Resumo: A Lei Geral de Proteção de Dados (LGPD) foi criada para regulamentar o uso das informações, mas sua implementação varia segundo cada cultura organizacional. Para analisar o papel da cultura organizacional na adaptação de organizações de saúde brasileiras à LGPD, consideradas relevantes por tratarem dados sensíveis, foi realizada uma pesquisa descritivo-analítica, com abordagem qualitativa, baseada em entrevistas semiestruturadas com gestores. Os casos analisados evidenciaram que: (i) há um movimento crescente de fortalecimento da proteção da vida privada; (ii) a internalização e prática dos valores de uma adhocracia facilitaram a adequação.
Palavras-chave: Cultura Organizacional, Organizações de Saúde, Lei Geral de Proteção de Dados (LGPD), Proteção de Dados.
Abstract: The General Data Protection Law (GDPL) was created to regulate the use of information, but its implementation varies according to each organizational culture. To analyze the role of organizational culture in the adaptation of Brazilian health organizations to the GDPL, considered relevant because they handle sensitive data, a descriptive-analytical study was carried out, with a qualitative approach, based on semi-structured interviews with managers. The cases analyzed showed that: (i) there is a growing movement to strengthen the protection of private life; (ii) the internalization and practice of the values of an adhocracy facilitated compliance.
Keywords: Organizational Culture, Healthcare Organizations, General Data Protection Law (GDPL), Data Protection.
CULTURA ORGANIZACIONAL E LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
ORGANIZATIONAL CULTURE AND BRAZILIAN GENERAL DATA PROTECTION LAW (GDPL)
Thaís Soares de Souza thadvogada@gmail.com
Patrícia Amélia Tomei patomei@iag.puc-rio.br
Recepción: 25 Junio 2024
Aprobación: 20 Noviembre 2024
No século XXI, com a evolução exponencial da economia digital, o progresso das tecnologias da informação e a comunicação sem fronteiras e em tempo real emergiram as questões relacionadas às possíveis consequências nocivas da circulação intensa, ilimitada e incontrolada de dados pessoais (Cunha et.al., 2020).
Neste cenário, em 2016, nasceu, pelas mãos do Parlamento Europeu e do Conselho da União Europeia, o GDPR, legislando sobre a proteção das pessoas no que diz respeito ao tratamento de dados pessoais e à livre circulação dessas informações, introduzindo relevantes mudanças no funcionamento das organizações.
Dois anos depois, em 2018, inspirada no GDPR, foi criada no Brasil a LGPD, que tem como objetivo proteger os usuários e coibir o uso indevido, abusivo ou discriminatório dos seus dados pessoais, resguardando os direitos fundamentais da pessoa humana.
Esta lei impactou significativamente a cultura das organizações em geral, e das organizações de saúde em particular, em razão das peculiaridades e da sensibilidade de seus dados, que, apesar de serem preservados pelo sigilo da relação médico-paciente, receberam proteção reforçada do legislador, visto que são fundamentais para o desenvolvimento da própria estrutura de saúde (Frith et al., 2014 & Mulholland, 2018).
Para que a implementação da LGPD não se caracterize apenas pela aplicação de normas, de regras e de procedimentos ativados por estruturas de controle e reforço, é preciso que as organizações vivenciem na sua cultura a internalização dos valores de privacidade, de dignidade, bem como os fundamentos da liberdade individual e da justiça.
Segundo bibliometria de Fatehi et.al. (2020), as pesquisas referentes ao GDPR e organizações de saúde duplicaram no período 2017-2019, evidenciando a necessidade de lideranças organizacionais compreenderem os desafios e as oportunidades trazidos pela lei (Salgado & Blank, 2020) e participarem ativamente da mudança organizacional.
No que diz respeito a estudos brasileiros referentes à LGPD e organizações de saúde, é interessante ressaltar que vários autores têm apresentado artigos sobre o tema, enfatizando especialmente os aspectos jurídicos da implementação da lei (Lima Raposo et.al. 2019; Miragem, 2019; Tepedino, 2020 e Frazão et.al., 2019) e evidenciando os desafios para sua aplicação no segmento de saúde (Aragão & Schiocchet, 2020; Figueiredo & Oliveira, 2023; Quintanilha & da Silva, 2023 e de Sousa & de Morais, 2024).
Mas, se por um lado a literatura jurídica é bastante avançada, identifica-se uma lacuna de trabalhos empíricos brasileiros voltados para o alinhamento da cultura organizacional com as práticas de processamento de dados pessoais previstas na LGPD (Dallari & Monaco, 2021).
Assim sendo, este trabalho é relevante e avança nas pesquisas realizadas sobre o tema, na medida em que busca analisar a seguinte questão: “Qual o papel da cultura organizacional no processo de adaptação das organizações de saúde brasileiras à LGPD?”
Portanto, além de contribuir com o avanço teórico sobre tema, este trabalho traz implicações práticas que ajudam gestores na implementação de ações estratégicas para a adequação de suas organizações de saúde à LGPD.
GDPR e LGPD
Com a evolução da economia digital; o progresso das tecnologias da informação; o desenvolvimento da biotecnologia e o acesso a dados sensíveis, tornou-se necessária a adoção de medidas mais enérgicas para combater a violação da privacidade. E, embora diversas nações europeias já tivessem suas leis de proteção de dados, essas legislações ainda eram genéricas, programáticas e pouco eficientes para atender a questões práticas e específicas, dificultando sua aplicação e o seu entendimento (D’Ávila et.al., 2021 e Fernandes et al., 2022).
O GDPR focou na proteção de direitos e garantias fundamentais dos cidadãos, com o objetivo de reduzir eventuais riscos que pudessem decorrer da coleta e do futuro tratamento desses dados, e apresentou novos direitos e deveres dos indivíduos, como a portabilidade de dados de um prestador de serviços para outro; prazo de resposta; autorregulação; transparência e obrigação de reportar uma violação de dados (Cunha et.al., 2020).
Ele foi o primeiro regulamento a desenvolver uma conceituação no que se refere aos dados de saúde, definindo-os como sendo dados pessoais, relacionados com a saúde física ou mental de uma pessoa singular, e destacando como vetor importante os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, com informações únicas sobre a fisiologia ou a saúde dessa pessoa (Barbosa & Bastos, 2021).
No Brasil, embora o Código Penal de 1940 já previsse a punição com pena de detenção ou de multa para quem revelasse segredo profissional que pudesse causar danos a outra pessoa, a proteção à privacidade somente começou a ganhar evidência a partir da promulgação da Constituição Cidadã, em 1988 (Masson, 2021).
E a ausência de leis específicas sobre tratamento de dados pessoais assolava muitos negócios brasileiros, que conviviam com os riscos interpretativos das diversas normas. Para reduzir esses riscos, em 2018, foi criada a LGPD que permitiu que os agentes de tratamento de dados passassem a ficar sujeitos a sanções administrativas diversas como advertência, multas, publicização, suspensão, entre outras (Bioni, 2019).
LGPD e Organizações de Saúde
Estudo da Varonis (2021), com a análise de mais de 3 bilhões de arquivos de 58 empresas privadas em todo o mundo, aponta que as organizações de saúde ainda estão distantes do modelo ideal de segurança dos dados. Esta pesquisa evidenciou arquivos confidenciais e acessíveis por qualquer usuário que tivesse uma conta cadastrada, sem controle de acesso por perfil, e informações desatualizadas que representavam risco e custo e não agregavam muito valor.
Segundo um levantamento de alguns dos principais vazamentos de dados de 2014 a 2019 feito por Machado et.al. (2019), na área de saúde se destacam vários casos significativos como:
(i) das empresas Quest Diagnostics e LabCorp, que tiveram dados vazados de quase 20 milhões de clientes (McKay, 2019 e Lam, 2019);
(ii) do Massachusetts General Hospital, onde o setor de pesquisa foi invadido por hackers, envolvendo aproximadamente 10 mil pacientes (Riley, 2019);
(iii) do Centro Hospitalar Barreiro Montijo, de Portugal, multado no ano de 2018 por expor dados clínicos dos pacientes (Yuan, 2019);
(iv) do hospital holandês Erasmus MC, que, em 2018, foi criticado por falha na proteção de dados confidenciais de 46 crianças infectadas pelo vírus HIV;
(v) do ataque cibernético em 2019 de um hospital do Brooklyn (EUA);
(vi) dos episódios dos Centros de Fertilidade de Illinois (EUA), que relataram uma violação das informações pessoais de saúde de 80.000 pacientes e,
(vii) de uma companhia seguradora norte-americana que vazou informações sobre pessoas infectadas pelo HIV (Rodatà, 2008).
