LGPD (Lei Geral de Proteção de Dados): Por dentro da nova legislação.

Os dados são um bem valioso na era digital. E na saúde, não é diferente. A informações que eram tidas apenas como um formulário de identificação, ao longo do tempo, tornaram-se cada vez mais complexas, servindo de apoio para a tomada de decisões que influenciam na saúde e qualidade de vida dos pacientes, e também nos negócios. Hoje, com o avanço da tecnologia, a coleta desses dados é feita em todos os lugares e a todo momento, não só por sistemas de gestão das instituições, mas também por aplicativos de saúde e wearable devices.

Bastante inspirada no Regulamento Geral de Proteção de Dados (RGPD) da Europa, a Lei Geral de Proteção de Dados brasileira (Lei nº 13.709/2018, com alterações trazidas pela Lei nº 13.853/19) se propôs a estabelecer uma série de regras para proteção de informações individuais, alcançando tanto atores públicos quanto privados e introduzindo medidas preventivas e repressivas, com o objetivo de fomentar boas praticas na gestão da base de dados pessoais. A GPDR surgiu na Europa após os escândalos de vazamento de dados sem consentimento por parte de grandes empresas como o Facebook. Nos Estados Unidos, Mark Zuckerberg teve que explicar à Justiça o uso de dados e foi condenado a pagar uma multa de 5 bilhões de dólares, além de cumprir com uma série de obrigações em sua rede social.

A adaptação a um novo marco regulatório nunca é tarefa simples. A sensação de que há muitas dúvidas e pouca capacidade de ação tem percorrido as organizações que começam a trabalhar na efetivação da Lei Geral de Proteção de Dados Pessoais (LGPD). E nas instituições de Saúde os desafios são ainda maiores, pois estas organizações lidam diariamente com uma base de dados imensa e de conteúdo sensível, no qual não pode correr riscos de exposição ou vazamento.  A norma define como dado pessoal sensível qualquer informação acerca da “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.” Leandro Pesoti Netto, especialista em direito cibernético e consultor jurídico da Associação Brasileira da Distribuição de Tecnologia da Informação (ABRADISTI), ressalta essa percepção, adicionando que até informações rotineiras, como o cartão de crédito ou seu nome completo e endereço de perfis nas redes sociais, são contemplados pela lei. De modo geral, estão previstas na regência legal quaisquer informações que permitam a identificação de uma pessoa, independente da disposição dessa informação ou de como ela foi armazenada. Além disso, vários agentes estão envolvidos nos ajustes desses dados pessoais, como hospitais, clínicas, laboratórios e operadoras. É neste cenário que a Lei Geral de Proteção de Dados (LGPD) inaugura um novo momento para as regras de manipulação dos dados individuais. Os pacientes passam a ter o direito pleno sobre as informações coletadas, e devem, ainda, ser informados sobre a finalidade de uso. Sua principal meta é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles.  O documento reflete em todos os setores da economia, pois tem como objetivo a proteção dos dados e direitos fundamentais das pessoas. Além disso, estabelece regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajudando na promoção do desenvolvimento tecnológico na sociedade – e auxilia na própria defesa do consumidor.

Definições

A lei começa estabelecendo nomenclaturas e criando algumas figuras no processo de tratamento dos dados. Confira alguns dos conceitos.

  • Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”;
  • Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico.;
  • Dado anonimizado é relativo a um titular que não possa ser identificado;
  • Banco de dadosé o conjunto estruturado de informações pessoais;
  • Titular é a pessoa a quem se referem os dados;
  • Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados;
  • Operador é quem executa o tratamento em nome do controlador
  • Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados;
  • Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador);
  • Relatório de impacto à proteção de dados pessoaisé a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.

Impactos e Aplicações

Falar pra que vai usar os dados:
Toda coleta de informações e dados por uma instituição de saúde deve ser justificada.
É necessário informar a procedência do uso delas dentro do ambiente de armazenamento, devendo haver o consentimento do usuário para qualquer ação.

Excluir os dados depois que são usados.
Após a demanda de utilização das informações sensíveis por parte de , por exemplo, um hospital, o mesmo deve apagar de seu banco de dados todos os registros que contenham esse conteúdo O intuito é impedir que haja disponibilidade dessas informações após a passagem do paciente pela entidade.

Disponibilizar os dados de forma transparente.
Entendendo o usuário de um serviço de saúde como o titular dos dados informados à instituição, a mesma deve deixar disponível de forma desburocratizada e clara, essas informações. Assim, o paciente pode não só consultar, como fazer alterações nas e lidar com o consentimento.

Proteger dados de menores.
A proteção à informação deve ser mais rígida quando se trata de dados de crianças e adolescentes. O manuseio e o acesso a essas informações devem ser feitos de forma cautelosa dentro da instituição e com absoluto consentimento dos responsáveis pelos pacientes.

