Filie-se à APM
smcriopreto
smcriopreto
17997898723
LGPD - Lei Geral de Proteção de Dados - teoria e prática
Dr. Luís Antonio Velani
A Lei Geral de Proteção de Dados Pessoais –
LGPD - Lei n. 13.709, de 2.018, entrou em vigência 18/09/2.020,
dispõe sobre o tratamento de dados pessoais das pessoas naturais (pessoas
físicas), definindo as hipóteses em que tais dados podem legitimamente ser
utilizados por terceiros e estabelecendo mecanismos para proteger os titulares
dos dados contra usos inadequados.
A Lei é aplicável ao tratamento de dados realizado
por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e
tem o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Os dados que estão protegidos pela LGPD são: dados
pessoais; dados pessoais sensíveis e os dados anonimizados, onde
os Dados Pessoais , se referem ás informações relacionadas a uma pessoa
natural identificada ou identificável e são as informações básicas de
identificação: nome , profissão , estado civil , número de inscrição no
Registro Geral (RG) , número de inscrição Cadastro Nacional de
Pessoas Físicas (CPF) e endereço residencial. São também considerados
dados pessoais outros dados que estejam relacionados com uma pessoa natural,
tais como seus hábitos de consumo, sua aparência, aspectos de sua personalidade
e perfil comportamental.
O Dados Pessoais Sensíveis são aqueles que a LGPD
conferiu uma proteção ainda maior, por estarem diretamente
relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo,
tais como os relativos à origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, “dados referentes à saúde”, à vida
sexual e os dados genéticos ou biométricos.
Os Dados Anonimizados são aqueles relativos a titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento. Um exemplo na área da saúde são os
projetos e publicações de pesquisas cientificas.
As atividades médicas estão, desde a muito, devidamente regulamentadas
quanto ao dever de sigilo pelas diversas resoluções do Conselho Federal de
Medicina, tais como a Resolução CFM 1.605/00 que determina que o médico
não pode, sem o consentimento do paciente, revelar o conteúdo do prontuário ou
ficha médica. A Resolução CFM 1.638/00, que traz a definição de prontuário
e sua guarda, igualmente impondo a responsabilidade sob o sigilo ao médico e a
Resolução CFM 1.821/07, que trata dos sistemas
informatizados para a guarda e manuseio do prontuário médico,
também responsabilizando o médico pelo sigilo.
Entretanto, a despeito das resoluções e leis existentes, as empresas
médicas e também os médicos autônomos, devem se adequar aos termos da LGPD.
Isto porque a atividade médica tem expressiva relevância na aplicação da
LGPD, uma vez que trata de dados sensíveis e, por tal motivo,
supõe-se que estará sujeita uma fiscalização mais intensiva.
Na prática, as principais medidas que devem ser adotadas de imediato em
consultórios, laboratórios e hospitais são: -revisar a política de privacidade
e tratamento dos dados, adaptando e reforçando a segurança; -remodelar os
termos de consentimento esclarecido, inclusive implantando novos termos e
declarações; -nomear o encarregado (DPO), que é a pessoa indicada pelo Controlador
e Operador para atuar como canal de comunicação entre o Controlador, os
Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD);
-elaborar o Relatório de Impacto à Proteção de Dados Pessoais
(RIPDP), que serve como uma documentação de análise de risco necessária quando
se deseja tratar certos tipos de dados que possam afetar os direitos e
liberdades dos titulares de dados.
Dependendo da quantidade de dados que transitam pela empresa médica,
será imprescindível o emprego de Softwares
de cibersegurança, posto que será
necessário elaborar relatórios periódicos para embasar as auditorias impostas
pela lei, isto porque o profissional da área de análise de dados é a
pessoa mais habilitada para a contratação de uma solução certa ao negócio,
pensando em tamanho, demandas, segmento e outras características.
O tratamento de dados de forma manual também
poderá ser utilizado, desde que o movimento da empresa seja reduzido (pequenos
consultórios).
A ANPD -Autoridade
Nacional de Proteção de Dados, é o órgão governamental
responsável pela aplicação da lei, fiscalização e punição e, de início, deverá contar com o auxílio
dos órgãos de defesa o consumidor (PROCONs).
As principais punições pra quem infringir a lei são: -Sanções
administrativas: I- advertência, com indicação de prazo para adoção de medidas
corretivas; II- multa simples, de até 2% (dois por cento) do faturamento da
pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu
último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração; III- multa diária, observado o
limite total a que se refere o inciso II; IV- publicização da infração após
devidamente apurada e confirmada a sua ocorrência; V- bloqueio dos dados
pessoais a que se refere a infração até a sua regularização; VI- eliminação dos
dados pessoais a que se refere a infração; X-suspensão parcial do funcionamento
do banco de dados a que se refere a infração pelo período máximo de 6 (seis)
meses, prorrogável por igual período, até a regularização da atividade de
tratamento pelo controlador; XI- suspensão do exercício da atividade
de tratamento dos dados pessoais a que se refere a infração pelo período máximo
de 6 (seis) meses, prorrogável por igual período; XII- proibição parcial
ou total do exercício de atividades relacionadas a tratamento de
dados.
Além das sanções acima expostas, também poderão ser aplicadas as sanções
penais e cíveis.
Em suma, visando especificamente o aspecto pratico da aplicação da LGPD,
sugerimos as seguintes medidas, (pertinentes aos pequenos e médios consultórios
médicos) :
01 - Revisar a política de privacidade e tratamento dos dados, adaptando
e reforçando a segurança.
02- Remodelar os termos de consentimento esclarecido incluindo a
concordância e permissão do paciente para o tratamento (manipulação) dos seus
dados.
03 Implantar novos termos de consentimentos para os pacientes
e declarações para os colaboradores e também os sócios do consultório.
04- Nomear o Encarregado (DPO), que é a pessoa indicada pelo controlador
e operador para atuar como canal de comunicação entre o controlador, os
titulares dos dados e a Autoridade Nacional de Proteção de Dados -ANPD (a
nomeação deverá ser materializada em documento afixado em local visível do
consultório ou site, contenho nome e canal de comunicação (número de telefone
ou e-mail, etc.).
05- Elaborar Relatório de Impacto à Proteção de Dados
Pessoais (RIPDP), que serve como uma documentação de análise de risco
necessária quando se deseja tratar certos tipos de dados que possam afetar os
direitos e liberdades dos titulares de dados.
Dr. Luís Antonio Velani é advogado da assessoria jurídica da APM -
Regional Rio Preto
