LGPD na área da saúde

Como a Lei Geral de Proteção de Dados será aplicada na área da Saúde ?

Por Ana Luiza Vieira Santos em 10/11/2019 | Aperfeiçoamento Profissional | Comentários: 1

I- Introdução

Com a avanço dos meios de comunicação, tecnologias e a transformação digital estão em discussão aspectos relativos à Privacidade de Dados.

O ciclo de vida do dado é fundamental em razão da atividade ser realizada em cada área de organização com respectivos pontos focais, formas de coleta, transmissão, uso e armazenamento.

A Lei Geral de Proteção de Dados, que passará vigorar a partir de agosto de 2020 no Brasil, está movimentando Organizações brasileiras na adequação às exigências legais e técnicas para atendimento aos princípios e requisito da lei.

O uso e análise de dados em saúde certamente para melhoria constante protocolo clínicos e comparabilidade de casos. O tratamento de dados para prestação da assistência à saúde.

O setor de saúdedeve garantir plena ciência do uso dos dados e que o paciente concorde quando requerido com a utilização de dados.

II – A tecnologia no decurso tempo das gerações

No mundo dos negócios um grande espelho do empreendedorismo, da inovação e criatividade é a tecnologia.

Atualmente o ciclo de mudança é de 10 anos no máximo. Há pouco mais de 10 anos, o iPhone ainda não havia sido inventado, não existiam aplicativos de smartphone como hoje denominamos de Facebook era um site mais do que plataforma atual.

Estamos rodeados de inovações promovidas pela tecnologia, por exemplo, o Facebook, Instagram, vídeo de Youtube, ou mesmo quando chamamos um táxi ou motorista particular pelo aplicativo. A maior parte da nossa comunicação é realizada pela via computador, smartphone ou tablet.

Hoje vivemos uma verdadeira evolução e muito em breve, receberemos encomendas por drones, programados com esta finalidade. Logo, algoritmos serão utilizados como instrumento de investigação criminal. A maneira como se tratará doença será diferente, exames, monitoramento cardíaco, dentre outros, terá acesso as informações por intermédio dos smartphones.

O Berço da Revolução Tecnológica foi o Vale do Silício, uma região da Califórnia onde estão abrigadas as maiores empresas de tecnologia. e o termo surgiu no ano de 1971, quando a revista Eletronic News utilizou essa nomenclatura pela primeira vez.

O desenvolvimento do Norte Califórnia iniciou na década de 50, impulsionado pelo investimento em tecnologia de ponta na Guerra Fria. Assim, com a consolidação das grandes empresas que surgiram nas décadas seguintes, Intel, Microsoft e Apple. O mercado local ficou extremamente aquecido e atraiu outros investimentos. Nesta primeira fase, o Vale do Silício incorreu numa expansão nunca vista antes na história da tecnologia e empresas. Diante de tantas empresas inovadores instaladas na região da Califórnia virou o paraíso dos fundos de investimentos, especialmente focados em venture capital[1].

Por trás de tantas reviravoltas econômicas e políticas, o fenômeno da globalização foi massificado pelo crescimento da tecnologia nas últimas décadas e as quebras das hegemonias mundiais são os principais agentes dessa mudança. Objeto de impulso de novas ferramentas tecnológicas.

Tal evolução prosseguiu para uma denominada sociedade de informação, fomentada pelo advento da internet e massiva produção de conteúdo decorrente de interações e transações realizadas dentre os usuários no ambiente virtual. As entidades privadas e governos cada vez mais buscam obter constituir bancos de dados vastos sobre informações pessoais, com finalidade de identificar padrões de comportamento, monitoramento de cidadãos e a análise de padrão de consumo, dentre outras diversas finalidades que vão sendo criadas à medida que a tecnologia se desenvolve[2].