No Brasil, a pesquisa do Centro Regional de Estudos sobre o Desenvolvimento da Sociedade da Informação (CGI/NIC), no ano de 2021, revela que, numa amostra de 2.127 estabelecimentos, menos da metade das organizações de saúde havia implementado medidas de adequação às exigências da LGPD e apenas um terço tinha uma política de segurança da informação definida.
Embora esta pesquisa aponte que já havia uma preocupação com a segurança da informação, apenas no ano de 2022, como consequência das necessidades surgidas diante da COVID-19, o Conselho Federal de Medicina regulamentou a telemedicina, reforçando diversos elementos da LGPD e estabelecendo que, neste tipo de serviço, os dados e as imagens dos pacientes constantes no registro do prontuário devem ser preservados, obedecendo as normas legais pertinentes à guarda, ao manuseio, à integridade, à veracidade, à confidencialidade, à privacidade, à irrefutabilidade e à garantia do sigilo profissional das informações.
Os riscos da segurança de dados no contexto brasileiro podem ser ilustrados em dois incidentes recentes: (i) no hospital Israelita Albert Einstein de São Paulo que, em 2020, identificou o vazamento de dados de 16 milhões de pessoas que tiveram suspeita ou diagnóstico confirmado para COVID-19 e (ii) no Hospital Santa Helena (Brasília) que, em 2021, pagou uma indenização por danos morais e materiais a uma paciente devido a falha na guarda da informação pela organização (Ferreira, 2021 e Lemes, 2023).
Por fim, o relato a seguir, resume a importância da adequação das organizações de saúde brasileiras às normas de controle de dados pessoais sensíveis pela LGPD:
“Mesmo com a LGPD, as empresas do setor de Saúde no Brasil ainda não têm a segurança de dados como um foco de tecnologia. O investimento ainda é visto como um gasto desnecessário. Porém, a tendência é que, cada vez mais, as empresas do setor de saúde sofram com ataques virtuais e com penalizações pesadas, porque guardam muitos dados sensíveis.” (Dallari & Monaco, 2021, p.24)
LGPD e a Cultura Organizacional
Embora alguns autores enfatizem que a adaptação à LGPD por parte das empresas esteja associada à atualização de seus códigos de conduta; revisão dos procedimentos internos e das normas de segurança (Murari et. al., 2021 e Fernandes & Nuzzi, 2022), poucas pesquisas buscam analisar o papel da cultura organizacional na implementação da LGPD (Taal, 2021; Almeida Teixeira et.al., 2021; Attili et.al., 2018 e Barzotto & Costa, 2022).
A cultura organizacional, ativo intangível das organizações (Kaupp, 2018), reflete os padrões comportamentais apoiados em um conjunto de pressupostos básicos que influenciam o comportamento de membros da organização (Schein, 1992).
A literatura é consensual quando ressalta que a liderança tem um papel chave na definição, na manutenção e na internalização destes valores compartilhados (Schein, 1992).
Porém, neste novo contexto, cada empresa e cada setor dentro da própria empresa, deve buscar sua melhor forma de adaptação para o cumprimento da LGPD, isto é, deve estudar novos mecanismos de processamentos de dados e criar procedimentos que estejam alinhados à sua cultura organizacional que, segundo Schein (1992), é percebida por meio de artefatos como valores, crenças e normas compartilhados que influenciam a maneira como os funcionários pensam, interagem, sentem-se e comportam-se nas organizações.
Um espectro de análise que assessora o diagnóstico de uma cultura organizacional se dá por intermédio da adoção de tipologias culturais: construções metodológicas teóricas que, se não correspondem à realidade de uma organização, permitem a generalização de um objeto a partir de uma dada abordagem de pesquisa (Tomei et.al., 2008).
A literatura acadêmica apresenta uma variedade substancial de tipologias de cultura organizacional, amplamente aplicadas em diferentes estudos. Para a análise da cultura organizacional em organizações de saúde, esta pesquisa optou pela tipologia proposta por Quinn e Rohrbaugh (1983), conhecida como Competing Values Model (CVM), um dos modelos mais influentes utilizados para compreender a eficácia, a cultura e a liderança organizacional (Kam et al., 2021).
O CVM, como destacado por Kam et al. (2021), propõe que as organizações equilibrem valores concorrentes ao longo de duas dimensões primárias: (1) estruturas organizacionais (flexibilidade versus estabilidade) e (2) foco primário (focado internamente versus focado externamente).
Argumentamos, portanto, que a forma como uma organização equilibra estes valores concorrentes ajudará a determinar suas normas subjetivas relacionadas com a segurança e o seu ambiente geral de conformidade com a segurança, porque os funcionários normalmente agem com base no fato de a sua cultura organizacional tolerar ou condenar comportamentos específicos.
Com isso, as organizações centrar-se-ão internamente nos sistemas sociais e técnicos de suas organizações ou adaptar-se-ão ao ambiente externo definido pelas ameaças e oportunidades.
Em conjunto, esses valores formam quatro quadrantes, cada um deles significando um grupo distinto de valores organizacionais, que podem ser usados de forma individual ou simultaneamente:
(i) Cultura de Clã/Grupo, com foco interno e orientação para pessoas, onde a liderança é mais participativa, a interação entre os membros é facilitada e o tratamento da informação utiliza mecanismos coletivos;
(ii) Cultura Adhocracia/Desenvolvimento/Empreendedora, com foco externo e orientação para a organização, baseada em valores de mudança e flexibilidade, crescimento, estímulo à diversificação e criatividade na tarefa que adota um processo informacional intuitivo visando à inovação organizacional;
(iii) Cultura Hierárquica que enfatiza a estabilidade, o controle interno, a burocracia, os comportamentos baseados em regras e regulamentos, a formalidade no processo informacional e documentos para a obtenção da estabilidade e continuidade da organização;
(iv) Cultura Mercado/Racional orientada para a organização que valoriza a competição, o estilo diretivo, o alcance de metas organizacionais, mediante um processo de informação mais individualista e lógica na busca dos resultados da organização.
Quinn e Rohrbaugh (1983) ressaltam que, ao considerar múltiplos quadrantes do modelo, o que é viável dado que as organizações podem possuir diversas subculturas, pode ocorrer a criação de valores contraditórios ou concorrentes, tanto dentro de uma mesma organização quanto entre diferentes organizações.
Ao aplicar essa análise ao sistema de proteção de dados, é possível entender que uma organização pode adotar, simultaneamente, uma cultura hierárquica, focada no cumprimento rigoroso de regulamentos, e uma cultura racional, voltada para a adaptação às pressões externas do mercado.
Nesse sentido, o CVM tem sido amplamente utilizado na literatura sobre sistemas de informação para explorar diversas dimensões da relação entre cultura organizacional e a adoção de metodologias de desenvolvimento de sistemas, avaliar o impacto da transferência de conhecimento nas implementações de Tecnologia da Informação e estudar a influência da cultura organizacional no desenvolvimento de software.
Um estudo de Chang e Lin (2007) evidenciou que culturas organizacionais voltadas para o controle exercem um efeito significativo sobre os comportamentos relacionados à segurança da informação, enquanto culturas mais flexíveis apresentaram efeitos negativos ou nenhum impacto sobre tais comportamentos.
Com base nesses resultados, Kam et al. (2021) sustentam em seus estudos que determinadas culturas organizacionais podem facilitar comportamentos relacionados à segurança da informação por meio de pressões normativas, o que é confirmado em diferentes diagnósticos organizacionais realizados em organizações de saúde de diferentes contextos embasados na tipologia de Quinn & Rohrbaugh (1983), que identificam que quando a cultura hierárquica é predominante, evidencia-se a fraca prontidão para mudanças e adaptação a novas estratégias organizacionais como:
(i) na pesquisa do setor de saúde turco (Acar & Acar, 2012);
(ii) no estudo de organizações portuguesas de Mateus (2018), nas quais a rigidez, a burocratização e a falta de autonomia dos administradores hospitalares são frequentes, e,
(iii) numa maternidade australiana onde identifica-se foco em regras e regulamentos e falta de flexibilidade (Adams et.al., 2016).
Em organizações de saúde onde a cultura dominante é uma cultura de clã/grupo e cultura de mercado, identificam-se desempenhos organizacionais superiores, como é evidenciado:
(i) no estudo de Liou e Dellmann-Jenkins (2020) realizado em asilos/hospitais de Taiwan nos quais esta cultura favorecia a gestão flexível, ambiente de trabalho receptivo e bom atendimento;
(ii) na pesquisa de Carlström e Ekman, (2012) em cinco hospitais suecos nos quais a ênfase no trabalho em equipe e no empoderamento diminuiu a resistência à mudança e favoreceu a aceitação de novos padrões organizacionais;
(iii) no estudo de Mandel (2017) que correlaciona este tipo de cultura com a resiliência organizacional e os efeitos positivos de desenvolvimento organizacional e,
(iv) na pesquisa de Freitas Lourenço et.al. (2017) onde os autores analisam o caso de uma instituição de saúde portuguesa na qual se destacam os valores de competitividade e a produtividade com estratégias voltadas para o ambiente externo.
