de que, se ele não seguir, o estabelecimento será multado e haverá demissão por justa causa. “Boa parte dos estabelecimentos possui um código de ética e é em cima disso que nós temos que trabalhar. Eu gostaria que os meus dados vazassem? Eu gostaria de tratar os meus dados de modo banal? Quando trazemos pro código de ética vai pro tom de empatia e não de ameaça”.
A tecnologia é a terceira indicação de investimento, visto que antivírus e simulações de ataques cibernéticos são fundamentais à proteção de dados. E a estrutura, que seria a implementação da cultura de mesa e tela limpa, bloqueio de sistema e da tela do computador, medidas culturais que previnam qualquer perda e vazamento de dados na empresa.
Aspectos importantes na implantação da LGPD
A convidada pontuou também alguns aspectos importantes sobre o processo de adequação das empresas de saúde à LGPD, como a necessidade de envolver a alta direção nos trâmites e reforça a necessidade de conscientização constante dos impactos da lei na empresa, tanto do cumprimento dela, quanto do não cumprimento. “Se eu não conscientizo as pessoas de que há uma lei que precisa ser implantada, a informação não chega na ponta. E sem o envolvimento de pessoas não é possível entregar um bom resultado, seja qual for a metodologia ou recursos usados”.
Além de manter os setores de TI, Qualidade e Jurídico a par do projeto, que deve ser incluso no planejamento estratégico anual da empresa, quando houver um, com a finalidade de mensurar riscos e custos.
Tedesco também recomenda que o encarregado de dados seja nomeado já no começo das ações, visto que ele será responsabilizado em caso de vazamento de dados e é peça-chave do processo.
No mais, importa ter em mente que, em sua essência, o que a LGPD solicita é a transparência das empresas no que se refere ao vazamento de dados e a conscientização de que os dados não são delas. “Na saúde, por exemplo, temos o conceito de prontuário médico, é importante entender que as informações não são da empresa, mas sim a responsabilidade de garantir que elas não se percam”, concluiu.
Para mais atualizações da saúde, novas convenções coletivas de trabalho e orientações do SindHosp, veja a aba ‘Notícias’ e siga o sindicato nas redes sociais.