Nesse contexto, o controle sobre as informações dizem respeito à pessoa que atingiu o direito protegido pela Magna Carta, pois não apenas prevê em seu texto, mas os insere no rol de garantias que não poderão ser alterados nem mesmo pela mudança na Magna Carta, os denominados direitos fundamentais, como é o caso do Direito à intimidade, a vida privada, à honra e imagem[3], à inviolabilidade da correspondência, dados e comunicações[4], garantia de acesso à informação[5], dentre outros.

Tais modificações sociais trazidas especialmente pela tecnologia, tanto pelos poderes legislativos e judiciário passaram a apresentar indicativo e alterações indispensáveis no cenário brasileiro, visando a concretização dos direitos constitucionais. As premissas elencadas são embasadas no seguinte julgado:

“ O Ministro do STJ Ruy Rosado em voto proferido no Recurso Especial 22.337-9/RS, ocorrido realizado em 13 de fevereiro de 1995: A importância do tema cresce de ponto quando se observa o número imenso de atos de vida humana praticados através da mídia eletrônica ou registrados nos disquetes de computador. Na Alemanha, por exemplo, a questão está posta nos níveis das garantias fundamentais, como o direito de autodeterminação informacional (o cidadão é quem tem o direito de saber quem sabe o que sobre ele), além da instituição de órgãos independentes (...), com poderes para fiscalizar o registro de dados informatizados (...)”

1.2 Noções introdutórias sobre a Lei de Proteção de Dados Pessoais (LGPD) na saúde

Antes do advento da LGPD, a legislação infraconstitucional brasileira tratou de conceder à tutela às garantias fundamentais relacionada a privacidade por intermédio de instrumentos de atribuir ferramentas aos titulares de dados pessoais.

A Magna Carta inseriu no seu texto legal a proteção de dados pessoais ao estabelecer a Política Nacional de Informática, a Lei n. 7.323 de 1984, como um dos princípios o estabelecimento de mecanismo e instrumentos legais e técnicos para proteção do sigilo dos dados armazenados, processados e veiculados, no tocante ao interesse, privacidade e segurança das pessoas físicas e jurídicas, privadas e públicas e estabelecimento de mecanismos e instrumentos para assegurar todo cidadão o direito ao acesso e à retificação de informações sobre ele existentes em bases de dados públicas ou privadas[6].

Posteriormente, o Código de Defesa do Consumidor (Lei n. 8.078/1990) também impôs uma série de direitos e garantias aos titulares voltados especificamente a dados pessoais, sendo uma primeira lei trazendo preceitos normativos na proteção de dados[7].

Nesta esteira, o Código de Defesa do Consumidor além de contemplar direitos na seara do consumidor, pressupõe uma inovação no que compete a tutela de dados pessoais decorrente da conceituação de informações sensíveis, definidas como aquelas pertinentes à origem social e técnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas[8].

A edição da LGPD já tinha dispositivos que garantiam a privacidade de dados de usuários, a título exemplificativo a Lei n. 12.965, de 23 de abril de 2014, mais conhecida como as garantias, direitos e deveres para o uso da internet no Brasil.

No ano de 2014, após inúmeras discussões legislativas adveio o Marco Civil da Internet (Lei n. 12.965 de 23 de abril de 2014), que se caracterizou por ser um marco regulatório sobre a internet no Brasil, que efetivamente integrou a tutela de dados pessoais, mas limitada ao ambiente web.

Dentre as inovações trazidas pela Lei n. 12.965 de 23 de abril de 2014, destacam-se os seguintes quesitos: o fornecimento de dados pessoais a terceiros sem prévio consentimento do titular constitui violação direito do cidadão,[9]o titular dos dados pessoais passou a ter expresso direito a informações claras e completas referentes a coleta, uso e tratamento de seus dados,[10]limitação da coleta e tratamento de dados a finalidades específicas,[11]necessidade de consentimento expresso para coleta, uso, armazenamento e tratamento de dados pessoais[12] e possibilidade de exclusão dos dados pessoais objeto de tratamento fornecidos e provedores de aplicação[13].