Bastos (2001) analisou as publicações nacionais com a temática cultura organizacional em instituições de saúde no período de 1983 a 1993 e, nas 104 publicações encontradas, identificou que, de maneira geral, estes trabalhos focalizam a importância da cultura na implementação de mudanças organizacionais.
Segundo a autora, “a análise das características estruturais e históricas das instituições de saúde, bem como dos símbolos materiais, verbais e comportamentais, é de fundamental importância na tentativa de solucionar problemas e implementar novos programas nestas instituições.” (Bastos, 2001, p.72)
Podemos destacar conclusões semelhantes, em dois importantes estudos realizados em 2018, que relacionam a cultura organizacional com a implementação da GDPR:
(i) a pesquisa de Lopes e Oliveira (2018) quanto à implementação do GDPR no segmento de saúde de 190 clínicas médicas portuguesas, na qual os autores constataram que a sua eficácia dependia da complexidade da atividade da empresa; do volume e da variedade de dados pessoais utilizados; do estado de maturidade da empresa; da adequabilidade e da flexibilidade dos sistemas de informação; da disponibilidade de todos os envolvidos e do tempo para a adaptação da cultura organizacional.
(ii) o trabalho de Kooistra (2018) em seis hospitais holandeses, de tamanhos diversos, concluiu que a cultura organizacional desempenha um papel decisivo na adaptação à GDPR, sobretudo quando a organização não fornece orientação objetiva da interpretação das informações contidas na lei, favorecendo o estabelecimento de políticas próprias e casuísticas. Segundo o autor, as diferentes culturas organizacionais influenciam de forma distinta os comportamentos e as práticas na adequação da lei, independentemente da forma de promover o GDPR (socialização de novos funcionários, comunicações em reuniões, jornal interno e intranet).
No Brasil, em 2022, foi realizada uma pesquisa relevante no CGI/NIC que coletou dados via questionários e entrevistas de 2.127 estabelecimentos de saúde públicas e privadas e de 1.942 profissionais de saúde para entender como eram mantidas as informações clínicas e cadastrais nos prontuários dos pacientes, bem como para categorizar as empresas pesquisadas de acordo com os indicadores definidos, incluindo os que medem como os estabelecimentos de saúde e os profissionais da área (médicos e enfermeiros) se relacionam com as tecnologias digitais e o tipo de ferramenta de segurança da informação utilizada (antivírus, criptografia da base de dados, certificado digital, assinatura eletrônica, proteção por senha etc).
Nessa pesquisa, a cultura burocrática foi evidenciada na maioria das respostas, com caraterísticas como: uso predominante de papel para registrar os prontuários dos pacientes; lançamento de informações frequentes em procedimentos complexos e alto risco quanto à integridade e segurança das informações. Esta cultura burocrática e mecanicista também foi identificada nas pesquisas de Pires e Macedo (2006) e de Vaghetti et.al (2011), com instituições públicas de saúde brasileiras, o que enfatiza que este tipo de cultura pode ser um passivo para a mudança organizacional.
Esta tipologia cultural também é identificada na pesquisa de Hawryliszyn et. al., (2021) na rede hospitalar no município de São José dos Campos, na qual os autores afirmam que a cultura da organização é um dos maiores desafios para a adequação das instituições do setor de Saúde à LGPD, já que “a cultura organizacional interage com os processos da instituição, onde fluxos bem definidos facilitam o aprimoramento e adequação à LGPD. Em alguns hospitais, ainda existem suportes nas portas de consultórios utilizados para que se deixe a ficha de atendimento ou outro documento para o atendimento médico. Neste momento, vemos a necessidade do bom uso da tecnologia, onde um prontuário eletrônico evitaria que este documento fosse visto por terceiros ou mesmo extraviado.” (Hawryliszyn et. al., 2021, p.10).
No estudo de Rocha et.al (2014) num hospital público brasileiro, no qual os autores comprovaram a relação entre a cultura organizacional burocrática e a implementação de mudanças numa instituição de saúde e enfatizaram que, quando estas organizações utilizaram ameaças e punições como instrumento prioritário de reforço comportamental, identificaram-se constantes falhas no atendimento médico.
Mas, apesar destes resultados, ao longo dos últimos anos, o CGI/NIC tem registrado um aumento no uso de computadores e acesso à internet pelas organizações de saúde, surgindo, a partir de então, os chamados “Hospitais 4.0”, onde se busca a integração dos serviços hospitalares com a tecnologia, o que foi crucial para o combate à epidemia causada pela COVID-19. Evidenciando, assim, a expansão do uso de tecnologias disruptivas, como Inteligência Artificial (IA) e Big Data Analytics, para o monitoramento de pacientes infectados, e de dispositivos de telemedicina e de análise de dados, como medida de políticas públicas. Esta cultura emergente, com fortes valores de profissionalismo e cooperação no trabalho e busca constante da satisfação do cliente, foi detectada num estudo de Vegro et.al. (2016) num hospital privado brasileiro.
Nesta pesquisa descritivo-analítica, a abordagem qualitativa foi selecionada para entender o fenômeno em sua complexidade embasada na premissa de que a escassez de estudos sobre o tema e a consciência de que as percepções que são reconhecidas por impactar as experiências das lideranças quanto ao papel da cultura organizacional na adequação de LGPD são singulares, exigindo uma análise mais profunda (Gephart, 2004).
Além dos dados secundários coletados em pesquisa documental junto às organizações de saúde selecionadas, neste estudo foram utilizados contatos pessoais para acessar cinco lideranças de organizações de saúde de diferentes naturezas jurídicas e tamanho, escolhidas segundo conveniência e acessibilidade, para a realização de entrevistas semiestruturadas por videochamada:
(i) um consultório médico privado (entrevistado 1);
(ii) uma Rede Hospitalar de Medicina Diagnóstica responsável pela gestão de: 15 hospitais; 01 Centro Médico com 379 consultórios e 30 unidades ambulatoriais de oncologia e 01 operadora de saúde (entrevistado 2);
(iii) um hospital privado (entrevistado 3);
(iv) uma Rede Hospitalar, com 12 Hospitais e 30 Clínicas distribuídos por 6 Estados Brasileiros (entrevistado 4); e
(v) uma Organização social prestadora de serviços para unidades públicas de saúde por meio de Contrato de Gestão – UPAs, Hospitais e Centros de Especialidades Municipais (entrevistado 5).
As entrevistas que, em média, duraram de 70 a 90 minutos, foram gravadas e transcritas, com a autorização dos entrevistados, e se embasaram no roteiro resumido na Tabela 1:
Foi usada análise de conteúdo para extrair as percepções dos entrevistados e os textos transcritos de todas as entrevistas foram separados em temas, formados por enunciados ou trechos dos textos transcritos que continham significações a serem isoladas e, em seguida, formaram-se três categorias, com critério semântico, reunindo os temas que remetiam ao mesmo conceito na mesma categoria (Bardin, 2016) denominadas:
(i) compromisso da liderança com a proteção de dados;
(ii) barreiras e catalizadores no cumprimento dos princípios da LGPD e,
(iii) aspectos culturais da implementação da LGPD.
Os dados foram analisados por meio de um programa qualitativo específico (Atlas.ti), ano 2020, versão 9, permitindo maior confiabilidade dos resultados e a identificação de padrões de semelhança dos dados, de forma a explorar a complexidade oculta do fenômeno investigado.
No que diz respeito às limitações do método utilizado, é importante enfatizar que a análise qualitativa de dados está sempre envolvida em dificuldades de sistematização e de interpretação (mesmo quando se usa um software) e não permite a isenção total do pesquisador com seus pré-conceitos e suas experiências. Também é preciso considerar que um tema como privacidade de dados algumas vezes expõe o entrevistado a apresentar aspectos delicados da cultura de sua organização e, apesar de se deixar clara a ética da pesquisa; a não revelação de nomes ou de qualquer informação que possa ofender sua reputação ou da sua organização de saúde, há sempre a possibilidade de este omitir determinados cenários ou particularidades.
Categoria 1: Compromisso da liderança com a proteção de dados
A análise dos resultados obtidos evidencia a estreita correlação entre a influência do GDPR na criação da LGPD e a sua repercussão na cultura organizacional brasileira, especialmente no contexto da proteção de dados no setor de saúde.
