A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no dia 18 de setembro de 2020, causando grande movimentação em todos os setores devido às informações acerca dos impactos imediatos que decorreriam do novo texto legal.
Esta lei dispõe como seu objetivo, logo no seu art. 1º, o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica – de direito público ou privado –, de forma a proteger os direitos fundamentais de liberdade e privacidade, além do livre desenvolvimento da personalidade.
A LGPD nasceu no Brasil durante um momento de transformação, em que o mundo se torna cada vez mais digital e exige da sociedade que sejam consideradas a privacidade e a proteção dos dados pessoais em todos os âmbitos e em todas as atividades desenvolvidas, da concepção até a exclusão dos dados tratados.
Esta lei é especialmente importante para o Setor Saúde, um dos mais impactados por ser aquele que mais trata de dados pessoais sensíveis – um dos focos primordiais da lei. No atual momento em que vivemos, com o isolamento social e o avanço da telemedicina, muito há de se adequar em hospitais, clínicas, consultórios, planos de saúde, laboratórios, associações e todo o ecossistema relacionado à saúde no país.
Com o intuito de assegurar mais transparência ao titular sobre a utilização de seus dados pessoais, a LGPD garante maiores controle e autonomia ao usuário, com certo rigor em relação ao tratamento de seus dados. Portanto, não havendo finalidade legítima, específica e explícita que tenha sido informada ao titular para o tratamento de seus dados pessoais, tais dados não deverão ser utilizados. Desta forma, a nova legislação visa regulamentar o que as empresas poderão fazer com os dados das pessoas – como CPF, endereço, histórico médico, tipo sanguíneo, entre outros –, bem como pretende delinear procedimentos para que a solicitação dos dados pessoais seja feita de maneira justificada, atendendo a parâmetros razoáveis.
A LGPD aumenta a responsabilidade de todos aqueles que, de alguma forma, tratam dados pessoais em suas atividades, seja de pacientes, seja de fornecedores, seja de prestadores de serviços, seja de colaboradores etc. Por mais que as empresas não estejam sujeitas às sanções administrativas advindas da Autoridade Nacional de Proteção de Dados (ANPD), até agosto de 2021, por questões legais, a judicialização do tema já é possível, permitindo que os titulares movam ações judiciais contra aqueles que estejam tratando seus dados pessoais.
Já nos primeiros dias em vigor, foi possível constatar o uso da lei como base para denúncias do Ministério
Público, reivindicações de direitos dos titulares de dados e como forma de renegociação de contratos por empresas que passaram a exigir de seus parceiros comerciais adequação às novas regras legais.
Soma-se a esse risco o fato de o Brasil passar por um momento de desemprego e crise financeira, o que pode estimular a proposição de ações judiciais que não buscam um direito, mas um valor indevido, utilizando o Judiciário como uma forma de adquirir esta renda. No Brasil, os meios de acesso à Justiça poderão contribuir para este fato, tendo em vista que, por meio dos Juizados Especiais Cíveis, pessoas físicas podem mover ações judiciais com baixo custo e sem advogado, o que, se utilizado de forma inadequada, poderá estimular ações temerárias com base na LGPD – algo que já ocorre em outras indústrias, como telecomunicação e turismo.
Não há motivo para pânico, pois a adequação à nova lei é realizada, em tese, por meio de três pilares essenciais: i) Jurídico; ii) Tecnologia da Informação; e iii) Segurança da Informação.
No primeiro pilar, são observados temas como: revisão de contratos, elaboração de termos de consentimento, elaboração de políticas e procedimentos, análise de conformidade de fornecedores, treinamentos, cartilhas, comunicações internas, alinhamento com a alta direção sobre a importância do tema e demais pautas relacionadas.
No segundo pilar, são observados temas como: avaliação dos sistemas de segurança e do nível de privacidade; mapeamento de websites, aplicativos e plataformas expostos ao público; avaliação dos sistemas existentes; adequação de cookies, antivírus etc.