Percebe-se que o legislador brasileiro evoluiu no pensamento da proteção de dados, ao nível de autodeterminação informacional, sendo este o direito de todo cidadão de ter o controle sobre suas informações, de forma que possa ter prerrogativa na escolha que compete à divulgação e utilização de dados pessoais.

Neste mesmo raciocínio, o Poder Judiciário, por seu turno tem como recepção a lei do direito fundamental tem como corpo jurídico brasileiro o espectro do direito fundamental à privacidade[14].

Desde a década de 70, a União Europeia tutela o tema de controle do processamento de dados pelo poder público e grandes empresas, com finalidade de controlar o processamento de dados pelo poder público e grandes empresas. Depois de diversos debates e disposições regulamentares a União Europeia aprovou o Regulamento Geral de Proteção de Dados Pessoais n. 679, em 27 de abril de 2016 (GDPR), cuja aplicação iniciou em 27 de abril de 2018.

A GDPR consiste numa norma com força de lei que tutela o tratamento de dados pessoais realizados nos estabelecimentos na União Europeia, que visam cuidar dos dados para oferecimento de produtos e serviços a titulares localizados na região[15].

Por esta razão, tornou-se indispensável a criação de uma norma que consolidasse os padrões adequados à proteção de dados pessoais em qualquer aspecto. Logo, além das penalidades o Regulamento Geral de Proteção de Dados possibilitou a compatibilidade de proteção de dados, que pudessem ser priorizados levando a aprovação da LGPD que terá uma vigência em 16 de agosto de 2020.

A Lei n. 13.709 de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) foi aprovada no Congresso Nacional após a entrada em vigor da legislação europeia GDPR (General Data Protection Regulation).

Tal lei adveio do escândalo envolvendo Facebook, o Cambrige Analytica e o direcionamento e customização da campanha americana que elegeu o presidente dos Estados Unidos, Donald Trump e no Brasil também tramitou diversas investigações envolvendo a venda de dados por farmácia à indústria.

Numa visão simplificada, pode-se aduzir que as legislações europeia e brasileira exigem do controlador solicite o consentimento do titular do dado o poder de tratá-lo, informando a destinação que será dada. Assim, os dados de saúde, por sua vez, têm exigência para o consentimento que deve ser concedido para finalidades específicas e destacadas.

A requisição de consentimento é evidente empoderamento do titular dos dados, pois poderá por exemplo, requerer informações aos controladores sobre seu uso, além de certas situações solicitar a exclusão da base do controlador.

Assim, ao colher o dado do usuário, todo e qualquer estabelecimento deve ponderar da necessidade da solicitação da informação para viabilizar a oferta do produto ou serviços aos usuários, pois não se pode exigir que uma pessoa informe sempre o seu CPF quando for adquirir um medicamento numa farmácia.

Nesta esteira, o marco civil da internet assegura o usuário: a inviolabilidade e sigilo de dados, além do acesso a informações claras e completas e o direito do consentimento. A LGPD veio para consolidar muitos garantias e direitos que antes eram tratados pelas normas do direito positivo de forma esparsa.

A LGPD tutela o tratamento de dados pessoais, dentre eles, o realizado nos meios digitais por qualquer pessoa. Ora, tal lei tutela dados de meios físicos como eletrônicos, dentro e fora da internet que se aplica tanto aos entes públicos quanto particulares, sejam eles pessoas jurídicas ou físicas que realizem tratamento de dados.

O empoeiramento do paciente e o reconhecimento de sua participação no processo de assistência à saúde, tem sido cada vez mais difundidos no estabelecimento de saúde do país. Nos últimos anos, verifica-se um aumento significativo da utilização do Termos de Consentimentos, por intermédio dos quais os pacientes ou seus responsáveis formalizam sua concordância com o tratamento proposto e tomam conhecimento dos riscos envolvidos.

