• administrativo@centraldoshospitais.com.br
    • (31) 3326-8001

LEI GERAL DE PROTEÇÃO DE DADOS A LGPD

Por João Paulo Gonçalves

 

Em 2018 o Congresso Nacional aprovou a lei nº 13.709, que definiu as condições para tratamento de dados pessoais no Brasil. A Lei Geral de Proteção de Dados, LGPD, conceitua dados pessoais, determina responsabilidades, estabelece obrigações e sanções, e cria e define poderes para a Autoridade Nacional de Proteção de Dados regulamentar, fiscalizar e multar os agentes de tratamento de dados que descumprirem as diretrizes.

1. Histórico

Publicada em agosto de 2018, a LGPD foi aprovada originalmente com vacatio legis de 18 meses. Ou seja, em sua primeira versão, a lei nº 13.709 foi planejada para ter sua vigência a partir de fevereiro de 2020, de forma que as instituições que tratam dados pessoais tivessem tempo para organizarem seus processos e estrutura de segurança.
Contudo, em atenção aos apelos por um prazo maior de adequação, por medida provisória, o então Presidente da República, Michel Temer, editou e publicou a Medida Provisória nº 869, alterando a vigência para agosto de 2020; um acréscimo de 6 meses ao prazo original.
A mesma MP 869 criou a Autoridade Nacional de Proteção de Dados, ANPD, que tem funções de regulação, fiscalização e sanção.
Em julho de 2019, a MP 869 foi convertida na lei nº 13.853, fixando o prazo de vigência da LGPD para agosto de 2020, e estabelecendo as bases de atuação da ANPD.
Durante o ano de 2020, com os impactos da Pandemia da COVID19, muitas foram as manifestações para uma nova alteração no prazo de vigência, e a LGPD passou por uma nova alteração. Em julho foi publicada a lei nº 14.010, que manteve a vigência da LGPD para agosto do mesmo ano, alterando o prazo para sanções administrativas, sendo essas previstas para agosto de 2021.
Em setembro de 2021 o Congresso Nacional votou a lei nº 14.058, que entre outras medidas para o enfrentamento à Pandemia da COVID19, discutia uma nova alteração na vigência da LGPD. Contudo, por uma questão relacionada ao regimento interno do Senador Federal, uma mesma matéria não poderia ser objeto de debate no mesmo exercício legislativo, o que prejudicou a votação da nova prorrogação, e manteve as definições de prazo e vigência anteriores.
Assim, a Lei Geral de Proteção de Dados é vigente, e tem duas obrigações exigíveis por titulares e representantes legais desde 19 de setembro de 2020; as sanções administrativas tem sua vigência a partir de 01 de agosto de 2021.

2. Marco Regulatório Nacional

Embora a LGPD seja uma “lei nova”, muitas de suas obrigações e conceitos já são previstos na legislação brasileira, com grande repercussão e rigor.
A Constituição Federal, 1988, estabelece em seu artigo 5º,X que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
Em 1990, com a publicação do Código de Defesa do Consumidor, lei nº 8078, já previa o acesso aos dados pessoais armazenados em bancos de dados, fichários, etc. (art. 43), e a ele (consumidor) é assegurado o direito de correção dos dados e de informação quanto às fontes.
Em 2011, a lei nº 12.414 estabeleceu critérios para formação de bancos de dados para formação de histórico de crédito, definindo regras para obtenção, guarda e uso dos dados pessoais tratados.
Em 2012, a lei nº 12.737 tipificou como crime o acesso não autorizado a “dispositivo informático”.
Já em 2014, a lei nº 12.965, ao estabelecer critérios, garantias e deveres para uso de internet no Brasil, incluiu entre seus princípios a segurança e a privacidade de informações pessoais, bem como a necessidade de consentimento, e limites de tratamento excessivo de dados pessoais, ou seja, sem finalidade adequada.
Ou seja, já é da nossa experiência legislativa e do nosso cotidiano a aplicação de conceitos de proteção e privacidade de dados, cabendo à LGPD um papel de verticalizar o tema, definindo critérios e estabelecendo sanções.

3. Referências Internacionais

A proteção à privacidade e definições para proteção de dados pessoais não são inovações do legislador pátrio nacional. Sequer nos coloca na vanguarda do tema em relação ao mundo. Ao publicar a LGPD o Brasil ocupa tardiamente uma posição entre os países que tem o tema como importante ao ponto de ser garantido por lei nacional.
A título de exemplo, a União Europeia (UE) desde a década de 90 tem o assunto em pauta, regulamentado por Diretivas da Grupo Econômico. Argentina, Chile e Uruguai, por citar, já possuem suas leis de proteção de dados a vários anos.
A relevância e o destaque para proteção e privacidade de dados se acentua com a Publicação, em 2016, do Regulamento Geral de Proteção de Dados da UE, que ao entrar em vigor em maio de 2018, pressionou outras nações a evoluir com suas regulamentações por força econômica.
Os Estados Unidos da América do Norte (EUA), em razão do seu modelo legislativo, não possuem uma única lei sobre o tema. Mas isso não significa que são menos exigentes, ou que não exista regulamentação, pelo contrário. As legislações estaduais, e os modelos de gestão e padronização de qualidade exigidos pelos órgãos de controle, fazem com que seja uma das mais complexas e rigorosas legislações para proteção de dados do mundo.

