Há um antigo provérbio sul-africano que diz o seguinte: “Quando você quiser comer um elefante que está no seu caminho, faça-o fatia por fatia”. Evidentemente, isso não é uma dica de como consumir o animal literalmente. O que se quer dizer é que a melhor forma de solucionar um grande problema, superar um desafio ou absorver um grande conteúdo é dividir isso em partes, para lidar com elas uma por uma.

O Compliance empresarial  pode ser considerado um grande elefante, tendo em vista as várias áreas com as quais ele dialoga frequentemente. Por esse motivo, divide-se esse tema em diferentes recortes, através de diferentes enfoques e abordagens. Algumas delas são: Compliance Financeiro, Tributário, Fiscal, Bancário, Trabalhista, de Segurança da Informação e de Saúde, também conhecido, no mercado, como “Compliance Healthcare”, tema deste artigo. Mas…

A palavra Compliance tem origem no verbo inglês “to comply” (cumprir, sendo frequentemente traduzida como “conformidade”. Assim, o conceito tem relação com o ato de estar de acordo com as leis e regulamentos gerais e setoriais, bem como com os normativos internos da organização e com as melhores práticas empresariais.

Levando isso para uma visão micro, no contexto do segmento da saúde, o Compliance atua como um suporte regulador das instituições de saúde, observando o cumprimento de determinações e diretrizes relativas ao setor. São avaliadas as relações entre pacientes, colaboradores e fornecedores, atendimentos, compra, controle e qualidade de materiais e insumos, licenças e autorizações específicas para atividades hospitalares, entre outras questões.

Diante da crise sanitária que o mundo inteiro viveu nos últimos anos, que culminou com a eclosão da pandemia, com danos imensos a todas as esferas de nossas vidas, o setor de saúde se mostrou essencial para a humanidade. Isso, contudo, não o impede de ser um dos contextos em que mais pode haver atos antiéticos dos mais diversos graus. Conflito de interesses, fraudes, corrupção, lavagem de dinheiro, negociatas, manipulação de informações, vazamento de dados sigilosos, entre muitas outras irregularidades. Frente a isso, o Compliance se torna importante para prevenir o envolvimento da organização em problemas e perdas.

Publicado em 1996 nos Estados Unidos, o Health Insurance Portability and Accountability Act (HIPAA), traduzido como “Lei de Portabilidade e Responsabilidade do Seguro de Saúde”, foi o primeiro passo para a introdução do conceito de Compliance na área da saúde. Esse estatuto transformou o fluxo de dados e as normas de privacidade nas instituições de saúde, proibindo a divulgação de informações pessoais de pacientes sem seu consentimento.

Isso abriu caminho para a discussão sobre o tema, desencadeando mais tarde, no ano de 2010, a publicação do Affordable Care Act (ACA), traduzido como “Lei de Cuidados Acessíveis”, que tornou obrigatória a implementação de Compliance para empresas farmacêuticas e prestadoras de serviços médico-hospitalares no país.

Essas e outras leis estadunidenses serviram de referência para diversos países, dentre os quais está o Brasil:

Seguindo o exemplo dos Estados Unidos, o Brasil promulgou leis nos últimos anos que trazem avanços para os dispositivos de Compliance no contexto empresarial. Veja algumas delas:

A chamada Lei Anticorrupção foi um dos maiores marcos – senão o maior – para a história do Compliance no Brasil. Inspirada no regulamento estadunidense do Foreign Corrupt Practices Act (FCPA) de 1977, e de outros normativos que vieram consolidando o combate às práticas ilegais que vieram na esteira deste ato, ela trouxe ao ambiente empresarial brasileiro, como um todo, mais entendimento sobre a importância dos programas de Compliance, colaborando, assim, para que instituições de saúde adotassem práticas que aperfeiçoassem suas relações com pacientes, representantes, fornecedores e colaboradores.

Cada vez mais, a Governança Corporativa tem ganhado espaço no cenário empresarial brasileiro, e o setor de saúde não tem ficado de fora disso. A Resolução Normativa n° 433 de 2019, publicada pela Agência Nacional de Saúde Suplementar (ANS), se refere à “adoção de práticas mínimas de governança corporativa, com ênfase em controles internos e gestão de riscos, para fins de solvência das operadoras de planos de assistência à saúde”. Isso significa que, para não serem penalizadas pela lei, empresas do setor devem aderir aos princípios de transparência, equidade, prestação de contas e responsabilidade corporativa em todas as suas atividades.

Esse acontecimento trouxe ainda mais importância ao Compliance no setor de saúde, que serve como um guardião que observa o devido cumprimento de normas como a própria RN 433.

Aprovada em agosto de 2018 e com vigência a partir de agosto de 2020, a Lei Geral de Proteção de Dados (lei nº 13.709) foi outra importante mudança para o contexto empresarial brasileiro. Isso porque, a partir dela, quis se promover normas e práticas padronizadas relativas à segurança e privacidade de dados pessoais de indivíduos.

Vale lembrar que dados pessoais são todos aqueles capazes de identificar indivíduos, assim como localizá-los ou acioná-los direta ou indiretamente. Deste modo, todas as empresas devem seguir diretrizes para garantir a proteção das informações sigilosas que possui sobre outras pessoas. O não-cumprimento das regras poderá acarretar multas rígidas.