Esclarece que na LGPD o consentimento pode ser revogado a qualquer momento. Na saúde o legislador houve por bem garantir que os serviços de saúde figurem dentre as exceções para o consentimento. Por outro lado, não há sentido algum de se exigir a requisição da autorização de um paciente para coleta de um dado que é essencial à própria prestação do serviço.

Ora, independentemente, do estabelecimento pode-se optar por utilizar o dado para outro fim que não apenas o atendimento do paciente, uma vez que estará obrigado a requerer seu consentimento, que poderá ser revogado a qualquer tempo.

O setor da saúde neste descompasso, além de empoderar o paciente na escolha do melhor tratamento de saúde, também deverá garantir que ele tenha plena saúde e concorde quando requerido, com a utilização dos dados.

Na análise de dados em saúde certamente colaborarão para de uma melhoria constante de protocolos clínicos e comparabilidade de casos. De tal modo, o tratamento de dados para prestação da assistência à saúde propriamente dita não depende do consentimento do paciente, a longo prazo, uma vez que se vislumbra uma utilização cada vez maior de informações para inovação e revisão de procedimentos.

Nesta perspectiva de implementação de um sistema de compartilhamento de dados de saúde mínimo. Por ser um sistema, um estabelecimento que terá acesso um histórico básico do paciente e ao último ao atendimento realizado. O acesso a esses dados tem objetivo de reduzir os custos da assistência à saúde, mas também aumenta consideravelmente a importância de uma cultura de segurança de informação, por ser uma porta de comunicação que estarão abertas.

É fundamental que a ANPD convoque os outros agentes reguladores do setor da saúde (Agência Nacional de Saúde Suplementar, Agência Nacional de Vigilância Sanitária, Ministério da Saúde), para tratar da utilização de dados com respaldo ao próprio paciente.

III – A Lei Geral de Proteção de Dados (LGPD) no setor da saúde

No Capítulo I da LGPD houve uma distinção acerca do dado pessoal e o dado pessoal sensível. O dado pessoal é compreendido como uma informação relacionada à pessoa natural identificada. Já o dado pessoal sensível é o dado pessoal sobre origem racional ou étnica, convicção, religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado atinente à saúde ou à vida sexual dado genético ou biométrico, quando vinculado a uma pessoa natural[16].

O tratamento protetivo da lei e os fundamentos prescritos no artigo 2˚, em especial concerne à privacidade e a autodeterminação informativa, que se constitui o poder do individuo determinar e controlar a utilização de seus dados pessoais, a LGPD, dentre as suas disposições legais, prevê o consentimento do titular de dados sensíveis não poderá ser realizado de forma genérica ou para finalidade não especificadas. Portanto, corresponde a verificação restritiva de tratamento de dados pessoais.

Neste sentido, o tratamento de dados pessoais ocorre mediante o consentimento do titular dos dados ou seu responsável deve ser utilizado com parcimônia, uma vez que o controlador ter que demonstrar de forma destacada todos os tratamentos que os dados serão submetidos de forma clara e inequívoca, o titular, a qualquer momento, revogar o consentimento outorgado, impondo ao controlador a imediata suspensão do tratamento.

Por outro lado, a LGPD preceitua o tratamento de dados pessoais sensíveis que poderá ser realizado sem o consentimento do titular dos dados ou seu responsável legal para o cumprimento da obrigação legal ou regulatória.

O setor da saúde é um dos setores que mais sofrerá impactos com essa previsão, uma vez que trata da esfera do Poder Público, por exemplo, na Saúde Suplementar, seja no SUS.

Para exemplificação no presente artigo, no caso das notificações compulsórias a depender do evento de saúde registrado, cabe serviço de saúde notificar ao Sistema de Vigilância Sanitária, com a finalidade de garantir um controle epidemiológico[17].

A doença ou agravo verificado deverá ser observado o prazo de 24 horas para que a autoridade de saúde responsável possa ser informada, de modo que na posse das informações promova a divulgação dos dados públicos, com finalidade dos profissionais de saúde, órgãos de controle social e para população em geral.

