Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) surgiu para proteger os dados pessoais por meio de normas que estabelecem como as empresas devem coletar, utilizar e tratar essas informações. Além disso, determina regras sobre as responsabilidades e penalidades por danos, entre outros aspectos.
Os dados pessoais são aqueles que identificam uma pessoa, como CPF, RG, CNH, passaporte, endereço, IP do computador, entre outros. Já os sensíveis são informações mais aprofundadas, por exemplo: convicção religiosa, patologia, etnia, inclinações políticas, orientação sexual e outros.
“Com as tendências de avanço no ambiente virtual e o crescimento do uso de dados pessoais para refinamento da experiência do usuário, surgiu a necessidade de criar uma regulamentação específica quanto à coleta, tratamento e descarte desses dados fornecidos por usuários às empresas e sites”, diz Lucas Galvão, especialista em cibersegurança e CEO da Mission Command.
De acordo com Carolina Cavalcante Schefer, advogada especialista em LGPD, do CSMV Advogados, as principais exigências da lei de proteção de dados estão atreladas à honestidade e transparência daqueles que lidam com os dados pessoais.
“A lei exige ainda que seja assegurado aos titulares informações claras, precisas e que possam ser acessadas facilmente, tanto sobre o tratamento dos seus dados pessoais, quanto sobre quem faz tal procedimento”, afirma.
Por que a lei de proteção de dados é importante?
Galvão acredita que a LGPD inaugura uma nova cultura de privacidade e proteção de dados no país. “Isso demanda a conscientização de toda a sociedade acerca da importância dos dados pessoais e os seus reflexos em direitos fundamentais como a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural”, opina.
O especialista em cibersegurança explica, que a LGPD parte do princípio que cada indivíduo é proprietário dos seus dados e deve ter livre acesso às próprias informações coletadas e tratadas por empresas. Assim, existem dez preceitos da proteção de dados:
- os titulares têm amplos direitos sobre seus dados, incluindo informação, retificação, cancelamento, oposição e portabilidade;
- o consentimento do titular é uma das dez possibilidades que legitimam o tratamento de dados pessoais;
- a criação de regras específicas para tratar dados sensíveis, transferência internacional de dados e uso de dados de crianças e adolescentes;
- a obrigação de notificar incidentes envolvendo dados;
- a necessidade de realizar avaliação de impacto à proteção de dados;
- o tratamento de dados deve ser mapeado, e as atividades que envolvam essas informações precisam ser registradas em cartório.
“Com a lei em vigor, a segurança desses dados se torna obrigatória por parte das empresas que os detém”, afirma Galvão.
Apesar da vigência, a legislação ainda precisa de algumas regulamentações da Autoridade Nacional de Proteção de Dados (ANPD), que é responsável por fiscalizar e editar as normas da LGPD.
Segundo a advogada Schefer, existem mais de 15 pontos que precisam ser regulamentados pelo órgão, como o compartilhamento de dados pessoais sensíveis para obter vantagem econômica, portabilidade de informações, e os critérios para indicação e atribuições do responsável pela proteção dos dados.
“Com a LGPD em vigor, a falta de regulamentação traz certa insegurança jurídica, pois a sua aplicação em casos específicos pode ficar prejudicada e acabar resultando na judicialização de demandas que poderiam ser resolvidas extrajudicialmente se tais questões já tivessem sido regulamentadas”, destaca.
Desafios de implementar a LGPD na área da saúde
Clínicas, consultórios e hospitais lidam diariamente com dados pessoais e sensíveis em diversos níveis, como prontuários médicos, dados biométricos, patológicos e estatísticos. Portanto, é imprescindível identificar possíveis situações adversas ou falhas de segurança que acidentalmente podem comprometer a integridade dos pacientes.
“A adequação à LGPD não é um processo meramente jurídico, pois demanda uma atuação conjunta na melhoria das práticas de segurança da informação adotadas. Esse é, na nossa opinião, o principal desafio a ser enfrentado pelo setor, e principalmente, pelas clínicas e consultórios que, ao contrário dos grandes hospitais, em sua maioria não contam com um corpo jurídico especializado, tampouco com profissionais de TI sempre disponíveis”, afirma Schefer.
Para isso, o especialista em cibersegurança Galvão, recomenda buscar auxílio com uma consultoria para avaliar as incompatibilidades no tratamento dos dados e não ser pego de surpresa com as novas diretrizes da LGPD.
“É recomendável contratar um consultor ou empresa especializada em LGPD para fazer a análise completa do seu ambiente e implementar melhorias visando aumentar o nível de segurança. As consequências da LGPD abrangem diversas áreas do direito, como a empresarial, a trabalhista e a fiscal”, diz.
Como adequar sua clínica à LGPD
O primeiro passo é criar uma política de proteção de dados para a clínica ou consultório, com todos os processos e cuidados que devem ser adotados em relação ao tratamento de informações e meios de comunicação.
Galvão ressalta que é essencial atentar-se à proteção de dados em fichas e prontuários médicos, dados de exames e, sobretudo, situações de sigilo médico. “Nesta última circunstância, a informação não depende de meios eletrônicos para ser protegida. O dono da informação sempre é o paciente. Caso o paciente esteja inconsciente, as informações devem ser repassadas diretamente aos familiares”, diz.
Ele sugere criar controles por meio de tecnologias, ações de conscientização, treinamento de usuários – sejam funcionários, prestadores de serviço, parceiros de negócios e até mesmo clientes.
“É necessário fazer capacitações que contemplem os principais processos dentro da LGPD, para que todos despertem consciência sobre o uso adequado de sistemas corporativos através de suas credenciais e meios de comunicação seguros, também fiscalizar e monitorar constantemente os dados e informações presentes na empresa”, orienta.
Penalidades por descumprimento da LGPD
A lei de proteção de dados prevê multas de até 2% do faturamento com limite de R$50 milhões por infração. Após a apuração e confirmação da ocorrência, obriga que a violação seja trazida a conhecimento público; bloqueio e exclusão dos dados pessoais; suspensão do uso do banco de dados e tratamento das informações. Por fim, a proibição parcial ou total das atividades relacionadas ao trato dos dados.
Todavia, as penalidades previstas na LGPD serão válidas a partir de 1 de agosto de 2021.
“É importante ressaltar que, segundo o princípio constitucional do acesso à Justiça, “a lei não excluirá da apreciação do poder judiciário lesão ou ameaça a direito”. Portanto, apesar das sanções previstas na LGPD ainda não estarem em vigor, qualquer violação às normas previstas na lei de proteção de dados poderá ser objeto de atuação de qualquer autoridade competente, incluindo órgãos de proteção do consumidor e o próprio Judiciário”, finaliza a advogada Schefer.
