Funcional Health Tech

A Funcional é uma health tech há mais de 20 anos no mercado com o propósito de gerar inteligência para gerir saúde através de soluções tecnológicas desenvolvidas para negócios em saúde desde a indústria farmacêutica, operadoras e corretoras até a gestão de saúde das empresas. No final de 2019, a empresa começou a trabalhar com um escritório jurídico externo e uma consultoria de cibersegurança para pesquisar seu tratamento de dados pessoais para conformidade com a LGPD e avaliar a maturidade da empresa em relação a certificações como ISO 27000, ISO 27001 e SOC2. Esta pesquisa durou até meados de 2020.

A empresa oferece soluções tecnológicas para o ecossistema da saúde funcionar de forma mais saudável, como programas para laboratórios disponibilizarem descontos nos medicamentos, convênios para compra de remédios com desconto em folha de pagamento, análise de dados para ajudar no monitoramento da saúde de profissionais, entre outros. Mesmo que não sejam regulamentados por nenhuma agência, a Funcional está extremamente comprometida com a segurança e a ética, e tem como um de seus valores, “Fazer a coisa certa da maneira certa”. Além disso, os clientes da Funcional devem prestar contas dos dados de saúde sensíveis de seus clientes que são protegidos por lei.

Depois do mapeamento dos riscos, o passo seguinte da empresa foi ir ao mercado em busca de soluções que pudessem atender as necessidades apuradas pelos levantamentos. “Criamos uma RFP com os principais itens que precisávamos ter no sistema e conversamos com quatro empresas. A OneTrust era uma delas”, lembra Abílio Rodrigues de Figueiredo, gerente de risco e compliance da Funcional. “Foi um momento de conhecer o que as empresas poderiam oferecer dentro do tema LGPD e governança de dados e compliance.”

Além da privacidade

A escolha recaiu sobre a OneTrust pois a ferramenta atendia aos itens necessários e ainda mais, com módulos como os de Gestão de Auditoria e Análise Comparativa de Programas, que não estavam no planejamento inicial da Funcional Health Tech.

No total, a Funcional Health Tech optou por 11 módulos indo além da atuação na privacidade e na proteção de dados para adequação à LGPD.

Além da alta tecnologia de seus sistemas e da qualidade dos serviços prestados, um ponto fundamental para os clientes da Funcional Health Tech é a confiança e algumas certificações externas dão a segurança que eles exigem. Uma dessas certificações é a SOC 2, alcançada pela Funcional em 2021.

“Tínhamos um projeto para o ano passado, o Everest, cujas principais metas atingimos com essa parceria: a certificação SOC 2 e a de conformidade com a LGPD.”

“E com o módulo de Análise Comparativa de Programas podemos nos comparar com as melhores práticas do mercado e será muito útil para analisarmos periodicamente os gaps apontados no início do projeto”.

A Automação de Avaliações ajuda na criação do Relatório de Impacto à Proteção da Dados (DPIA), exigido pela
LGPD. “Acabamos descobrindo nesse módulo, assim como em outros da OneTrust, uma outra funcionalidade muito útil. Inserimos no sistema um “questionário de conflito de interesses” que foi preenchido por todos os funcionários e, quando alguma dissidência é apurada, é gerado um risco a ser monitorado”, disse Figueiredo. Outro módulo contratado e que abrange além da privacidade é o de Gestão de Riscos de TI. “Todos os gaps que foram apurados nos levantamentos iniciais puderam ser embarcados neste módulo. Ele funciona como um mapeamento de risco do negócio da Funcional como um todo”.

O módulo de Gestão de Auditoria permite automatizar o processo, que é feito mensalmente, sem o uso de planilhas e conectado ao módulo de Gestão de Riscos. “Com esse sistema foi possível envolver as pessoas no processo e reunir parcelas de informações que por vezes eram estanques e geram ótimos relatórios para a diretoria. Além disso, ele ‘aprende’ com as ocorrências e aproveita as evidências”, comentou Figueiredo.

“Nosso escritório de advocacia mapeou todos os processos, os dados com que lidamos, quais são divulgados para fora de nosso sistema. E isso tudo foi exportado para o Mapeamento de Dados, um dos módulos mais importantes para nós”, explica o gerente da Funcional.

A Gestão de Riscos dos Fornecedores é muito importante para fazer um assessment com os principais parceiros da empresa, incluindo questões de segurança e compliance. “Aqui aconteceu a conexão com outro projeto que estava em andamento na Funcional referente a implantação dos pilares de compliance. Esse módulo nos permite acompanhar e avaliar o desempenho e as entregas de cerca de 200 dos nossos fornecedores”, disse o gerente.

O módulo de Resposta a Incidentes registra cada ocorrência e desenha um fluxo de trabalho que atende as normas da Autoridade Nacional de Proteção de Dados (ANPD). A Conformidade de Cookies e de Consentimento são módulos que cuidam da aceitação de cookies e do uso das informações pelos clientes que usam os espaços virtuais da Funcional. Fundamental para padronizar as políticas de privacidade que tem no site o módulo de Gestão de Avisos e Políticas torna mais fácil a atualização de textos de políticas de privacidade que são exibidos aos usuários de sites e aplicativos.

Uma jornada de melhoria contínua

Toda a plataforma de confiança da OneTrust foi implementada na Funcional em um período de quatro meses, cumprindo um pouco antes do prazo, a meta da empresa de adequação à LGPD prevista para agosto de 2021.

Durante o processo de implementação outra solução foi adicionada ao pacote, o TDD, Targeted Data Discovery, que permitiu integrar sistemas da empresa à plataforma da OneTrust. “Uma equipe que, por exemplo, precisa atuar através de tickets em outro software estará adequada à segurança sem precisar nem olhar a plataforma, já que as informações estarão integradas”, comemora Figueiredo.

Além do cumprimento das metas previstas no Programa Everest, algumas vantagens adicionais foram observadas pela empresa após a implementação da OneTrust.

A solução da OneTrust também tem contribuído para desenvolver na empresa a cultura de Privacy by Design, ou Privacidade Desde a Concepção. Essa abordagem leva em conta a privacidade durante todo o processo de construção do software ou serviço, um conceito sensível aos valores humanos e todas as suas derivações no processo. “A área de risco e compliance da Funcional Health Tech já participa de todos os projetos desde o início, sempre apoiando com informações e dando suporte e segurança”, disse Figueiredo.

Quando perguntado sobre o que a OneTrust agregou à Funcional, Abílio Figueiredo é taxativo: “ganhamos desde a Gestão otimizada e atualizada do fluxo por onde os dados passam, facilidade de atualização das informações através do módulo de automação de avaliações, e em demonstrar a nossa governança por utilizar uma ferramenta reconhecida, mas além disso mostrar a importância que a Funcional dá para os dados que recebemos dos nossos clientes.”