Segurança de Dados

A vulnerabilidade de um banco de dados pode resultar em invasões e ataques de hackers. Em alguns casos, a intenção de criminosos é pedir dinheiro em troca da volta do funcionamento do sistema ou o conhecimento de dados secretos para roubos. É importante ressaltar que tais ataques geram grande perda de credibilidade dos hospitais, além de prejuízos financeiros altíssimos. Desse modo, os principais impactos na área da saúde se devem à forma como as exigências são aplicadas. Um estudo realizado pela IBM em parceria com o Instituto Ponemon mostra que o custo médio de violação de dados no Brasil é de R$ 1,24 milhão para empresas. A pesquisa também mostra que o Brasil é o país mais propenso a sofrer violações de segurança. De acordo com pesquisadores consultados pela IBM, o risco é de 43% em uma empresa sofrer um ataque. O número é muito acima de países com cultura de segurança cibernética como Alemanha (com 14%) e Austrália (17%).

Diversas normas regulamentares, sejam da ANS, Anvisa ou Conselho Federal de Medicina já disciplinam e uso de dados em estabelecimentos de saúde. Contudo, a partir de agora, o paciente poderá ter acesso ampliado às informações disponíveis nos hospitais, clínicas e operadoras de plano de saúde, bem como poderá requerer correções e e exclusão de dados armazenados, o que certamente exigirá mudanças nos sistemas utilizados pelos estabelecimentos, como forma de permitir o fácil manuseio das informações.
Também em função da LGPD, os dados pessoais do paciente não poderão ser utilizados para bloquear o acesso a determinado tratamento, tampouco será permitida a implementação do chamado health score, consistente na precificação de um plano de saúde com base na atribuição de pontos decorrentes de dados pessoais de um indivíduo.

Como adequar sua empresa à LGPD.

Há ainda muita discussão sobre a abrangência da lei. Não se sabe se ela será aplicada com mesmo rigor na fiscalização e punição para organizações multimilionárias e para negócios locais ou ONGs, por exemplo. De qualquer forma, toda empresa com algum tipo de cadastro de clientes ficará sujeita à LGPD. Confira alguns passos para manter em segurança o seu negócio , o seus dados e de seus clientes:

Para corresponder às exigências feitas pela LGPD na saúde é importante contar com um sistema de gestão hospitalar. Lembrando que ele deve adequar seu usuário às diretrizes impostas pela lei e oferecer atualizações que contribuam para essa adaptação das entidades ao novo modelo de proteção de dados, que visa a inovação e tecnologia dos dados sensíveis de uma instituição de saúde.

O primeiro passo é criar dentro da empresa um Comitê de Segurança da Informação responsável por analisar a atual situação dos dados recebidos e dos procedimentos atuais. Dentro deste processo, é importante para a adequação realizar um mapeamento detalhado dos dados pessoais tratados e o seu ciclo de vida. Saber onde estão, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros no Brasil ou exterior e quais riscos associados ao ciclo de vida, são algumas perguntas essenciais que todas as organizações devem responder antes estabelecer o programa de implementação. As tecnologias também serão um dos componentes importantes para as organizações, uma vez que a nova lei traz desafios de gestão e governança de privacidade tais como: a gestão de consentimentos (e respectivas revogações), gestão das petições abertas por titulares (que, em alguns casos, devem ser respondidas imediatamente), gestão do ciclo de vida dos dados pessoais (data mapping & data discovery) e implementação de técnicas de anonimização (os dados anonimizados não serão considerados dados pessoais pela lei desde que o processo não seja reversível).

Passo-a-passo para adequação.

1. Fazer um diagnóstico
A primeira coisa que é preciso ter conhecimento claro da situação atual dos dados. Atualmente, qual é o caminho que as informações das pessoas percorrem na organização?
É necessário conhecer toda a vida útil destes dados, desde a coleta, passando pelo armazenamento, a finalidade de uso, entre outros. Dependendo do porte da organização e da complexidade dos serviços realizados, pode ser recomendável a contratação dos serviços de uma consultoria. O que não pode ocorrer é você ser surpreendido por detalhes do processo que acontece dentro da sua empresa depois que a lei estiver em vigor.

2. Consultar bases legais.
De posse das informações específicas do seu negócio, é preciso se aprofundar.
Quais partes do processo precisam ser revistas de para se adequar com a LGPD? É hora de acionar o departamento jurídico, se houver, ou consultar assessoria especializada. A partir disto, será possível montar um planejamento.

3. Definir os agentes
Como visto acima, a legislação tipifica algumas figuras novas: os agentes de tratamento de dados. Uma parte importante do planejamento será definir quem será o seu controlador e o(s) operador(es). Além disso, é preciso definir o encarregado, responsável por fazer o contato com os clientes, com o seu público interno (funcionários) e com a recém-criada agência reguladora. Novamente, a implementação dessa parte vai depender do estágio de desenvolvimento da empresa. Pode ser necessário contratar pessoal para fazer essas funções. Ou usar mão de obra terceirizada, especializada. Ou ainda adequar seus colaboradores atuais, dependendo, é claro, do perfil e da disponibilidade deles.