Dentre a extensa lista e doença e agravos, cita-se a obrigatoriedade da notificação compulsória dos seguintes casos: a doença com suspeita de disseminação intencional, por exemplo, antraz pneumônico, tularemia e varíola, doença febris hemorrágicas emergentes, doenças exantemáticas, por exemplo, sarampo e rubéola e os casos de violência sexual e tentativa de suicídio.

Neste contexto, subtende-se que de fato o maior coletor de dados pessoais é o Poder Público, seja realizada a coleta de forma direta como por exemplo, os hospitais, seja na forma indireta, por intermédio das agências reguladoras.

No que tange à assistência prestada no SUS, verificou-se no decurso do tempo a necessidade da Administração Pública obter informações integradas de atividade assistencial desenvolvida em rede de saúde pública suplementar e privada no território nacional, subsidiando a gestão, planejamento, avaliação dos serviços de saúde e investigação clínica.

A Comissão Intergestores Tripartite, instituiu o Conjunto Mínimo de Dados (CMD) de atenção à saúde, com fulcro de subsidiar a formulação, o monitoramento e a avaliação das políticas de saúde, viabilizando inclusive as informações do SUS e da Saúde Suplementar.

De acordo, com o preceito normativo que compõem o CMD: os dados administrativos relacionados com a gestão de recurso dos estabelecimentos de saúde, dados clínico-administrativos, atinente à gestão dos pacientes e dados clínicos, relacionados ao estado de saúde ou doença dos indivíduos, expressos em diagnósticos, procedimentos e tratamentos realizados.

Dentre as exceções elencadas pela LGPD traz ao titular o consentimento dos dados para realização de estudos por órgãos de pesquisa, garantindo a anominazação dos dados pessoais sensíveis.

Primeiramente, de acordo com a definição prevista na legislação somente serão enquadrados como órgãos de pesquisa, órgão ou uma entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos, com sede e foro no País, que tem a missão institucional básica aplicada ao caráter histórico, tecnológico ou estático[18].

Nesta esteira, a anominazção é verificada quando o controlador dos dados utiliza meios técnicos razoáveis e disponíveis, dentre os quais o dado perde a oportunidade de ser associado direta ou indiretamente ao indivíduo.

Partindo desse pressuposto, o processo de anominazação não é possível identificar o titular dos dados pessoais, haja vista que a LGPD preceitua que os dados anonimizados não serão considerados dados pessoais, exceto quando o processo em causa for revertido[19].

No ato de publicação da LGPD havia uma vedação expressa com relação a comunicação e compartilhamento de dados referentes à saúde com finalidade de obter vantagem econômica.

Tal restrição teve como finalidade vedar a obter de vantagem econômica com a venda de dados propriamente dita. Ademais, vale ressaltar que pouco dias antes da edição da LGPD foram divulgados casos de venda de drogarias.

O compartilhamento de dados previsto no SUS e na Saúde Suplementar foram necessários para viabilizar o faturamento, uma vez que não estariam abrangidos pela vedação.

É patente que o setor da saúde incorreu em grandes mudanças. Ora, o gestor da saúde viu dentre as suas atribuições paulatinamente serem mudadas ao longo dos anos, por outras novas e mais complexas, pois há duas ou três décadas eram absolutamente desconhecidos no setor, como por exemplo, compliance, lean mangement, hackers e big data, que viraram linguagem corrente dentre executivos da saúde e ocupam uma parte significativa de suas atividades ao longo de cada dia.

Assim, fazendo uma comparação com mitologia grega, ora, navio de Teseu que precisou de peças novas para continuar a navegação para continuarem a ser capazes de gerir instituições que atendem os pacientes de forma adequada, gestores de saúde precisam se renovar – e ainda que atividade futura tenha pouco relação com passada, é a finalidade da atuação do gestor que deve definir ferramentas que são utilizadas e não as ferramentas à mão que devem ditar a finalidade.

