Os advogados Patrícia Brasil Claudino e Marcelo Marques de Figueiredo conduziram evento online para auxiliar as clínicas associadas à adaptação da Lei 13.709/18, que entrou em vigor em setembro do ano passado
A Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/18 – entrou em vigor em setembro de 2020, com o objetivo principal de proteger os dados pessoais de pessoas físicas. Ela permitirá sanções que começarão a valer em agosto de 2021, o que incluir aplicação de multas, advertências, publicização de infrações, bloqueio dos dados a que se refere a infração, e até mesmo, a eliminação de dados a que se refere a infração.
Para contribuir à adaptação das empresas associadas à LGPD, a ABCVAC – Associação Brasileira de Clínicas de Vacinas promoveu no dia 28 de abril o workshop “A LGPD e seu impacto na área da saúde”, conduzido pela advogada, mestre em Direito dos Negócios, Patrícia Brasil Claudino, e pelo e pelo advogado, especialista em Direito Empresarial e em Direito e Processo do Trabalho, Marcelo Marques de Figueiredo.
A segmento da saúde é um dos mais impactados pela LGPD, isso porque tanto os dados pessoais quanto alguns dos dados sensíveis fazem parte dos prontuários necessários e das informações que uma clínica precisa para realizar o seu atendimento. Além disso, a personalização de tratamentos e medicamentos, assim como as tecnologias de apoio ao profissional de saúde, utilizam dados pessoais dos pacientes.
“As sanções previstas na LGPD não são apenas multas. Existe previsão de advertências e as multas especificamente partem de 2% do faturamento da empresa ou conglomerado, limitadas a R$ 50 milhões. Mas podem ser aplicadas multas diárias para o caso de vazamento ou na inconsistência do tratamento ou da proteção dos dados. A multa diária vai se estender até que haja solução para essa questão”, explicou Patrícia.
Segundo ela, uma penalidade que é bastante penosa para empresários, especialmente na área de serviços, como as clínicas de vacinas, é a publicização da infração, ou seja, tornar público que houve problema com a empresa, com dados dos clientes, a exemplo do já ocorreu recentemente com o Facebook e com a Uber, quando vazaram milhões de informações de usuários.
Fiscalização
A LGPD reporta a coordenação da proteção dos dados à Agência Nacional de Proteção de Dados (ANPD). O órgão já existe, mas ainda não está aplicando sanções. Ele fiscalizará o cumprimento da Lei, bem como, deverá orientar com normas complementares acerca da aplicação da LGPD, podendo ainda, flexibilizá-la para determinadas atividades e empresas de pequeno porte e microempresas.
Enquanto a ANPD não emite normas complementares sobre a aplicação da LGPD, permanecem obrigadas à LGPD toda pessoa natural ou pessoa jurídica, que realize operações de tratamento de dados em território nacional, que objetivem a oferta ou fornecimento de bens ou serviços, ou ainda, se o tratamento for de dados de indivíduos localizados no território nacional, ou se coletados dentro do país.
“O que eu posso assegurar é que a previsão na Lei é de que a ANPD regulará padrões técnicos mínimos de segurança, padrões para relatórios temporários e outros padrões de segurança mínima que deverão ser exigidas na comunidade empresarial como um todo. Hoje essa orientação ainda não existe para que possamos consultar e orientar melhor”, disse Patrícia.
A advogada ressaltou que a LGPD já traz uma obrigação para todos com relação a comunicar à ANPD quanto ao titular dos dados em caso de vazamento e isso deve ser observado desde já.
A Lei 13.709/18 foi criada para proteger dados de pessoas físicas, exclusivamente, e faz uma separação do que são apenas dados e dados sensíveis, que são aqueles que trazem uma relação maior sobre a intimidade ou as escolhas do titular do dado. Em síntese, ela trouxe uma proteção para as informações de pessoal natural, que tornem essa pessoa identificável. Pessoa jurídica não tem proteção no âmbito da LGPD.
De acordo com Patrícia, um conceito importante para se ter em mente é o de dado anonimizado, aquele que dentro do sistema e equipamentos da empresa existe, mas não se consegue correlacionar com alguém, ou seja, não permite identificar uma pessoa.
“A LGPD se aplica, sim, aos contratos com o consumidor. Ela traz o termo de consentimento para a utilização, coleta e qualquer tipo de contato que se tenha com dados fornecidos pelo consumidor. É indispensável que o empresário da cadeia por onde passarão essas informações, deixe o cliente ciente e tome dele o consentimento de que os dados coletados serão utilizados. Pode-se ainda utilizar para arquivo, realização de promoções, ações de vendas desde que o cliente concorde. O cliente tem que dar o consentimento e tem que concordar na utilização desses dados. E ele sempre poderá solicitar a exclusão”, esclarece a advogada.
A regra geral da LGPD é que o consumidor requer consentimento e informação sobre a utilização dos dados. Com fornecedores valem as mesmas regras para pessoas físicas.
Merece extrema atenção os dados circulados por e-mail e armazenados. Toda informação de pessoa natural que circule em e-mails precisa entrar no circuito de proteção, que as empresas já devem estar desenhando.
Além disso, rotinas de tecnologia e controle de dados é algo que as empresas precisam estabelecer desde já. Toda a questão da proteção de dados está ligada ao ambiente tecnológico. A cada dia a veiculação de informações e autorizações vem de maneira eletrônica, portanto o consentimento do cliente pode vir, também, de maneira eletrônica, mas esta informação, a partir do consentimento, junto com os dados, deve estar em uma esteira de circulação de informações de conhecimento da administração da empresa e absolutamente protegidos. O computador da empresa não pode permitir que se faça compartilhamento via pendrive, por exemplo.
LGPD nas rotinas do direito do trabalho
Figueiredo destacou que a LGPD também se aplica às relações de trabalho, porque um contrato de trabalho implica na coleta de grande quantidade de dados pessoais e sensíveis. A Lei em questão abrange todas as empresas/empregadores, inclusive públicos e MEIs.
“Deve-se dar atenção máxima aos dados pessoais, aos dados sensíveis, que são dados capazes de conferir tratamento discriminatório e ofender imagem ou honra da pessoa física. Desde a relação pré contratual, na seleção de um funcionário a Lei 13.709/19 já está valendo, a partir do recebimento de currículos enviados, físico ou eletrônicos”, ressaltou o advogado.
Segundo ele, se faz necessário tentar diminuir ao máximo os dados que são solicitados nas seleções e obter o consentimento da pessoa física para que a empresa possa manter esses dados ao menos até o final do processo seletivo. Deve-se evitar a coleta de informações sensíveis: eles não devem ser coletados.
“Em relação ao sujeito contratado, a aplicação da LGPD é diferente. Boa parte dos dados são exigidos porque a CLT exige, nesse caso não precisa de consentimento do empregado, mas isso não elimina o cuidado de a empresa ter o máximo de cuidado na gestão. Para todos os outros dados, o consentimento deve ser efetivo, formal, sempre, de preferência com a produção de um documento para o empregado”, alertou Figueiredo.