A sorte e a LGPD - Lei Geral de Proteção de Dados

Atualizado: 15 de Ago de 2019

“Sorte é o que acontece quando a oportunidade encontra alguém preparado”. - Autor desconhecido, adaptação do pensamento de Demétrio, o Cínico.


Nesse cenário, novidades jurídicas que venham a impor parâmetros inéditos para a atuação das empresas podem revelar fraquezas corporativas e representar graves ameaças ao seu funcionamento, ou uma notável força e diferencial de mercado, desnudando uma profícua oportunidade de crescimento frente à concorrência, a depender da visão e antecipação do empresário.


Assim o é com a Lei Geral de Proteção de Dados e o novel conceito que estabelece nas relações digitais, que hoje movimentam grande parte da economia global.


Caso ainda haja dúvidas sobre a importância da web na vida de seus clientes ou de sua empresa, atente-se para os seguintes números: no Brasil, estima-se cerca de 139 milhões de usuários de internet, sendo que 90% desse público usa a rede todos os dias, e 58% dessas pessoas prefere empregar o aparelho celular para acessá-la (IBGE, 2018).


Por um lado, os usuários têm adquirido confiança no ambiente digital: quanto mais se usa serviços, mais à vontade o consumidor se sente em relação a essa modalidade de comércio. E atentos a isso, toda sorte de prestadores de serviços e lojistas têm recorrido, ou já pensaram em recorrer, à criação de ambientes agradáveis e atrativos a esse público, através de técnicas e ferramentas voltadas para cada uma das etapas da jornada do consumo, conduzindo os clientes – que em geral são mais exigentes e têm uma postura mais ativa – da prospecção à fidelização.


Essa adaptação de canais, todavia, não passa desapercebida pelos gestores públicos e legisladores, que assessorados por equipes de especialistas, têm sua atenção constantemente atraída para os possíveis efeitos que a ausência de regulação sobre esse cenário tecnológico poderia ocasionar.


A esse respeito, a União Europeia aprovou em 2016 um rigoroso conjunto de regras sobre privacidade nos ambientes eletrônicos, o Regulamento Geral sobre a Proteção de Dados - RGPD (ou GDPR na sigla em inglês).


Isso porque, para os países daquele bloco, a proteção dos dados pessoais dos indivíduos representa direito de personalidade inafastável, que deve ser resguardado por quem os detenha, e por consequência merece integral e eficaz tutela do Estado.


Daí a edição de regulamento contendo normas específicas que deverão ser observadas por todas as organizações, independentemente de porte ou área de atuação, que pretenderem chegar, por meio eletrônico, a um cidadão da União Europeia.


Por essa razão, as maiores empresas dos ramos do varejo, redes sociais, plataformas de streaming de vídeos, cursos, bancos, e tantos outros serviços, se adiantaram e já atualizaram seus termos jurídicos, e modificaram ou acrescentaram recursos técnicos para evitarem a infração das novas regras estabelecidas, que podem acarretar multas de até € 20 milhões ou até 4% da receita anual global da companhia, o que for maior.


De certa forma, no Brasil, essa questão somente afetava as empresas e os prestadores de serviços que desejassem se aventurar no mercado internacional, e por isso você pode estar se perguntando como a questão pode afetar seu negócio local ou regional, seja ele hospital, clínica odontológica ou consultório, empreiteira, construtora ou escritório de contabilidade.


Ocorre que, a partir de 14 de agosto de 2020, entrará plenamente em vigor a Lei 13.709/18 – Lei Geral de Proteção de Dados (LGPD), sancionada por Michel Temer, que na esteira do RGPD, dispõe sobre a proteção de dados pessoais no território brasileiro e altera a Lei 12.965/14 (Marco Civil da Internet).


A promulgação da lei coloca o Brasil no rol de mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados, criando uma regulamentação para o uso, proteção e transferência de dados pessoais, nos âmbitos privado e público, e estabelecendo de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil – que podem chegar a multa de R$ 50 milhões por incidente.


A lei está baseada nos direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país, e entre as principais obrigações estabelecidas, tem-se:


  • Necessidade de consentimento livre, informado e inequívoco do titular dos dados para seu tratamento;

  • Invalidade de autorizações genéricas;

  • Identificação das figuras dos Agentes de Tratamento: Controlador, Operador e Encarregado de dados pessoais em toda organização;

  • Criação da Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública federal que ficará responsável por zelar, implementar e fiscalizar o cumprimento da LGPD no país;

  • Direito de todo titular de dados pessoais a obter do Controlador, a qualquer momento e mediante requisição:

  1. Confirmação da existência de dados seus mantidos por determinada organização (tratamento);

  2. Acesso a todos os seus dados;

  3. Correção de dados incompletos, inexatos ou desatualizados;

  4. Anonimização, bloqueio ou eliminação de dados;

  5. Portabilidade dos dados (entrega dos dados que a organização tenha de forma portável a outro sistema de dados;

  6. Informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;

  7. Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;

  8. Revogação do consentimento outrora conferido;

  9. Revisão de decisão destinada a definir seu perfil pessoal, profissional, de consumo, de crédito ou outros aspectos de sua personalidade;

  10. Exibição dos critérios e procedimentos utilizados para a decisão de definição de perfil.


Ora, em um contexto em que a Medicina avança, e são discutidas cada vez mais, tanto nos Conselhos quanto no Legislativo, o uso da tecnologia para auxiliar o atendimento em saúde, individual e coletiva, não é difícil verificar os diversos usos de dados de pacientes e seu tratamento por meio eletrônico.