O gestor da saúde pressupõe que a finalidade sempre é a mesma, uma vez que oferece a assistência pertinente, com melhor qualidade, com experiência e cuidado tanto para os pacientes e para os colaboradores.

Neste contexto, a medida em que as necessidades dos pacientes se transformam e à medida em que as capacidades do setor da saúde de cuidar adequadamente dos pacientes aumentam, a natureza da atividade de gestão se altera. Ora, os executivos não são navios e adquirir novas competências, haja vista que requer um esforço maior do que simplesmente trocar uma peça.

Por fim, com advento da LGPD deve-se buscar conscientização de novas realidades que se apresentam. Tal realidade refere-se aos dados pacientes que são uma extensão dele próprio, pois merecem tanto respeito e cuidado no trato do paciente em si. Tal mudança de fato é de suma importância para o gestor priorizar a estrutura da tecnologia de informação e as atividades de gestão de processos, de capacitação da equipe e de segurança da informação que são necessárias a uma gestão adequada dos dados em uma instituição. O gestor da saúde assistiria de forma impassível o desenrolar de um processo que potencialmente ameaça a segurança do paciente tampouco deve ele ter uma postura passiva com relação as ameaças à segurança de dados do paciente.

IV – Compliance

Na Atenas Clássica dentre seres mitológicos Teseu era rei, guerreiro e conquistador. Num olhar no futuro o gestor da saúde frente a nova Lei Geral de Proteção de Dados (LGPD), precisa ser um conquistador.. Quem atua em um setor com mudanças tão constantes como o setor da saúde pode passar por reflexão semelhantes a estória de Teseu e seu navio.

O gestor da saúde viu suas atribuições paulatinamente serem mudada ao longo dos anos. No passado termos como compliance, lean, management, hackers e big data não eram linguagem corrente dos executivos da saúde.

À medida que as necessidades dos pacientes se transformam a capacidade do setor de saúde se adequam aos pacientes. Num caso específico da LGPD está é a realidade, uma vez que os dados dos pacientes são uma extensão dele próprio e merece respeito e cuidado no paciente em si.

A mudança de perspectiva é fundamental para gestor prioriza a estrutura de tecnologia de informação e as atividades de gestão de processos, da captação de equipe e segurança da informação que são necessárias para instituição.

A lei e as suas penalidades impõem sérios riscos a instituição da saúde e se organizadores não tomarem atitudes necessárias para adequação sofrerão em termos financeiros e no termo da imagem.

Assim, os dados dos pacientes no aspecto da gestão, não pode ocorrer apenas sob um ponto de vista de compliance legal. A LGPD não nasceu num capricho legislativo, nem um documento alheio à realidade social, mas efetiva crescente demanda de pacientes num momento histórico os dados pessoais começaram a ser coletado em grande volume e utilizado para fins diversos.

A proteção adequada de dados do paciente trata de uma demanda exclusiva de compliance, perante a obrigação ética de estabelecer, desde o começo uma relação de confiança, transparência com os clientes, no que tange, uma oportunidade para repensar o fluxo de informação dentro das instituições, em relação aos dados pessoais do paciente.

A proteção de dados é um dos deveres do gestor, uma vez que lidam com a saúde devem ter conhecimento dos detalhes técnicos chaves públicas e privadas de criptografia, blockchains, firewalls, certificado digitais e tecnologias.

A LGPD é um dos indícios de transformação digital baseada em dados nas capacidades de coleta, armazenamento, análise com base de dados em escala nova, com apoio de dispositivo e sensores integrados em rede de comunicação, a internet das coisas e de inteligência artificial.

É certo que os gestores de saúde não entraram por inteiro da jornada, a adequação à LGPD é um ponto de partida para desempenho da estratégia digital efetiva para instituição. A transformação digital é tão profunda pois alterará fundamentalmente a forma como os serviços de saúde serão prestados.