Esses resultados reforçam a relevância e o papel imprescindível da liderança, assim como o compromisso e o envolvimento dos gestores, na construção e na manutenção de uma cultura voltada à segurança e à proteção de dados. Esse aspecto já havia sido identificado em estudos sobre a GDPR na União Europeia (Fernandes et al., 2022), cuja criação enfatizava a necessidade de medidas rigorosas para a proteção de dados pessoais, particularmente diante do avanço da economia digital, das tecnologias da informação e do aumento do acesso a dados sensíveis, como os relacionados à saúde. O GDPR surgiu como uma resposta a falhas nas legislações anteriores, consideradas genéricas e ineficazes, e focou na criação de normas específicas para a proteção de dados pessoais, incluindo os dados de saúde, como uma forma de combater as lacunas normativas existentes.
A adoção do GDPR exigiu uma mudança significativa nas práticas organizacionais, que foi acompanhada pela necessidade de uma governança robusta e por uma transformação cultural dentro das organizações. As entrevistas realizadas demonstraram que, para garantir a implementação eficaz das normas, foi essencial o envolvimento ativo e informado dos líderes organizacionais. Esse engajamento é diretamente correlacionado à necessidade de líderes proativos que compreendam as implicações da legislação, especialmente em relação aos dados sensíveis, como os dados de saúde, e que estejam preparados para lidar com os novos direitos e deveres estabelecidos pelo regulamento, como a portabilidade de dados e a obrigação de reportar violações de segurança.
No Brasil, a criação da LGPD em 2018 seguiu o movimento global iniciado pelo GDPR, com o objetivo de mitigar os riscos interpretativos decorrentes da diversidade normativa e consolidar em um único documento legal as diretrizes e sanções relacionadas à proteção de dados pessoais.
No entanto, embora a LGPD tenha sido promulgada para enfrentar esses desafios, o conteúdo da lei ainda carece de maior clareza, divulgação e adaptação prática dentro das organizações, especialmente no setor de saúde, como apontado por Dallari e Monaco (2021).
Esse desafio é corroborado pelos resultados da pesquisa, que mostram que, apesar de a LGPD ter sido incorporada como um instrumento legal, ela ainda não é o principal referencial normativo dentro das organizações de saúde. As entrevistas revelaram que as organizações já haviam adotado, em grande parte, as diretrizes do Ministério da Saúde e da Agência Nacional de Saúde (ANS) sobre a proteção da privacidade e o sigilo profissional dos pacientes, normas que já impunham um dever de privacidade e que, na visão dos entrevistados, foram corroboradas pela LGPD, mas não substituídas por ela.
Esse aspecto reflete uma realidade de adaptação gradual, onde a LGPD não representou uma ruptura completa com as normativas já existentes, mas sim um reforço das práticas de proteção de dados que já estavam em andamento nas organizações de saúde.
Conforme evidenciado nas entrevistas, as principais leis brasileiras e os normativos do Ministério da Saúde e da ANS, ainda que em menor grau de coercibilidade, já estabeleciam obrigações de privacidade, que passaram a ser formalmente respaldadas pela LGPD, mas não eram inteiramente dependentes dela para sua implementação prática.
Portanto, nos casos analisados, ficou evidente que, embora o movimento de fortalecimento da proteção da vida privada e a ampliação do debate pelo mundo tenha sido essencial para a construção de uma cultura organizacional de saúde pautada na proteção da privacidade; no respeito aos princípios fundamentais e no sigilo profissional, a LGPD ainda não é o principal instrumento legal de consulta, não obstante seja um deles, confirmando o estudo de Hawryliszyn et. al. (2021) e Dallari e Monaco (2021).
Os trechos das entrevistas a seguir ilustram esta constatação:
“Já atuo há 25 anos na saúde. A LGPD só veio corroborar na saúde o que já era uma prática, que é a garantia da privacidade das informações de pacientes, sobretudo dos pacientes se pensarmos em prontuários médicos.” (Entrevistada 4)
“A meu ver, de uma forma geral, os médicos têm uma consciência muito clara em relação ao sigilo médico. Acho que é uma cultura que existe e a meu ver isso não impactou muito as coisas não.” (Entrevistado 1)
“Tenho o maior respeito por todos os processos de certificação. Mas eu acho que uma coisa é o objetivo maior e outra coisa é a prática do dia a dia. Então, assim, exemplo: o prontuário do paciente é sigiloso. Ok, sempre foi.” (Entrevistada 3)
Além disso, ao examinar os resultados da pesquisa, torna-se evidente o impacto da liderança na construção e na manutenção da cultura organizacional, particularmente no contexto da implementação de programas de proteção de dados.
Como já destacado no presente artigo, a cultura organizacional é um ativo intangível, refletindo padrões comportamentais sustentados por pressupostos básicos que influenciam as ações dos membros da organização (Kaupp, 2018 e Schein, 1992).
De acordo com Schein (1992), a liderança desempenha um papel central na definição, na manutenção e na internalização desses valores compartilhados, sendo fundamental para a adaptação organizacional às novas normas e regulamentações. Nesse sentido, a liderança não apenas orienta os comportamentos dos membros da organização, mas também garante que valores essenciais, como a segurança e a proteção de dados, estejam alinhados às exigências legais emergentes.
Neste contexto, a pesquisa corroborou a relevância da liderança no processo de implementação de programas de proteção de dados, evidenciando o impacto de seu compromisso na promoção de uma cultura voltada para a segurança da informação. Embora tenha sido observada uma resistência inicial da liderança em relação à LGPD, um reflexo comum diante de mudanças regulatórias significativas, os resultados indicam que quatro dos cinco entrevistados optaram por implementar formalmente programas de proteção de dados com base na LGPD, conduzidos por uma liderança engajada. Esse comportamento reflete uma disposição para adotar as mudanças necessárias, apesar das incertezas iniciais.
Contudo, o processo de adequação à LGPD foi gradual. Até o final de 2022, apenas uma das organizações entrevistadas havia completado integralmente as etapas de adequação em todas as suas unidades. A declaração de um dos entrevistados ilustra essa resistência inicial:
“Quando o processo iniciou aqui, existia uma certa descrença. Porque, toda lei nova que muda demais uma organização fica, aquela coisa: isso vai pegar ou não vai? Diante disso, na primeira reação da liderança houve o questionamento: ‘Mas vai pegar? É isso mesmo? Essas multas que vocês estão dizendo são muito altas?” (Entrevistado 2)
Esse depoimento evidencia a hesitação da liderança diante da mudança, uma postura que pode ser associada a uma resistência organizacional típica de contextos em que a cultura existente entra em confronto com as novas exigências normativas.
A resistência inicial à LGPD, conforme observado por Dallari e Monaco (2021), reflete as dificuldades das organizações em adaptar suas culturas estabelecidas para atender a novas regulamentações. Entretanto, a implementação de programas de proteção de dados, embora progressiva, destaca o papel essencial da liderança, conforme descrito por Schein (1992), que, ao engajar-se no processo, contribui para a transformação cultural necessária. A internalização dos novos valores organizacionais, especialmente no que tange à proteção de dados sensíveis, torna-se possível apenas com o apoio ativo da liderança.
Quanto à análise do impacto das transformações tecnológicas e administrativas nas organizações de saúde entrevistadas, a pesquisa indicou que, embora haja uma certa lentidão no processo de formalização, as grandes redes hospitalares estão avançando significativamente na implementação dessas transformações, necessárias para garantir a proteção dos dados pessoais, revelando uma clara interconexão com o debate acerca do desenvolvimento dos "Hospitais 4.0".
Esse processo é confirmado pela resposta do entrevistado que enfatizou a maior proteção dos dados armazenados, principalmente devido ao risco de ataques cibernéticos e à necessidade de garantir a segurança dos pacientes:
“Teve por conta da necessidade de proteção maior dos dados que nós temos armazenados, para eventuais ataques cibernéticos etc. Além disso, para estarmos mais seguros, deixarmos nossos clientes também seguros.” (Entrevistado 2)
Já em relação à forma de manutenção das informações clínicas e cadastrais nos prontuários dos pacientes, dois gestores entrevistados relataram que suas organizações utilizam apenas sistema eletrônico e três fazem o controle das informações de forma híbrida (eletrônico e físico), o que está proporcionalmente compatível com os resultados da pesquisa do CGI/NIC (2022).
Nesse sentido, a evolução da economia digital; o progresso das tecnologias da informação e o desenvolvimento da biotecnologia estão alinhados com a tendência crescente de digitalização nos hospitais, refletida no conceito de "Hospitais 4.0", que integra os serviços hospitalares à tecnologia.
Além disso, o uso de tecnologias disruptivas, como Inteligência Artificial (IA), Big Data Analytics e dispositivos de telemedicina, tem sido um componente essencial. Essa tendência não apenas transformou os processos de monitoramento de pacientes, mas também aumentou significativamente o volume e a complexidade dos dados gerados, exigindo medidas rigorosas de proteção e segurança.
O resultado da pesquisa, portanto, deixa evidente a necessidade de adaptar os hospitais à nova realidade digital, ao mesmo tempo em que precisam cumprir as exigências legais de proteção de dados. E o uso de tecnologias impulsiona a necessidade de uma infraestrutura robusta de segurança da informação, especialmente considerando os riscos associados a ataques cibernéticos, como mencionado pelo entrevistado. Esses ataques, cada vez mais comuns no ambiente digital, ressaltam a urgência de a liderança hospitalar garantir que a coleta, o armazenamento e o processamento de dados sensíveis estejam em conformidade com as normas de proteção.
Em relação ao gerenciamento, dos quatro gestores que implementaram um programa formal da LGPD, três nomearam um encarregado de proteção de dados (DPO), contrastando, em termos percentuais, com o baixo volume aferido na pesquisa do CGI/NIC. Porém, chama a atenção o fato de que todos esses profissionais, inclusive os das grandes Redes Hospitalares, desempenham dupla jornada, diferentemente do resultado da já citada pesquisa de Kooistra (2018), pela qual se verifica que os grandes Hospitais da Holanda tinham seus DPOs em função de tempo integral.
Embora tenha se observado o acúmulo de funções dos DPOs, foi possível constatar que não há impacto negativo no exercício da função, visto que todos esses profissionais recebem suporte de diversas áreas internas, sobretudo da Tecnologia da Informação, o que contribui para a aplicação prática da lei. Chama a atenção, ainda, que, nas grandes Redes Hospitalares entrevistadas, o DPO está alocado no Departamento Jurídico, embora uma delas tenha tido o processo de adequação gerenciado pela Diretoria de Operações, diferentemente do que ocorre nas demais que concentram seus processos de proteção de dados nas áreas de Tecnologia da Informação e de Recursos Humanos.
Como já destacado, um dos principais direitos dos titulares é a possibilidade de corrigirem ou atualizarem seus dados, assegurando que as informações pessoais armazenadas sejam precisas, completas e atualizadas. O alinhamento desse direito entre o GDPR e a LGPD é claro, pois ambas as legislações buscam garantir a transparência e a autorregulação, elementos essenciais para a construção de uma cultura de privacidade e de proteção de dados.
Além disso, o GDPR introduziu novos direitos e deveres para os indivíduos, como a portabilidade de dados, a obrigação de resposta dentro de prazos específicos, e a transparência na comunicação de violações de dados. Embora o primeiro conteúdo da pesquisa não mencione diretamente a portabilidade de dados ou o prazo de resposta, ele sugere uma crescente adaptação às normas de proteção de dados, o que implica uma integração gradual dessas novas exigências. A referência ao direito à correção de dados incompletos ou desatualizados pode ser vista como um reflexo dessa busca por transparência e conformidade com os direitos dos titulares.
A pesquisa também revela que as organizações não possuam um canal exclusivo para a correção de dados, o que reforça o resultado do estudo da Varonis (2021), que aponta que as organizações de saúde ainda estão distantes do modelo ideal de segurança, inclusive por manterem informações desatualizadas que apenas representam risco e custo, além de não agregarem muito valor.
Todavia, na presente pesquisa, verificou-se que as organizações de saúde, embora não possuam esse canal exclusivo, adotam medidas para que a adequação dos dados seja realizada de forma ampla. E essa prática pode ser vista como um esforço para garantir os direitos dos titulares.
Categoria 2: Barreiras no cumprimento dos princípios da LGPD
A análise dos resultados da pesquisa e sua relação com o referencial teórico fornecem uma compreensão mais profunda sobre os diferentes impactos da LGPD nas organizações de saúde, particularmente nas distinções entre grandes e pequenas instituições, bem como nas respostas à resistência e adequação às exigências legais.
Alguns entrevistados destacaram uma resistência significativa à LGPD, particularmente com relação ao aumento da burocracia e à percepção de que a lei seria mais aplicável aos hospitais de grande porte do que aos consultórios médicos menores. Esse posicionamento está alinhado com a pesquisa de Lopes e Oliveira (2018), que identificou resistência por parte de gestores que veem a regulamentação como um ônus, mais do que uma ferramenta útil para melhorar os processos.
Em complemento, o depoimento da entrevistada 3, a seguir destacado, descreve situações em que médicos compartilham informações de maneira informal, exemplificando a dificuldade de garantir o controle completo dos dados, sugerindo que, para alguns profissionais, a imposição de um controle rígido pode ser vista mais como um obstáculo do que como uma solução.
“Mas veja, às vezes, é muito comum que um médico compartilhe com outro para tirar uma dúvida. Fica entre eles. Mas como é que você garante que essa pessoa não vai sair e falar? Não existe um ambiente 100% controlado. Isso atrapalha o gestor ao invés de ajudar.” (Entrevistada 3)
Essa resistência à imposição de novos processos normativos e o argumento de maior burocratização do trabalho está em linha com a pesquisa de Lopes e Oliveira (2018), que aponta que o comportamento de resistência ocorre especialmente em ambientes onde as práticas informais e flexíveis são prevalentes, como nos consultórios médicos e até em hospitais menores.
Por outro lado, a pesquisa também revela que, em organizações de maior porte, como nas grandes Redes Hospitalares estudadas, o processo de adequação à LGPD ocorreu de forma mais estruturada, embora tenha sido reconhecido como trabalhoso e desafiador. O depoimento de um dos entrevistados, a seguir destacado, que fala sobre a complexidade da implementação em uma organização com 40 mil funcionários e a necessidade de um processo gradual de adaptação corrobora as conclusões de Kooistra (2018), que afirma que o processo de adequação à legislação ocorre de maneira distinta entre grandes e pequenas organizações. As grandes organizações, com maior disponibilidade de recursos humanos e financeiros, têm a capacidade de implementar mudanças em escala maior, embora o volume de trabalho e a resistência interna possam tornar o processo mais demorado e desafiador.
“Deu muito trabalho. Uma empresa com 40 mil funcionários, com o volume que tem... A gente tinha muita coisa para fazer. Então deu trabalho porque onde a gente encontrou um pouco mais de resistência, a gente teve que ir escalando para implementar todas essas mudanças.” (Entrevistado 2)
Esse contexto reflete as diferenças na forma como organizações de diferentes portes respondem às exigências legais, como evidenciado nas contribuições de Liou e Dellmann-Jenkins (2020); Carlström e Ekman (2012); Mandel (2017) e Freitas Lourenço et al. (2017).
Em organizações com culturas dominadas por clã/grupo ou mercado, os desempenhos organizacionais tendem a ser superiores. No estudo de Liou e Dellmann-Jenkins (2020), por exemplo, foi identificado que, em ambientes de saúde com uma cultura de grupo, como em asilos e hospitais, a gestão flexível e o ambiente de trabalho receptivo favoreciam a implementação de mudanças e a melhoria contínua no atendimento.
Da mesma forma, Carlström e Ekman (2012) mostram que uma forte ênfase no trabalho em equipe e no empoderamento diminui a resistência à mudança e facilita a adoção de novos padrões organizacionais, uma característica observada nas Redes Hospitalares de grande porte que enfrentaram desafios para a implementação da LGPD, mas com maior capacidade de mobilizar recursos e vencer a resistência interna.
Além disso, Mandel (2017) aponta que a cultura organizacional relacionada a clã/grupo e mercado contribui para a resiliência organizacional, um atributo crucial quando as organizações precisam se adaptar a novas regulamentações. No contexto da LGPD, isso significa que aquelas organizações com um perfil mais cooperativo e orientado para o mercado, com forte foco na competitividade e produtividade, conseguem adaptar-se mais rapidamente a mudanças e responder melhor às pressões externas, incluindo aquelas relacionadas à conformidade regulatória.
A pesquisa de Freitas Lourenço et al. (2017) também contribui para essa análise ao identificar que, em algumas instituições de saúde, especialmente naquelas com forte foco em competitividade, os valores voltados para o ambiente externo, como o atendimento ao cliente e a inovação, podem impulsionar a aceitação e a implementação de novas regulamentações, como a LGPD. Isso é particularmente relevante no caso das grandes Redes Hospitalares analisadas na pesquisa, que, apesar das dificuldades iniciais, têm maior capacidade de responder às demandas externas, alocando recursos necessários para garantir a conformidade com a LGPD.