4. Principais Conceitos

A Lei Geral de Proteção de Dados cria direitos, impõe controles e estabelece sanções. Para sua adequação é fundamental que todos conheçam seus principais conceitos, permitindo a melhor compreensão do texto da lei assim como sua aplicação.
O que é indispensável ter ciência, conceitualmente:
o DADOS PESSOAIS: qualquer informação relativa a uma pessoa física identificada ou identificável (“Titular ou Titular dos Dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa;
o DADOS PESSOAIS SENSÍVEIS: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
o REPRESENTANTE DO TITULAR DOS DADOS: Representante legal ou, ao menos, um dos pais, para a coleta de consentimento quando ocorrer o tratamento de dados pessoais de criança;
o TRATAMENTO: significa toda e qualquer toda operação realizada com dados pessoais, seja por meio automatizado ou não, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
o CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
o OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do CONTROLADOR;
o AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD): é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD;
o SUBCONTRATADO: significa qualquer contratado pelo CONTRANTE, ou por qualquer outro subcontratado do CONTRATANTE que concorde em receber, do CONTRATANTE ou de qualquer outro subcontratado, os dados pessoais exclusivamente destinados para atividades de tratamento permitidas em conformidade às instruções do CONTRATANTE e nos termos deste instrumento;
o INCIDENTE DE SEGURANÇA: acontecimento indesejado ou inesperado que seja hábil a comprometer a segurança dos dados pessoais de pessoa física, tratados em decorrência do presente instrumento contratual, de modo a expô-los a acessos não autorizados, de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

5. Vigência

Com a publicação da LGPD em 2018, o prazo inicial de vigência estava foi definido para os primeiros meses de 2020. Contudo, a MP 869 alterou a vigência para agosto de 2020. Em razão da Pandemia da COVID19, a vigência das sanções foi alterada para agosto de 2021, permanecendo em 2020 a vigência para as demais obrigações.
Assim, temos:
• Obrigações de atendimento a direitos dos titulares, elaboração de documentos, gestão de incidentes e avaliações de impacto – início em 19/09/2020.
• Sanções administrativas (art. 52) – início em 01/08/2021

 

ADEQUAÇÃO À LGPD

Estar adequado à LGPD não implica em tão somente implantar elementos de segurança digital, ou ajustar contratos. Embora tecnologia seja indispensável para garantir a proteção aos dados, ter bons contratos estabelecendo regras para operadores, direito de regresso e responsabilidades seja igualmente uma condição de sucesso na jornada. A Lei Geral de Proteção de Dados exige que Organizações se preparem em diversas frentes, como também em alinhamento de processos, revisão de rotinas e preparação de pessoas.
Assim, a organização deverá garantir em sua documentação o controle e a gestão adequadas, conforme cada estrutura, interesse e avaliação de pertinência e risco.
Entendemos nossa participação no processo de adequação da organização, e nos colocamos prontos para contribuir com informações e orientação. Entretanto, destacamos alguns outros elementos que devem ser observados pela Organização quanto a seu procedimento interno para atendimento à LGPD.

Ações que devem ser observadas para a adequação:

1. Medidas Técnicas e Administrativas

São ações internas, de gestão e governança, que devem ser promovidas pela Organização, no sentido de proteger os dados e garantir que seu processamento seja adequado, prestigiando a privacidade das informações tratadas.
a. Segurança – Uso de software e hardware que garantam a proteção e a privacidade das informações, como DLP’s, Firewall, antivírus, criptografia para backup, armazenamento em nuvens, etc.
b. Processos – Alterações no uso dos dados a partir de políticas claras se segurança da informação e de privacidade; com revisão de acessos; imposição de senha forte; minimização de dados; anonimização, etc.
c. Pessoas – Treinamentos e capacitações para proteção e privacidade de dados, revisão periódica de desempenho e reforço contínuo de conceitos, assim como alterações no programa de integração de pessoal, incluindo políticas de segurança e privacidade, bem como orientações gerais sobre segurança da informação e riscos.

2. Áreas Envolvidas

A Lei Geral de Proteção de Dados tem características multidisciplinares, envolvendo toda a Organização, nos mais diversos setores e departamentos. É fundamental que todos se envolvam, participem e colaborem com o processo.

3. Relacionamento com Fornecedores de Tecnologia

Ao definir conceitos como “Controlador” e “Operador”, a LGPD garantiu que estejam claras as responsabilidades de cada “Agente de Tratamento de Dados”, inclusive seus vínculos de solidariedade.

A decisões de quanto ao tratamento, forma, conduta e processo, serão sempre do Controlador, cabendo ao Operador o alinhamento técnico e aplicação de tecnologia e outros mecanismos de gestão e guarda para garantir a segurança dos dados.

A Organização de Saúde é CONTROLADORA quanto aos DADOS de seus Sócios e Colaboradores, e OPERADOR de DADOS nos limites das responsabilidades assumidas no Contrato com seus clientes, quando garante o tratamento adequado e a segurança necessária, conforme estabelece a LGPD.

Envie sua dúvida sobre a LGPD para: