Boletim informativo bimestral do Sindicato
das Santas Casas de Misericórdia e Hospitais
Filantrópicos do Estado de São Paulo.

EDIÇÃO 17 – SETEMBRO/OUTUBRO DE 2019

Lei Geral de Proteção de Dados é destaque no 4º ConSINDHOSFIL

Entre os dias 17 e 18 de outubro será realizado o 4º ConSINDHOSFIL, evento destinado a profissionais da área de Gestão de Pessoas. Um dos temas abordados no Congresso será a Lei Geral de Proteção de Dados. A palestra será ministrada pelo advogado Rafael Bueno, sócio da ZMBS Advogados.

Confira entrevista:

Como a Lei Geral de Proteção de Dados impactará o setor da saúde? Quais são os principais desafios?

Em vista das características dos dados pessoais tratados por empresas do segmento da saúde, considerados sensíveis sob a ótica da LGPD (o termo “sensível” advém do fato de que essas informações podem sujeitar os seus titulares a práticas discriminatórias – dados relativos à saúde, vida sexual, origem racial ou étnica, dados genéticos ou biométricos, dentre outros), essas empresas estão submetidas a regras específicas na nova legislação, mais rigorosas se comparadas àquelas aplicadas aos dados pessoais comuns. É o que se observa, por exemplo, do rol de hipóteses legais que autorizam o tratamento de dados sensíveis (art. 11), no qual não se verifica a possibilidade de tratamento para atender interesses legítimos do controlador ou de terceiros, e da restrição quanto ao uso compartilhado de dados pessoais sensíveis relativos à saúde com objetivo de obter vantagem econômica, verificada, por exemplo, na seleção de riscos por operadoras de planos privados de assistência à saúde (art. 11, §4º). Diante deste cenário, a estruturação e implementação de um programa de privacidade de dados (diagnóstico, mapeamento das atividades, avaliação do nível de qualidade de governança e riscos de privacidade, elaboração de políticas internas etc.) e a mudança cultural da instituição voltada à governança de dados pessoais se apresentam como os principais desafios das empresas desse segmento.

O que ocorrerá caso ocorra um vazamento de dados? Quem fiscalizará se as instituições estão de acordo com a lei?

Na hipótese de vazamento de dados pessoais, espécie de incidente de segurança passível de riscos aos titulares dos dados, a LGPD determina que o controlador comunique a Autoridade Nacional de Proteção de Dados (ANPD) – órgão da administração pública federal, integrante da Presidência da República, responsável por implementar e fiscalizar o cumprimento da lei – e o titular dos dados em prazo razoável. Essa comunicação deverá ser acompanhada da descrição dos dados pessoais afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança adotadas para a proteção dos dados, riscos relacionados ao incidente, medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos negativos do incidente, bem como os motivos da demora em caso de comunicação não imediata. Em posse dessas informações e após regular processo administrativo, a ANPD poderá aplicar as penalidades prescritas no art. 52 da Lei, que variam de advertência, multa de até 2% (dois por cento) do faturamento (último exercício) da empresa ou grupo econômico, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, publicização da infração, bloqueio e eliminação dos dados pessoais a que se refere a infração.

O que a Lei Brasileira de Proteção de Dados tem a ver com a lei europeia?

Há um consenso no sentido de que a LGPD tem forte inspiração no regulamento europeu, denominado GDPR (General Data Protection Regulation). Isso pode ser observado a partir dos inúmeros relatórios apresentados por parlamentares durante a tramitação do PL 4.060/12, que deu origem à LGPD (Lei 13.709/18), nos quais há expressa referência à norma europeia de proteção de dados, bem como nos traços característicos comuns entre os diplomas legais, tais como as bases legais para o tratamento de dados pessoais, a possibilidade de exigência de relatórios de impacto (ou Data Protection Impact Assessment – DPIA, para a GDPR), as figuras do Encarregado (denominado na GDPR como Data Protection Officer – DPO) e da Autoridade de Proteção de Dados, dentre outros, guardadas as particularidades de cada regulação. De modo geral, a LGPD se apresenta como uma norma menos detalhada se comparada à GDPR, que por sua vez dedica boa parcela de seu conteúdo a definições e exemplos práticos.

Quais serão as principais áreas afetadas dentro dos hospitais?

Em vistas da amplitude da nova legislação, é possível afirmar que todas as áreas precisam se adaptar às regras estatuídas pela LGPD. Entretanto, determinados setores merecem uma atenção especial, seja pela natureza dos dados pessoais objetos de tratamento, seja pelo grande volume e fluxo desses dados. Tais setores demandam um nível maior de maturidade no quesito segurança e governança de dados pessoais, vez que sua exposição a incidentes tende a ser maior. Nos hospitais, pode-se destacar a área de Recursos Humanos, que por sua natureza, envolve um intenso fluxo de dados pessoais que tem origem na fase pré-contratual (p.ex. informações sobre o candidato, currículo, histórico), passando pela celebração do contrato de trabalho (p.ex. dados cadastrais, filiação sindical, dados dos familiares, tipo sanguíneo) e sua execução (valor do salário, doenças, acidentes, inclusão de dependente no plano de saúde, desconto de pensão alimentícia em folha) e por fim com a fase pós-contratual (p.ex. verbas rescisórias, motivo do desligamento, arquivamento de documentos). O relacionamento com terceiros, sobretudo com prestadores de serviço, também exigirá maiores cuidados por parte dos hospitais, na medida em que essas pessoas, na condição de operadores (pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador), podem originar um incidente de segurança de dados pessoais, atraindo a responsabilidade para o hospital (controlador). É o caso, por exemplo, de laboratórios contratados para a realização de análise de material biológico coletado no hospital. No mais, por se tratar de um projeto multidisciplinar, ganham ênfase as áreas de Tecnologia e Segurança da Informação, responsável pela implementação de padrões de segurança, sua manutenção e integridade, bem como o Jurídico e o Compliance, responsáveis pela remodelação documental (normas, políticas internas, revisão de contratos etc.), procedimental (governança corporativa e gestão de dados pessoais) e cultural (treinamentos e revisões periódicas do programa de proteção de dados pessoais) da instituição.

Lei Geral de Proteção de Dados é destaque no 4º ConSINDHOSFIL

Entre os dias 17 e 18 de outubro será realizado o 4º ConSINDHOSFIL, evento destinado a profissionais da área de Gestão de Pessoas. Um dos temas abordados no Congresso será a Lei Geral de Proteção de Dados. A palestra será ministrada pelo advogado Rafael Bueno, sócio da ZMBS Advogados.

Confira entrevista:

Como a Lei Geral de Proteção de Dados impactará o setor da saúde? Quais são os principais desafios?

Em vista das características dos dados pessoais tratados por empresas do segmento da saúde, considerados sensíveis sob a ótica da LGPD (o termo “sensível” advém do fato de que essas informações podem sujeitar os seus titulares a práticas discriminatórias – dados relativos à saúde, vida sexual, origem racial ou étnica, dados genéticos ou biométricos, dentre outros), essas empresas estão submetidas a regras específicas na nova legislação, mais rigorosas se comparadas àquelas aplicadas aos dados pessoais comuns. É o que se observa, por exemplo, do rol de hipóteses legais que autorizam o tratamento de dados sensíveis (art. 11), no qual não se verifica a possibilidade de tratamento para atender interesses legítimos do controlador ou de terceiros, e da restrição quanto ao uso compartilhado de dados pessoais sensíveis relativos à saúde com objetivo de obter vantagem econômica, verificada, por exemplo, na seleção de riscos por operadoras de planos privados de assistência à saúde (art. 11, §4º). Diante deste cenário, a estruturação e implementação de um programa de privacidade de dados (diagnóstico, mapeamento das atividades, avaliação do nível de qualidade de governança e riscos de privacidade, elaboração de políticas internas etc.) e a mudança cultural da instituição voltada à governança de dados pessoais se apresentam como os principais desafios das empresas desse segmento.

O que ocorrerá caso ocorra um vazamento de dados? Quem fiscalizará se as instituições estão de acordo com a lei?

Na hipótese de vazamento de dados pessoais, espécie de incidente de segurança passível de riscos aos titulares dos dados, a LGPD determina que o controlador comunique a Autoridade Nacional de Proteção de Dados (ANPD) – órgão da administração pública federal, integrante da Presidência da República, responsável por implementar e fiscalizar o cumprimento da lei – e o titular dos dados em prazo razoável. Essa comunicação deverá ser acompanhada da descrição dos dados pessoais afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança adotadas para a proteção dos dados, riscos relacionados ao incidente, medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos negativos do incidente, bem como os motivos da demora em caso de comunicação não imediata. Em posse dessas informações e após regular processo administrativo, a ANPD poderá aplicar as penalidades prescritas no art. 52 da Lei, que variam de advertência, multa de até 2% (dois por cento) do faturamento (último exercício) da empresa ou grupo econômico, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, publicização da infração, bloqueio e eliminação dos dados pessoais a que se refere a infração.

O que a Lei Brasileira de Proteção de Dados tem a ver com a lei europeia?

Há um consenso no sentido de que a LGPD tem forte inspiração no regulamento europeu, denominado GDPR (General Data Protection Regulation). Isso pode ser observado a partir dos inúmeros relatórios apresentados por parlamentares durante a tramitação do PL 4.060/12, que deu origem à LGPD (Lei 13.709/18), nos quais há expressa referência à norma europeia de proteção de dados, bem como nos traços característicos comuns entre os diplomas legais, tais como as bases legais para o tratamento de dados pessoais, a possibilidade de exigência de relatórios de impacto (ou Data Protection Impact Assessment – DPIA, para a GDPR), as figuras do Encarregado (denominado na GDPR como Data Protection Officer – DPO) e da Autoridade de Proteção de Dados, dentre outros, guardadas as particularidades de cada regulação. De modo geral, a LGPD se apresenta como uma norma menos detalhada se comparada à GDPR, que por sua vez dedica boa parcela de seu conteúdo a definições e exemplos práticos.

Quais serão as principais áreas afetadas dentro dos hospitais?

Em vistas da amplitude da nova legislação, é possível afirmar que todas as áreas precisam se adaptar às regras estatuídas pela LGPD. Entretanto, determinados setores merecem uma atenção especial, seja pela natureza dos dados pessoais objetos de tratamento, seja pelo grande volume e fluxo desses dados. Tais setores demandam um nível maior de maturidade no quesito segurança e governança de dados pessoais, vez que sua exposição a incidentes tende a ser maior. Nos hospitais, pode-se destacar a área de Recursos Humanos, que por sua natureza, envolve um intenso fluxo de dados pessoais que tem origem na fase pré-contratual (p.ex. informações sobre o candidato, currículo, histórico), passando pela celebração do contrato de trabalho (p.ex. dados cadastrais, filiação sindical, dados dos familiares, tipo sanguíneo) e sua execução (valor do salário, doenças, acidentes, inclusão de dependente no plano de saúde, desconto de pensão alimentícia em folha) e por fim com a fase pós-contratual (p.ex. verbas rescisórias, motivo do desligamento, arquivamento de documentos). O relacionamento com terceiros, sobretudo com prestadores de serviço, também exigirá maiores cuidados por parte dos hospitais, na medida em que essas pessoas, na condição de operadores (pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador), podem originar um incidente de segurança de dados pessoais, atraindo a responsabilidade para o hospital (controlador). É o caso, por exemplo, de laboratórios contratados para a realização de análise de material biológico coletado no hospital. No mais, por se tratar de um projeto multidisciplinar, ganham ênfase as áreas de Tecnologia e Segurança da Informação, responsável pela implementação de padrões de segurança, sua manutenção e integridade, bem como o Jurídico e o Compliance, responsáveis pela remodelação documental (normas, políticas internas, revisão de contratos etc.), procedimental (governança corporativa e gestão de dados pessoais) e cultural (treinamentos e revisões periódicas do programa de proteção de dados pessoais) da instituição.