No que diz respeito ao treinamento e à gestão de conhecimento dos funcionários sobre a LGPD, identificou-se que as organizações que possuem Programa LGPD realizaram a sua divulgação e as recomendações para os funcionários, bem como comprometeram-se com a capacitação interna, investindo em treinamentos, de modo a garantir que conhecessem e vivenciassem a LGPD no cotidiano de trabalho, refletindo realidade semelhante à identificada na pesquisa de Kooistra (2018):
“O que mudou neste sentido, a partir da lei, foi uma disseminação do próprio conteúdo da lei, num formato obrigatório, em caráter de treinamento, para 100% da Instituição.” (Entrevistada 4)
“Nós temos grupos de estudos. Nós promovemos encontros de debates envolvendo privacidade. Em toda a Companhia, sem restrição de cargo, tempo de cargo etc.” (Entrevistado 2)
Kooistra (2018) argumenta que a cultura organizacional desempenha um papel decisivo na implementação de regulamentações como a GDPR, principalmente quando a organização não oferece uma interpretação clara das obrigações legais, o que leva as instituições a desenvolverem políticas próprias e casuísticas. Isso ocorre porque as diferentes culturas organizacionais podem influenciar de maneira distinta as práticas e os comportamentos dos membros da organização no que diz respeito à adaptação à lei.
A resistência e as diferentes formas de adotar as regulamentações legais são, portanto, influenciadas pelas características culturais internas de cada organização.
No caso da pesquisa realizada, os resultados apontam para um comportamento semelhante com as organizações que implementaram programas de adequação à LGPD, destacando-se pelo esforço em disseminar o conteúdo da lei de maneira obrigatória, por meio de treinamentos abrangentes. As falas dos entrevistados, como "O que mudou neste sentido, a partir da lei, foi uma disseminação do próprio conteúdo da lei, num formato obrigatório, em caráter de treinamento, para 100% da Instituição" (Entrevistada 4) e "Nós temos grupos de estudos. Nós promovemos encontros de debates envolvendo privacidade. Em toda a Companhia, sem restrição de cargo, tempo de cargo etc." (Entrevistado 2), indicam que essas organizações adotaram medidas ativas para garantir que todos os colaboradores, independentemente de cargo ou tempo de empresa, fossem capacitados e envolvidos na implementação da LGPD.
Essas práticas reforçam a ideia de que, em contextos organizacionais com forte cultura de engajamento e compromisso com a formação contínua, a adequação à lei não é apenas uma questão de conformidade legal, mas também uma oportunidade de internalização de valores relacionados à privacidade e segurança de dados no dia a dia dos empregados.
A similaridade com o estudo de Kooistra (2018) é evidente, especialmente no que diz respeito à importância de uma comunicação clara e objetiva, bem como à realização de treinamentos e à promoção de discussões internas, como estratégias adotadas pelas organizações para garantir a eficácia da implementação da lei.
A pesquisa desse autor também destaca que as organizações com uma cultura organizacional mais estruturada e com maior foco na educação e engajamento dos seus membros são mais propensas a superar as dificuldades iniciais e a garantir a conformidade com regulamentações complexas como a GDPR, o que também se reflete na realidade da LGPD no Brasil.
No que se refere à segurança da informação e à cultura organizacional relacionada à proteção de dados, a pesquisa evidencia que todas as organizações que implementaram um programa formal de LGPD incorporaram ferramentas de segurança da informação, como assinatura eletrônica, e-mails criptografados e proteção por senha. Isso confirma uma evolução no uso de tecnologias para proteger os dados, conforme identificado na pesquisa do CGI/NIC (2022).
Essas práticas sugerem uma tentativa de avanço para uma cultura de segurança da informação mais robusta, embora algumas lacunas ainda persistam.
No entanto, apesar dos investimentos em segurança da informação, a pesquisa também revela que as organizações ainda enfrentam desafios na proteção dos dados sensíveis. Apenas uma das Redes Hospitalares utiliza tecnologias de anonimização de dados, o que é uma medida avançada para garantir a proteção dos dados dos pacientes de maneira mais eficaz. Isso sugere que, embora haja um movimento em direção à conformidade com a LGPD, a implementação de tecnologias mais sofisticadas ainda é incipiente em muitas organizações.
A menção de um episódio de vazamento de dados, conforme abaixo evidenciado, envolvendo a impressão indevida de um prontuário médico, ilustra as vulnerabilidades remanescentes nas práticas de proteção de dados, mesmo após a implementação do Programa LGPD. A falha mencionada pelo entrevistado reforça a ideia de que a transformação cultural necessária para uma plena conformidade com a LGPD não é imediata e a implementação de medidas de segurança continua sendo um processo contínuo e dinâmico.
“Nós tivemos uma situação específica, que está em análise, que envolve um profissional médico que fez a impressão de um prontuário, que acabou sendo utilizado num determinado processo judicial. (...) houve até a mudança da governança na época. (...). Foi bem no começo na LGPD. Mas, para mim, foi uma falha.” (Entrevistado 2)
Essa análise é corroborada pela pesquisa do CGI/NIC de 2022, que apontou que a maioria dos estabelecimentos de saúde ainda apresenta uma cultura burocrática, com a predominância do uso de papel nos registros e a manipulação de informações de forma manual, o que dificulta a segurança e integridade dos dados. Essa cultura burocrática é vista como um passivo para a mudança organizacional, conforme as pesquisas de Pires e Macedo (2006) e de Vaghetti et al. (2011).
A resistência à mudança e a persistência de práticas antiquadas, como o uso excessivo de papel, tornam a adaptação à LGPD mais desafiadora e contribuem para as vulnerabilidades no tratamento de dados sensíveis.
Categoria 3: Aspectos culturais da implementação da LGPD
A análise da internalização dos valores da LGPD nas organizações de saúde entrevistadas revela que a cultura de proteção de dados dessas instituições ainda não se reflete visivelmente nas áreas com predominância da atividade-fim, como os espaços de circulação de pacientes. Essa falta de visibilidade dos artefatos culturais da LGPD, como sinais claros ou jargões corporativos sobre proteção de dados, corrobora os achados de Taal (2021) e Attili (2018).
Em termos da teoria de Schein (1992), a cultura organizacional é composta por artefatos (elementos visíveis), valores e crenças compartilhados, que moldam as práticas e comportamentos dos membros da organização. Nesse contexto, a cultura de proteção de dados deveria ser evidenciada por artefatos visíveis que comunicassem claramente aos empregados e aos pacientes os compromissos da organização com a segurança e a privacidade dos dados.
A ausência desses artefatos visíveis fragiliza a transparência na relação com os pacientes, como evidenciado pelo depoimento da entrevistada 3, abaixo destacado, que relata uma mudança nas práticas internas (como o rastreamento de acessos e a proibição de compartilhamento de senhas) que, embora impacte os empregados, não se traduz em uma mudança visível ou percebida pelo paciente.
“Para o paciente a gente não teve muita mudança, mas para o colaborador, sim. A gente aqui compartilhava senha com os colaboradores e hoje em dia não pode mais porque agora os acessos são rastreados.” (Entrevistada 3)
A reflexão de Schein sobre a importância da cultura organizacional na internalização de normas e valores é confirmada no caso em questão. A implementação de mecanismos que assegurem a conformidade com a LGPD deve ser acompanhada de uma transformação cultural que, para ser efetiva, precisa ser visível tanto para os empregados quanto para os pacientes. Caso contrário, como no exemplo relatado, a adequação à LGPD pode ser percebida de forma restrita e limitada, sem impactar diretamente a percepção do paciente sobre o comprometimento da organização com a proteção de seus dados pessoais.
A presente pesquisa identificou, ainda, um fator cultural relevante relacionado às organizações com perfil de empresa familiar ou com forte apego à figura do fundador, especialmente em três das cinco organizações entrevistadas. Nesses casos, foi observada uma resistência significativa à formalização de processos, incluindo a inserção de uma cultura robusta de proteção de dados, antes da contratação de gestores externos ou da fusão com empresas estrangeiras. Esse comportamento pode ser compreendido dentro do contexto mais amplo das dinâmicas culturais das empresas familiares que, frequentemente, são marcadas por práticas informais, hierarquias menos estruturadas e uma centralização do poder decisório, muitas vezes, nas mãos do fundador ou de um pequeno grupo familiar.
A resistência à implementação de processos formais, como os exigidos pela LGPD, pode ser atribuída a diversas características típicas de organizações familiares.
Primeiramente, existe uma confiança intrínseca nas relações pessoais e nos métodos de gestão informal, o que, muitas vezes, minimiza a percepção de risco associado à falta de formalização. Além disso, empresas familiares tendem a ter uma cultura mais flexível, onde decisões importantes são tomadas por indivíduos chave, sem a necessidade de recorrer a processos e normativas padronizadas. Nesse contexto, a introdução de regulamentações externas e a exigência de uma estrutura de compliance podem ser vistas como intrusivas e incompatíveis com os valores organizacionais estabelecidos.