No terceiro e último pilar, são observados temas como: elaboração de normas, políticas e procedimentos relacionados à Segurança da Informação; revisão dos processos existentes; criação de padrão para tratamento de vazamento de dados; e elaboração de plano de conformidade (roadmap).
A adequação costuma seguir uma estrutura de projeto dividida em cinco etapas:
- Identificação dos riscos e da situação da pessoa jurídica;
- Mapeamento do fluxo de dados e elaboração de um diagnóstico de risco com recomendações e conclusões;
- Execução das recomendações prioritárias, como a elaboração de políticas e de procedimentos para vazamento de dados;
- Execução das recomendações secundárias,como treinamentos e comunicação ao público;
- Monitoramento e execução da governança de dados.
Há muitas empresas no mercado que oferecem apenas a primeira e a segunda etapas da adequação, sendo, portanto, bastante importante se atentar para quem são os prestadores de serviço que estão oferecendo esse tipo de produto, bem como ter consciência de que a adequação não é apenas um procedimento básico e instantâneo como comprar uma licença de software.
Profissionais experientes, que já possuem uma sólida carteira de clientes, são os mais indicados para avaliar
questões como a do art. 7º da LGPD, que elenca dez bases legais sem as quais não é autorizado o tratamento dos dados pessoais. Estes profissionais serão capazes de recomendar a previsão legal adequada para que o tratamento seja realizado em conformidade às novas regras estabelecidas.
Ademais, é importante mencionar que a LGPD reconheceu as informações referentes à saúde dos indivíduos como dados pessoais sensíveis, estabelecendo hipóteses de tratamento diferenciadas, que exigirão mais atenção dos profissionais.
A LGPD demonstrou a importância dos dados relacionados à saúde, mas, agora, é a vez dos agentes de tratamento – médicos, clínicas, hospitais ou planos de saúde – realizarem a adequação o quanto antes. Então, como começar?
Antes de qualquer ação, buscar entender o tema e suas particularidades perante o setor em que atua é um primeiro passo importante. Em seguida, deve-se procurar ajuda de especialistas no assunto, pois eles deverão direcioná-lo para a execução de um projeto de adequação que atenda às necessidades reais da empresa.
Após o entendimento dos profissionais de saúde quanto ao tema e seu alinhamento com uma consultoria especializada, todos trabalharão juntos para mapear o processo de tratamento das informações dos pacientes e dos seus empregados, registrando de maneira clara quais dados são coletados, qual a razão desta coleta, qual o percurso destes dados pessoais, quem são os responsáveis pelo seu tratamento, quem são as pessoas que possuem acesso a eles e com qual finalidade tais atividades são realizadas.
Em seguida, com o mapeamento realizado, os especialistas irão identificar o nível dos riscos de acordo com a LGPD. Por exemplo: se qualquer funcionário de um hospital, que tenha acesso a um computador, consegue acessar os prontuários dos pacientes, há um grande risco de vazamento de dados, podendo haver sanções perante a LGPD, visto que, aos olhos da lei, os pacientes não consentiram que todos os funcionários do hospital pudessem ter acesso às suas informações de saúde. Com essas informações sobre os riscos, os especialistas irão elaborar um relatório de impacto, que vai detalhar todo o processo de tratamento dos dados, contendo o fluxo destes dados, o mapeamento dos riscos e quais medidas de segurança precisam ser adotadas a fim de reduzir os riscos financeiros, reputacionais e jurídicos.
Posteriormente ao mapeamento dos fluxos de dados, dos riscos e da realização de medidas de adequação, os
hospitais e as clínicas deverão nomear um DPO (Data Protection Officer), conhecido na LGPD como “Encarregado”, que será o responsável pela comunicação entre o hospital, a clínica ou o consultório e a ANPD. O DPO também responderá às solicitações dos pacientes em relação aos seus dados pessoais e, internamente, garantirá que todos dentro da instituição estarão em conformidade com o tratamento dos dados de forma adequada, promovendo treinamentos periódicos e informando as diretrizes que devem ser seguidas.