Ora, quem não liderar a transformação digital será liderado por ela. É certo que a transformação gera resistência e afeta interesses estabelecidos na complexidade da saúde. Logo, a gestão da mudança costume ser um dos maiores desafios de qualquer gestor, junto com as hard skills da gestão de projetos e financeira e do conhecimento transformação digital, o gestor precisará cada vez mais soft skills, persuasão, diplomacia, comunicação e habilidades políticas para liderar o processo.

A questão dos consumidores não estarem convencidos de que as empresas estão fazendo o suficiente para proteger as informações. Porém, há dez práticas importantes para estar em compliance com a lei, quais sejam: audite o mailing, analise o processo de coleta de dados, crie conteúdos personalizados para os clientes, convide os visitantes a se cadastrarem na lista de contatos, eduque a equipe de vendas, insira o CRM na rotina da equipe, entenda os detalhes dos dados coletados, tentar usar notificações push, reveja a declaração de privacidade da companhia e revise os processos.

V- Considerações Finais

A leitura deste artigo não trará repostas finais em relação à forma como deve ser feito a gestão, tratamento e a proteção dos dados pessoais, dados sensíveis e o modus operandi das aplicações da internet e a tecnologia.

O tratamento massivo de dados tem a finalidade de obter cada vez mais informações que se convencionado denominar de Big Data, uma vez que trata de um conjunto de dados extremamente amplo.

A dimensão o que de fato são dados pessoais reporta os possíveis danos originados da utilização deles, como deve ser protegida a privacidade, o que é permitido, o que não é permitido, visando meios e formas de ser devida tutela da privacidade a cada usuário da internet.

Para Comissão Europeia, os dados podem ser recolhidos legalmente de acordo com as regras, devendo ser legitima. A gestão dos dados pessoais tem a obrigação de evitar que sejam usados de forma incorreta e respeitar certos direitos ao proprietário dos dados, de acordo com a legislação na União Europeia.

A estratégica jurídica de proteção de dados pessoais e dados pessoais sensíveis deverão abranger e determinar um tratamento diferenciado dentre os dados pessoais e dados agregado animonizáveis. Os dados ante sua sensibilidade merecem maior proteção e quais dados podem ter sido como comuns. Assim, a estratégia é lidar com identificação do usuário a partir de dados que não seria associado diretamente ao usuário, uma vez que deve estruturar a autorização e consentimento do usuário para o uso de seus dados.

Diante da gama de tecnologia disponíveis e o avanço tecnológico tem caráter exponencial, haja vista que afirma a utilização de novas tecnologias e o cruzamento de base de dados pode reverter o caráter pessoal anteriormente anominizado, dependendo do caso concreto.

A tutela de dados pessoais decorre da conceituação de informações sensíveis, definidas pela ordem de origem social e étnica à saúde. A LGPD tem por finalidade o tratamento de dados para atingir a finalidade específica.

Os acordos de confidencialidade e políticas de privacidade serão importantes para os negócios que envolvam a tecnologia de informação, seguindo o princípio da transparência, equidade, prestação de contas e a responsabilidade corporativa, compliance.

Por fim, é possível verificar que a LGPD prevê um ciclo para o tratamento de dados, com começo e fim. Assim, a manutenção de dados sem uma finalidade a ser atingida ou exaurida poderá representar um risco ao controlador, tendo em vista que permanece responsável pelo dado ainda que não realize qualquer tratamento.

Bibliografia

DONEDA, Danilo, “Seminário de Proteção à Privacidade e aos Dados Pessoais – O Arcabouço Legal de Proteção à Privacidade e aos Dados Pessoais no Brasil”, Ministério da Justiça, DPDC, 2014, Color.

JÚDICE, Lucas Pimenta e NYBO, Erick Fontenele, “Direito das Startups” Juruá editora, São Paulo, 2016.

LIMA, Caio César Carvalho. “Objeto. Aplicação material e Aplicação territorial”, in MALDONADO, Viviane Nóbrega BLUM, Renato Ópice (coord.). “Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Européia” São Paulo: Thomson Reuters Brasil, 2018

MACHADO, Nunes, “LGPD na Saúde”, editora MF, São Paulo, 2019.