O trecho da entrevista do entrevistado 2, revela uma clara mudança no processo de decisão e cultural da organização, gerada pela intervenção de um controlador estrangeiro, mais especificamente um controlador americano:
"Pelo fato de a gente ter um controlador americano, o americano é meio neurótico com essa questão de estar 100% em compliance. No nosso caso, não teve isso de a lei pega ou não pega. Ele disse: Vamos!" (Entrevistado 2)
Nesse contexto, a frase "o americano é meio neurótico com essa questão de estar 100% em compliance" reflete a perspectiva da liderança externa, para quem a conformidade com a legislação não é uma opção, mas uma obrigação irrevogável. Essa postura reflete uma abordagem culturalmente enraizada nas organizações norte-americanas, onde o compliance é tratado de forma rigorosa e onde a implementação de processos formais de proteção de dados não é apenas uma questão legal, mas uma prioridade estratégica.
Já a afirmação de que "não teve isso de a lei pega ou não pega" destaca a clareza e a firmeza com que o controlador externo impôs a adaptação à legislação, sem considerar alternativas ou exceções. Para ele, o cumprimento da lei não era negociável, e a adesão à LGPD foi entendida como um passo necessário, não apenas para assegurar a conformidade legal, mas também para preservar a reputação da organização e evitar riscos significativos.
Esse comportamento, embora possa ser interpretado como uma intervenção externa necessária, também exemplifica um fenômeno cultural mais amplo observado em empresas familiares: a mudança cultural muitas vezes só ocorre quando uma força externa, como um novo gestor ou uma fusão com uma organização que já opera sob rigorosos padrões de compliance, pressiona para a formalização de práticas que antes eram tratadas de maneira informal. A transição de uma cultura organizacional mais autônoma e flexível para uma abordagem mais formal e controlada, em que processos e controles são essenciais, representa um desafio significativo para a liderança familiar.
Dentro da teoria organizacional, esse fenômeno pode ser entendido à luz da obra de Schein (1992), que aborda a resistência à mudança cultural dentro das organizações, especialmente quando novos valores e práticas exigem adaptação a uma nova realidade organizacional. A resistência encontrada nas empresas familiares pode ser vista como um reflexo da sua cultura profundamente enraizada, que valoriza a flexibilidade, a confiança e as relações pessoais. No entanto, a introdução de uma liderança externa, como no caso do controlador americano, representa uma ruptura com essa cultura, que forçou a organização a adotar práticas mais formais, em conformidade com a LGPD.
Na análise das entrevistas realizadas, emergiu um discurso unificado sobre a presença de uma cultura organizacional baseada em valores como integridade, honestidade, privacidade, cooperação e profissionalismo, os quais desempenharam um papel fundamental no engajamento das organizações à implementação da LGPD.
Esses valores, reconhecidos pelos participantes das entrevistas, evidenciam uma sintonia entre as normas legais e os princípios culturais internos das empresas. Essa congruência reforça as afirmações de Vegro et. al. (2016) e evidencia como os valores organizacionais podem impulsionar a adesão a práticas que, embora legais, exigem um esforço contínuo e envolvimento de todos, conforme ilustram os trechos abaixo transcritos:
“Numa empresa com 40 mil funcionários, você ter, em números reais, 86% de treinamento realizado é um índice alto para um treinamento de privacidade não mandatório. Se não houvesse engajamento do time isto aconteceria? Tem também a questão da integridade, que é muito dia a dia nosso. Então, jogar o jogo certo, seguir a regra correta, é muito importante, nem que seja pela preocupação de não cometer um ato falho, de não cometer um erro honesto, como se diz.” (Entrevistado 2)
“Percebo que os funcionários se sentem integrando uma grande família. Muito disso vem do próprio direcionamento do negócio que, tem muito o foco em preservar a privacidade, o sigilo, mas também tem grande preocupação com o respeito aos funcionários e preza pela liberdade de expressão.” (Entrevistada 5)
Em consonância com o trabalho de Almeida Teixeira (2021), o valor da integridade, explicitamente mencionado pelos entrevistados, tem um papel central na adaptação à LGPD.
O fato de a integridade ser um dos cinco valores fundamentais da empresa reforça a ideia de que o cumprimento da lei, em especial a LGPD, não é visto apenas como uma obrigação legal, mas como uma extensão natural da identidade organizacional.
Nesse sentido, a conformidade com a LGPD é uma extensão do compromisso ético da organização em cumprir suas responsabilidades de forma justa e transparente. Isso demonstra como os valores culturais da organização podem servir como base para a internalização de normas legais, criando uma cultura de compliance que vai além do simples cumprimento de regras, mas se entrelaça com os princípios centrais da organização, o que pode ser observado no trecho da entrevista destacado abaixo:
“A gente tem cinco valores na empresa. O primeiro deles é a integridade. Integridade tem várias facetas. Mas o cumprimento do que é lei, o cumprimento do que é certo talvez seja um bom resumo disso. Então, sendo um dos cinco valores, o primeiro dos valores, cumprir lei, ser íntegro nesse sentido, ele é condição sine qua non, para se fazer qualquer carreira aqui dentro.” (Entrevistado 2)
Contudo, o estudo também revelou variações na tipologia cultural das organizações entrevistadas, o que reflete uma diversidade de abordagens em relação à adaptação à LGPD. A classificação das organizações segundo o modelo de Quinn e Rohrbaugh (1983) revelou que, três das cinco organizações, possuem uma cultura de mercado ou objetivos. Essas organizações se concentram na realização de metas, controle e produtividade, características que, de acordo com Mandal (2017) e Carlström e Ekman (2012), são típicas de instituições que buscam se manter competitivas e eficientes no setor de saúde. A ênfase na competitividade e na eficiência, como retratado nas entrevistas, revela uma orientação clara para resultados e metas específicas, conforme trechos destacados a seguir:
“Olha, a prática da empresa é de aproximação e participação. Ela vem trabalhando muito esse aspecto da valorização da cultura e traz alguns tópicos que são relacionados a isso, a convidar a participação, o máximo de pessoas para as tomadas de decisões ou para contribuições que possam levar à tomada de decisão do âmbito da matriz de responsabilidade. Existe ainda uma hierarquização...ela tem mais uma um desenho cartesiano do que grau 360. Mas é muito característico das instituições de saúde, porque você, de fato, tem algumas posições que se conservam para o modelo de gestão se concretizar, ter a performance e avaliar o negócio como um todo.” (Entrevistada 4)
A observação da entrevistada 4, sobre a valorização da participação nas decisões e o foco na maximização da performance e da responsabilidade, ilustra como as organizações com essa tipologia cultural se adaptam às mudanças, como a implementação da LGPD, não apenas para cumprir uma exigência legal, mas para melhorar sua competitividade e posição no mercado.
“Nós somos prestadores de serviços públicos, por meio de contrato de gestão e toda nossa atuação é guiada pelo que prevê o contrato. Percebemos que a organização tem um foco importante nas pessoas e valoriza os perfis agregadores, já que esse é o perfil que entendemos que melhor integra o grupo e dá mais tranquilidade para a gestão.” (Entrevistada 5)
Além disso, a ênfase no cumprimento de contratos e a valorização do perfil agregador das pessoas dentro da organização, destacada pela entrevistada 5, reforça a ideia de que organizações com uma cultura de mercado estão mais dispostas a alinhar-se a práticas que assegurem o cumprimento das normativas regulatórias, como a LGPD, para garantir estabilidade e continuidade dos negócios.
A cultura de mercado está frequentemente associada a uma liderança diretiva, orientada para o cumprimento de objetivos e para a busca contínua de resultados positivos, o que contribui para a adaptação das organizações a novas exigências legais, como as impostas pela LGPD.
Observou-se, também, que uma das organizações entrevistadas apresentava uma cultura alinhada ao modelo de Clã ou Apoio, caracterizada pela ênfase na flexibilidade, foco interno, trabalho em equipe, participação e envolvimento das pessoas, conforme identificado nas pesquisas de Liou e Dellmann-Jenkins (2020) e de Freitas Lourenço (2017).
A flexibilidade inerente a essa tipologia cultural pode dificultar a formação de normas subjetivas dentro dessas culturas organizacionais. O estabelecimento de normas subjetivas exige tempo e consistência nos processos, sendo que tal desenvolvimento pode não ser viável quando as políticas, procedimentos e rotinas estão em constante mudança, o que tende a ocorrer com maior frequência nos tipos culturais mencionados (Kam et al., 2021).
Essa tipologia cultural altamente flexível, com foco interno, foi identificada no Consultório Médico que não se adequou nem pretende se adequar às regras estabelecidas pela LGPD, uma vez que considera os normativos existentes suficientes para garantir a conformidade com a proteção de dados. Esse posicionamento corrobora, ainda, os argumentos de Jacobs et al. (2013) que destacam a importância de considerar as subculturas de pequenas unidades dentro das organizações.