4.Investir na relação com o cliente
É importante lembrar que o grande objetivo de toda essa mudança é aumentar a segurança dos cidadãos e a transparência das empresas. Os clientes poderão questionar a qualquer momento a situação dos seus dados ou até mesmo pedir a exclusão de tudo. Nada melhor, porém, que facilitar os canais de comunicação com o público e manter um diálogo aberto e claro. Quanto menos eles se sentirem ameaçados, menor a chance de problemas.

Fiscalização

A recriação da Autoridade Nacional de Proteção de Dados (ANPD), autorizada em junho de 2019, mostra que o governo está falando sério sobre fiscalização quando a lei entrar e vigor, em agosto de 2020.
O detalhamento da legislação ao apresentar as definições, deixa claro que todos os processos, automatizados ou não, estarão na mira. A agência reguladora, criada por meio de medida provisória, será composta por 23 profissionais. Cinco deles comporão o Conselho Diretor, e serão escolhidos e nomeados pelo presidente da República, após aprovação do Senado Federal, ocupando cargos comissionados.
A ANPD ficará subordinada diretamente à Presidência nos primeiros dois anos após a implementação. Depois, será transformada numa autarquia, com independência de atuação.

O que acontece com quem descumprir a LGPD?

A LGPD é uma lei que impõe sanções variadas a quem infringir as regras.
Inicialmente é dada uma advertência simples, que determina uma data para correção da irregularidade. Multas de até 2% do faturamento líquido da empresa também podem ser aplicadas, não chegando a mais de R$ 50 milhões; havendo a possibilidade também de aplicação de multa diária. Outra forma de punição é a divulgação da irregularidade no tratamento de dados, tornando pública a infração caso seja confirmada após investigação. Da mesma maneira, os dados pessoais podem ser bloqueados e até retirados do sistema da organização.

A tecnologia é uma forte aliada no processo de adequação à LGPD, mas também é fundamental ter treinamentos para que a adaptação seja bem feita.

Efeito Dominó da LGPD.

Seguindo o modelo da GDPR, a Lei Geral de Proteção de Dados também tem aplicação extraterritorial, de forma que toda empresa que tratar dados de cidadãos brasileiros ou de estrangeiros que residem no Brasil, mesmo não tendo sede ou filial no Brasil, tem que se regularizar conforme a lei brasileira.

Todos os processos que exigem tratamento de dados pessoais devem estar em regularidade com a lei. Para evitar multas e paralisação de suas atividades no Brasil, empresas vão procurar se regularizar e exigir que empresas parceiras se regularizem.

Por esta razão é dito que a LGPD tem um “efeito dominó”, empresas precisam que todas as etapas de seu processo estejam conforme a lei, inclusive etapas onde lidam com empresas parceiras.

Conclusão

A LGPD é um grande avanço no cenário de segurança de dados pessoais no Brasil, visto que é a primeira lei no Brasil a lidar com o assunto e realmente assegurar ao usuário o controle de seus dados pessoais, proporcionando a ele mais privacidade, através de normas claras que ditam como devem ser tratados os dados pessoais e quais são os direitos do usuário. Apesar de algumas partes da lei ainda serem um pouco ambíguas e precisarem ser amadurecidas, a LGPD dá diretrizes para lidar com o tratamento de dados, removendo várias incertezas que se tinha sobre o campo anteriormente.

Fica, portanto, o desafio de adaptação de serviços e produtos para que fiquem conforme a LGPD, visto que, até 2020, quem quiser fazer negócio no Brasil vai ter que ter sua política de tratamento de dados pessoais regularizada. Para isso, empresas de cibersegurança podem prestar serviços de consultoria para ajudar empresas e outras entidades entrarem em conformidade com a lei, evitando qualquer tipo de prejuízo que pode surgir se a lei não for observada.

 

Bibliografia

Wareline, “LGPD e Saúde: como a lei atinge diretamente o setor?”
Acessado em 18/10/2019. https://www.wareline.com.br/legislacao/lgpd-na-saude-como-lei-atinge-o-setor/

 

MV, “5 perguntas sobre a LGPD no contexto da Saúde Digital”
Acessado em 18/10/2019. http://www.mv.com.br/pt/blog/5-perguntas-sobre-a-lgpd-no-contexto-da-saude-digital

Ottoni, Breno, “A regulamentação da LGPD e o Setor de Saúde”
Acessado em 18/10/2019 https://politica.estadao.com.br/blogs/fausto-macedo/a-regulamentacao-da-lgpd-e-o-setor-de-saude/

Equipe Totvs,”LGPD: O manual para compreender a lei geral de proteção de dados”
Acessado em 18/10/2019 https://www.totvs.com/blog/lgpd-o-manual-para-compreender-a-lei-geral-de-protecao-de-dados/

Arbulu, Rafael, “A sua empresa está pronta para a LGPD? Veja o que dizem os especialistas.”
Acessado em 18/10/2019 https://canaltech.com.br/legislacao/a-sua-empresa-esta-pronta-para-a-lgpd-veja-o-que-dizem-os-especialistas-144711/

Andrade, Marcio. “LGPD Brasil: como se adequar à Lei Geral de Proteção de Dados Pessoais”
Acessado em 18/10/2019 https://blog.contaazul.com/lgpd-lei-geral-protecao-dados-pessoais