LGPD: O consentimento não será obrigatório
Por Fernanda Fortuna (*)
Na semana passada acompanhamos um projeto da Unimed Fesp em relação à implantação e padronização das questões relacionadas à Lei Geral de Proteção de Dados (LGPD) para a suas singulares. “A Unimed Fesp criou uma área de governança de TI e a figura do Data Protection Officer (DPO) na Federação de São Paulo. Esse projeto engloba a implantação em 77 operadoras do Estado. A Federação passa, a partir de hoje, a criar um grupo de trabalho que vai instituir a LGPD nessas operadoras Unimed do Estado de São Paulo, seguindo a data prevista na legislação para que todas tenham isso funcionando e integrado com o prontuário eletrônico estadual e nacional do sistema Unimed”, disse Maurício Cerri, gerente de TI da Unimed Fesp.
Ele diz que as operadoras participantes não responderão para o DPO central da Federação, mas que as de pequeno porte poderão requisitar apoio na forma de consultoria. O principal papel da Federação será padronizar a implantação para as Unimed interessadas, e criar um grupo de trabalho com o passo a passo.
Para elucidar o conteúdo da LGPD, que está prevista para entrar em vigor em agosto deste ano, Caio César Lima, advogado da Ópice Blum, pontuou alguns pontos em uma palestra para os presentes. O primeiro conceito abordado foi o de dados pessoais. A definição do que pode identificar uma pessoa é parcialmente verdadeira. Ele explica que dados pessoais não se restringem à identificação direta, como nome ou CPF, mas também ao que, dentro de um contexto, pode tornar uma pessoa identificável.
Poderíamos dizer que nacionalidade não é um dado pessoal, por exemplo, se disséssemos que dados de 2 milhões de brasileiros foram vazados. A partir disso não é possível, sem mais informações, dizer quais foram estas pessoas. Mas, se um único estrangeiro estivesse presente na sala, e disséssemos que o dado vazado foi de um chileno, só com a nacionalidade, já seria possível a identificação. “É um conceito expansionista de dados pessoais. Na dúvida, vamos ter uma postura mais cautelosa e tratar como se todos os dados fossem pessoais”, disse Caio. No outro extremo temos os dados anonimizados, que são aqueles que não identificam e nem tornam identificáveis. Estes estão isentos da LGPD.
“E os dados sensíveis, o que são? Holerite, senha do cartão? Nada disse são dados sensíveis para a Lei. Para fins da Legislação, são informações de origem racial e étnica, preferências políticas e filosóficas, orientação sexual, dados de saúde e filiação a sindicato. A lei não impede a coleta ou o tratamento desse tipo de dados, mas coloca barreiras ou requisitos a mais para manipulá-los”, ele diz. Hoje temos que ter o consentimento para adquirir e tratar esses dados de forma legítima, mas com a LGPD, o consentimento será uma das dez hipóteses disponíveis para o uso de dados pessoais.
Caio conta que o consentimento não será abandonado, até porque é uma das formas mais objetivas de se comprovar. Mas será possível, por exemplo tratar dados pessoais para a execução de um contrato, por obrigações legais ou diligências pré contratuais, mesmo sem a autorização do titular. Também será possível possível armazenar dados para o exercício regular do direito, para proteção em casos de eventuais ações judiciais. “Essa lei vai trazer diversos direitos ao titulares, mas devemos pensar que não existem direitos absolutos, nem mesmo o direito à vida. Todo direito tem que ser sopesado diante de um caso concreto. Então ainda que o cidadão tenha o direito de pedir a exclusão dos seus dados, esse não é um direito absoluto.”
Segundo o advogado, as empresas deverão seguir três grandes princípios: finalidade, adequação e necessidade. A finalidade é a transparência com o titular sobre para que o dado está sendo armazenado e tratado. A adequação é a compatibilidade com a finalidade que se quer atingir no fim, e devem-se ser utilizados dados minimamente necessários. Diante deste contexto, há a possibilidade de que se argumente, por parte do titular, que os dados presentes na instituição são excessivos.
A partir desta lei, será possível para o titular perguntar se existem dados pessoais dele em uma instituição, e se sim, até solicitar a exclusão. Caio diz que as empresas terão que implantar mecanismos para, em primeiro lugar, saber se o solicitante é mesmo a pessoa que ele diz ser. Caso contrário pode haver um incidente de segurança da informação por parte da instituição, pelo cumprimento incorreto da lei. O titular terá direito a um relatório simples imediato, em 15min ou 30min, e outro completo dentro de 15 dias, o que facilitará a portabilidade de tratamento, por exemplo. Os sistemas terão que ser preparados para atender a essa demanda, ele ressalta. Em caso de dados contendo segredo ou inteligência de negócios, há uma justificativa para que a instituição não entregue os dados.
O encarregado de todas as questões sobre o que ou não liberar, as justificativas, o controle, tratamento e o fluxo da informação é o DPO. Ele também é o ponto de contato para eventuais situações e demandas do consumidor e órgãos legais em relação aos dados da instituição. Não é necessário que essa pessoa seja o CIO e nem um advogado, mas alguém que tenha um certo conhecimento de tecnologia e jurídico.
Hoje, se há um vazamento, a empresa não precisa comunicar aos usuários o incidente. A partir da vigência da LPGD a notificação será mandatória para o titular dos dados e para a Autoridade Nacional de Proteção de Dados (ANPD), se estes trouxerem riscos para o titular. Um vazamento de dados podem custar até 2% do faturamento do grupo econômico para as empresas, com teto de 50 milhões de reais para cada ato de infração.
Luis Kiatake, presidente da Sociedade Brasileira de Informática em Saúde (SBIS), contou que o papel da SBIS é auxiliar as instituições de saúde no processo de conformidade com a LGDP. Isso é útil, por exemplo, no demonstrativo do cumprimento de boas práticas para atenuantes de pena no caso de incidentes.
Para finalizar, ele trouxe um ponto importante, e não muito mencionado. “Sabemos do papel social que a informação, que os dados têm. Seria interessante se começarmos a pensar, em formas para doação de dados após a morte, como acontece com órgãos. Não de forma prioritária, mas em um segundo momento”.
(*) Fernanda Fortuna é Engenheira Biomédica pela Universidade Federal do ABC, Fernanda passou um ano na Escócia estudando Engenharia Mecânica. Após retornar ao Brasil, emprendeu na área de robótica e reabilitação. Apaixonada por tecnologia e saúde, hoje atua na curadoria de conteúdo para os eventos Saúde Business Fórum, Hospitalar e Healthcare Innovation Show.
Fonte: Saúde Business, em 18.04.2019.