Tal é o caso do Prontuário Eletrônico, regulado pela Resolução CFM 1638/02, que aprovou as “Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico", dispôs sobre tempo de guarda dos prontuários, estabeleceu critérios para certificação dos sistemas de informação, entre outras providências, e reflete também na guarda de exames, fotografias, arquivos em banco de dados nosocomial.


Não se nega a utilidade dessa informatização na melhoria da saúde da população em geral, já que o prontuário poderia ser acessado por mais de um médico, de qualquer lugar, mais prático em situações de emergência, com vistas mesmo à criação de uma rede nacional de prontuários, como nos Estados Unidos, em que os médicos, consultórios e hospitais passaram a receber investimentos financeiros do governo após a implantação de sistemas eletrônicos de informações de pacientes.


O mesmo ocorre com todos os pedidos de exames do âmbito da Saúde Suplementar, registrados por sistemas informatizados, muitas das vezes operados pelo secretariado do profissional de saúde, o registro de medicamentos e sua destinação no serviço ambulatorial, o tratamento das receitas nas farmácias.


Tratam-se, pois, de normas e práticas que deverão ser compatibilizadas com a nova Lei, através da adoção de medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, além de se estabelecer formas de atendimento dos direitos dos pacientes titulares desses dados, quando requisitados, sob pena de responsabilização da organização, de sua Diretoria Técnica, e aplicação de rigorosas sanções, pecuniárias e administrativas.


Para tanto, a Direção deverá se adiantar e, no âmbito de suas competências, determinar a formulação técnica de regras de boas práticas e de governança que estabeleçam condições de organização, regime de funcionamento, os procedimentos a serem adotados em cada caso, incluindo reclamações e reclamações de titulares, as normas de segurança, os padrões técnicos que deverão ser adotados pela equipe de Tecnologia da Informação, as obrigações específicas dos diversos envolvidos no tratamento, as ações educativas e treinamentos, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.


Isso porque uma adequação à LGPD envolverá sempre dois escopos, por vezes não tão fáceis de compatibilização:


  • Um é o aspecto técnico-jurídico e pessoal, que envolve a elaboração de toda a documentação necessária, termos de consentimento padrão, termos de política de tratamento de dados, adequação de contratos, elaboração de Regimento Interno, treinamentos e estabelecimento de cultura compatível com a Governança Corporativa.


  • O outro é o técnico-eletrônico, que se refere à aplicação prática e funcional daquelas mesmas normas e políticas que sejam estabelecidas no âmbito jurídico, e que deve participar de todo o processo, para que não se acabe por elaborar conceitos razoáveis no plano das ideias mas que se mostrem impraticáveis no âmbito da computação.


Em relação aos Agentes de Tratamento, a principal obrigação que se estabeleceu foi a de manter registros de todas as operações de tratamento, decorrência do princípio de prestação de contas incorporado pela LGPD.


Para o cumprimento desta obrigação, as empresas deverão, através de seus agentes de tratamento, elaborar Relatório de Impacto à Proteção de Dados Pessoais, que poderá ser solicitado pela Autoridade Nacional de Proteção de Dados – ANPD, contendo diversas informações sobre a estrutura do sistema de segurança da informação estabelecido.


Caberá, portanto, às empresas também nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados, bem como junto à Autoridade Nacional de Proteção de Dados (ANPD).


Hoje, restam 13 meses para adequação das empresas e os principais desafios que já surgem são:


  • Nomeação de um encarregado;

  • Realização de uma auditoria de dados;

  • Elaboração de mapa de dados;

  • Revisão ou criação de políticas de segurança;

  • Revisão de contratos;

  • Elaboração de Relatório de Impacto de Privacidade.


Com a nova Lei Geral de Proteção de Dados, todas as empresas, sejam de pequeno, médio ou grande porte, terão que investir em ciber-segurança e implementar sistemas de governança corporativa efetivos para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante de penas.


E não fosse o bastante, alguns Estados do país já indicam que, para futuras contratações com particulares, exigirá das empresas licitantes que comprovem a adoção de regras e boas práticas da governança corporativa, de transparência, de estruturas e de controle interno, sobretudo em relação ao tratamento de dados de titulares a que tenham acesso, e informações que recebam.

47 visualizações

Órion Business & Health Complex, 3811/3812-C

Av. Portugal, n. 2653, Bueno, Goiânia, Goiás – CEP 74.115-914 – contato@acgadvocacia.adv.br

2019 | Ávila, Camozzi & Guimarães | Direito Médico e Soluções Jurídicas em Saúde