Nesse contexto, observou-se que quatro das cinco organizações entrevistadas apresentam um perfil voltado para as culturas de Mercado e Clã, com fortes características burocráticas, conforme apontado nos estudos de Pires e Macedo (2006) e Rocha (2014).
Essa classificação também se alinha às respostas sobre o uso do nome social por pacientes. Embora exista legislação específica que garante o direito ao uso do nome social por pessoas travestis e transexuais, quatro dos cinco gestores entrevistados relataram que suas organizações adotam procedimentos rigorosos, exigindo a apresentação de documentos de identificação oficiais. Essa prática pode comprometer o direito à personalidade dessas pessoas e acarretar o uso indevido de dados sensíveis, como informações sobre a vida sexual e aspectos genéticos relacionados ao transexualismo.
Por fim, foi identificada apenas uma organização com uma cultura predominante de Adhocracia (Quinn & Rohrbaugh, 1983), onde a inovação, o empreendedorismo e a disposição para correr riscos são altamente valorizados. Essa organização busca uma posição competitiva no mercado global, favorecendo a implementação da LGPD para consolidar sua posição estratégica e facilitar a aquisição de recursos, conforme apontado por Dallari e Monaco (2021) e Lopes e Oliveira (2018).
O depoimento do entrevistado ilustra essa escolha:
“Toda empresa está concorrendo no mercado. E a gente precisa entender que a gente precisa de inovação, que é um outro valor da empresa. Só que a gente tem que jogar o jogo dentro das quatro linhas, junto com a regra debaixo do braço. Não adianta eu dizer assim: ah, eu vou vender plano de saúde para um determinado grupo, cliente x, ele tem cinco mil vidas e é um excelente contrato... se, na verdade, esse grupo está querendo uma série de informações dos beneficiários que, pela lei, não devo compartilhar. Isso não é uma coisa da Organização que eu trabalho.... Essa é uma cultura que a gente vê muito. Antes da LGPD eu acho que existia uma fragilidade na forma de transferências pontuais de dados. Isso é uma coisa que mudou o mercado.” (Entrevistado 2)
A LGPD, amplamente inspirada pelo GDPR da União Europeia, foi estruturada com o objetivo de assegurar a privacidade e a segurança das informações pessoais, incluindo os dados tratados no setor de saúde.
A implementação da LGPD no Brasil reflete uma crescente necessidade de regulamentar o uso e o compartilhamento de dados pessoais, em resposta a um cenário digital global em constante evolução, evidenciando a importância da conformidade internacional.
Os resultados desta pesquisa evidenciaram que há um movimento crescente de fortalecimento da proteção da vida privada, da valorização e respeito às informações e a disponibilização de dados pessoais nas organizações de saúde.
Ainda identificamos brechas na implementação e na adequação à LGPD, mas, na maioria das vezes relacionadas aos comportamentos humanos que ainda não internalizaram os princípios e os valores referentes à proteção de dados.
Assim sendo, neste trabalho reforçamos que existe uma forte relação entre a cultura organizacional, o porte da organização e à adequação à LGPD das instituições de saúde brasileiras.
As organizações de saúde brasileiras têm reconhecido que integrar a LGPD à sua cultura organizacional é fundamental para aumentar suas chances de sobrevivência em um ambiente altamente competitivo e, nesse processo, a liderança desempenha um papel central, garantindo que os valores organizacionais de proteção de dados pessoais, tanto dos pacientes quanto dos empregados, sejam internalizados e aplicados em todas as esferas da organização, promovendo um ambiente de confiança e cooperação, como destacado no estudo de Vegro et. al. (2016).
O trabalho confirma pesquisas que reforçam que organizações onde predominam culturas burocráticas e hierárquicas oferecem barreiras para a implementação da LGPD (Davies et.al., 2009; Bassalobre Garcia, 2015; Acar & Acar, 2012; Mateus, 2018 e Adams et.al., 2016) e são potenciais fontes para falhas e sanções (Bioni, 2019 e Rocha et.al., 2014).
Por outro lado, as organizações nas quais predomina uma cultura de adhocracia, inovadora e empreendedora, com práticas de valores como a cooperação; a inovação; o empreendedorismo e o profissionalismo (Vegro, 2016), favorecem o processo de adequação ao regramento.
A cultura organizacional, portanto, é considerada um determinante-chave tanto no funcionamento dos sistemas de saúde quanto na qualidade dos cuidados prestados e pode constituir uma barreira ou uma alavanca para o desenvolvimento de um serviço de excelência (Davies et. al., 2009; Bassalobre et. al., 2015 e Mocydlarz-Adamcewicz, 2021).
A avaliação da cultura organizacional oferece um roteiro de desafios que podem ser encontrados no processo de adequação ao regramento da LGPD, favorecendo a implementação de ações que se desenvolvam em comportamentos paralelos, e não apenas num método ou abordagem unidirecional como muitas vezes é apresentado nos manuais de implementação da lei.
Nesse sentido, o gerenciamento cultural das organizações de saúde precisa focar em alguns fatores críticos como:
· a mudança de artefatos visíveis, como os espaços de circulação de pacientes, e de jargões corporativos para a fixação da nova identidade organizacional;
· a capacitação dos trabalhadores sobre a LGPD para o reconhecimento de seu valor e importância para o desempenho organizacional e para o fortalecimento da proteção da vida privada, garantindo que as decisões sobre o envolvimento da equipe sejam congruentes com os novos valores culturais;
· o comprometimento da liderança, em todos os níveis, com a nova maneira de trabalhar, com a comunicação de mensagens consistentes e o reforço no alinhamento do discurso e das práticas da alta administração com a LGPD, desempenhando um papel ativo e visível para impulsionar a nova cultura, demonstrando como o trabalho deve ser realizado, e quais os novos comportamentos são esperados das pessoas; · a diversidade na equipe responsável pela mudança, incluindo representantes de diferentes níveis e partes da organização, ou consultores externos, ampliando a percepção e o impacto da transformação cultural; · a implementação da LGPD com o envolvimento da gestão e dos empregados priorizando valores de cooperação e profissionalismo, e incentivando o desenvolvimento de relações de confiança; · a criação de uma cultura de proteção de dados que garanta a segurança das informações em poder das organizações de saúde, exemplificando e demonstrando constantemente quais as melhores práticas para o seu desenvolvimento, assim como as atitudes e os comportamentos que devem ser evitados, comunicando a necessidade de uma nova maneira de trabalhar, deixando claro como a nova cultura se encaixa na visão geral da organização e articulando como deve ser a cultura desejada; · a identificação de aspectos da cultura atual, que se encaixam na nova visão cultural e precisam ser preservados, respeitando as barreiras culturais na adaptação dos sistemas de informação à LGPD; · a implementação da LGPD com uma abordagem progressiva, que se inicia através do levantamento da rede de processos, reforçando e reconhecendo os casos de sucesso, para que gradualmente as organizações de saúde possam, ao longo de seu ciclo de vida, aprender com seus erros; · a adaptação das operações de tratamento de dados à LGPD, com impacto mínimo na missão das organizações de saúde, reforçando o conhecimento dos valores culturais e encorajando o storytelling e o uso de “role model” (pessoas que podem dar exemplo da nova cultura pelo comportamento) e de “walk the talk”; · a ritualização da realização de auditorias de segurança, gerando evidências do grau de conformidade com a LGPD e diagnosticando constantemente como os diferentes membros da organização estão aderindo à nova cultura, levando em conta que o engajamento pode variar durante diferentes estágios do processo de mudança; · a garantia dos recursos e dos meios necessários à adaptação da organização, habilitando a mudança de cultura por meio da infraestrutura; criando canais de comunicação institucional dedicados à LGPD e reforçando a alteração cultural via sistema de premiação/punição; · a criação de uma equipe descentralizada de pivôs para proteção de dados, que garanta que a avaliação da mudança cultural seja contínua e assegure que a organização tenha os Indicadores Chave de Desempenho, os KPIs, necessários para avaliar o seu impacto; · a equalização da rigidez normativa com o avanço tecnológico e social; a construção de mecanismos de desburocratização e ascensão de processos de atendimento e estar em compliance com normativos em geral e complementares, sempre valorizando a confiança do titular dos dados e garantindo o respeito ao princípio da dignidade da pessoa humana.
Por fim, considerando-se que pode não haver um efeito universal da cultura organizacional nos comportamentos relacionados com a segurança e que as diferentes tipologias culturais podem criar valores conflitantes dentro das organizações, recomenda-se, para trabalhos futuros, o diagnóstico cultural de instituições de saúde embasado numa amostra probabilística segmentada segundo tamanho e setor, onde se possa verticalizar uma análise comparativa das diferentes realidades culturais, de modo a permitir melhor compreensão acerca da resistência à adesão à regra geral instituída pela LGPD.