O que isso tem a ver com instituições de saúde? Tudo. Partindo da premissa de que tais organizações fornecem e fazem gestão sobre informações de saúde de diversas pessoas, pode-se dizer que há dados extremamente delicados em suas mãos. A própria lei faz taxativamente a distinção legal entre dados pessoais e dados pessoais sensíveis: estes últimos são aqueles que contêm informações ainda mais particulares de uma pessoa, podendo expor vulnerabilidades ou características que podem suscitar atos discriminatórios, com repercussão ainda mais crítica à esfera pessoal do ofendido. É aí que se encaixam os dados de saúde. Quem é que quer ver espalhados por aí dados sobre peculiaridades ou fragilidades de sua própria saúde?

O que aconteceria, por exemplo, se o diagnóstico de um famoso fosse vazado na mídia sem seu consentimento? E se um paciente, não necessariamente famoso, não quisesse expor um problema a seus amigos e familiares, mas visse seu prontuário médico sendo vazado, ao alcance de qualquer um?

É pensando nessa criticidade que instituições de saúde devem se atentar à seguridade dos seus fluxos de informações para não descumprir o que está estabelecido na LGPD.

O processo de implementação de um programa de Compliance na sua empresa requer o envolvimento, atenção e engajamento enérgico de diversas áreas. Mesmo que os profissionais incumbidos dessa tarefa trabalhem de maneira impecável, o resultado do esforço deles não será tão eficiente se não houver engajamento dos demais setores.

Veja, portanto, algumas boas práticas para aderir ao Compliance em sua organização e entenda como cada parte pode colaborar nessa atividade:

Uma das principais missões do Compliance é tornar a gestão de ameaças mais sólida e bem-formada, dificultando a ocorrência de eventuais contratempos para a empresa.

Entretanto, para que esse cuidado em relação aos possíveis problemas seja efetivo, é importante que se analise e mapeie todos os perigos à existência e reputação da organização, dos mais prováveis para os mais difíceis de ocorrerem e dos mais impactantes para os menos preocupantes. Uma boa sugestão, então, é a elaboração de uma Matriz de Risco. A sua empresa já possui uma?

A Matriz de Risco elenca as maiores e menores ameaças à integridade, segurança, reputação e perenidade da empresa. Ela serve como referência para que o Conselho de Administração entenda que fragilidades e problemas devem ser solucionados ou precavidos com urgência.

Esse material, embora seja idealmente feito pela Área de Riscos da empresa sob o comando do Diretor de GRC (Governança, Riscos e Compliance), é produto de um trabalho feito a muitas mãos. Todos os setores contribuem no desenvolvimento dessa ferramenta à medida que expõem as falhas e vulnerabilidades de seus processos, de forma verdadeira e refletindo sua real dimensão e potencial impacto.

Uma empresa pode ter o mais belo e eficiente programa de Compliance do mundo… Se tudo isso, no entanto, não for disseminado aos colaboradores da organização, todo o esforço terá sido em vão.

Por isso, são necessários treinamentos e estratégias para divulgar as regras e boas práticas de conduta, introduzindo-as à cultura organizacional. Os setores de Comunicação, Marketing e Recursos Humanos podem ajudar bastante nisso. O que a sua empresa faz para divulgar essas informações aos profissionais? Para incentivá-los a realmente internalizar esses aprendizados?

É também importante que se estabeleça um canal de denúncias, pois essa ferramenta permite que colaboradores, apreensivos em relatarem aos superiores ou colegas, denunciem anonimamente algo que presenciaram, testemunharam, desconfiaram, descobriram ou sofreram na organização. Isso proporcionará mais segurança, satisfação, confiança e felicidade para os profissionais, promovendo melhores ambientes de trabalho.

Outra dica importante é a prática de auditorias periódicas. Isso ajuda a aumentar a transparência dos procedimentos, a constatar possíveis falhas e permite atestar se as atividades são feitas de acordo com as regras.

Por fim, não basta apenas prevenir problemas. Mesmo que com controles, travas e ferramentas, , uma ameaça pode vir à tona, sejam as chances grandes ou pequenas. Por isso, vale também elaborar planos de mitigação e ação corretiva, para que as falhas sejam resolvidas rapidamente e não se repitam futuramente.

Outra dica extra e super importante seria a criação de conselhos e comitês dentro da sua organização para garantir a conformidade do seu negócio. E para além disso, centralizar a gestão das informações em um local seguro.

Nesse sentido, o Atlas Governance é o maior portal de governança da América Latina, atendendo mais de 400 organizações e mais de 15.000 Conselheiros. Com ele, você pode convocar reuniões em menos de 3 minutos, aposentar seus arquivos e rastrear documentos em uma base de conhecimento digital, centralizar a comunicação da sua governança. Tudo isso com criptografia de ponta e segurança de nível bancário, garantindo a segurança da informação em sua empresa.

Quer conhecer o portal pessoalmente? Garanta sua demonstração agora mesmo clicando em “Solicitar Demonstração” no menu superior de nosso site!