MENDES, Laura Schertel Ferreira, “Privacidade, Proteção de Dados e Defesa do Consumidor – Linhas Gerais de Um novo Direito Fundamental” Saraiva, 2014, Série IDP: linha de pesquisa acadêmica. Não paginado.

Notas

[1] As ventures capitals são investidores de riscos. Esse tipo do fundo investe em empresas que já estão faturando, mas ainda estão em fase de crescimento. (ABVCAP, 2005).

[2] SAUAIA, Hugo Moreira Lima, “A proteção dos dados pessoais no Brasil” Rio de Janeiro: Lumen Juris, 2009. Não paginado.

[3] Constituição Federal do Brasil: “art. 5˚ (...), inciso X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.

[4] Constituição Federal no Brasil: “art. 5˚(...), inciso XI – é inviolável o sigilo correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal.

[5] Constituição Federal do Brasil: art. 5˚(...), Inciso XIV – é assegurado a todo o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional.

[6] Lei n.7232, de 29 de outubro de 1984. Art. 2˚, incisos VIII e IX.

[7] MENDES, Laura Schertel Ferreira, “Privacidade, Proteção de Dados e Defesa do Consumidor – Linhas Gerais de Um novo Direito Fundamental” Saraiva, 2014, Série IDP: linha de pesquisa acadêmica. Não paginado.

Lei n. 8078, de 11 de setembro de 1980: “Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. §1˚Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos”. §2˚A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele”.

3˚ O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.
4˚ Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.

[8] Lei n. 12.414, de 9 de junho de 2011: art. 3˚, §3˚, inciso II. Posteriormente, a LGPD viria a classificar o “dado pessoal sensível no art. 5˚, inciso II, como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

[9] Lei n. 12.965 de 23 de abril de 2014: Art. 3˚ A disciplina do uso internet no Brasil tem os seguintes princípios: II – proteção da privacidade; III – proteção dos dados pessoais na forma da lei;

[10] Lei n. 12.965 de 23 de abril de 2014: “Art. 7˚ O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos (...) VII – não fornecimento a terceiros de dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei.

[11] Lei n. 12.965 de 23 de abril de 2014: “Art. 7˚ (...) VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de dados pessoais (...)

[12] Lei n. 12.965 de 23 de abril de 2014: “Art. 7˚ (...) tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidade que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; c) estejam especificadas nos contratos de prestação de serviços ou termos de uso de aplicações de internet.

[13] [13] Lei n. 12.965 de 23 de abril de 2014: “Art. 7˚ (...) IX -consentimento expresso sobre coleta, uso armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais.

[14] Destaca-se o Julgamento dos Embargos de Declaração no Recurso Especial n. 1630.889/DF, realizado em 27/11/2018, de relatoria da Ministra Nancy Andrighi: “Os direitos à intimidade e à proteção da vida privada, diretamente relacionados à utilização de dados pessoais por bancos de dados de proteção ao crédito, consagram o direito à autodeterminação informativa e encontram guarida constitucional no art. 5˚, X, da Carta Magna, que deve ser aplicado nas relações entre particulares por força de sua eficácia horizontal e privilegiado por imposição do princípio da máxima efetividade dos direitos fundamentais”.

[15] LIMA, Caio César Carvalho. “Objeto. Aplicação material e Aplicação territorial”, in MALDONADO, Viviane Nóbrega BLUM, Renato Ópice (coord.). “Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Européia” São Paulo: Thomson Reuters Brasil, 2018, página 31.

[16] Artigo 5˚, II, da Lei Federal n. 13.709, de 14 de agosto de 2019.

[17] Portaria de Consolidação SUS n. 04, de 28 de setembro de 2017.

[18] Lei Federal n. 13.709/2018, art. 5˚ Para fins desta Lei, considera-se:

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico tecnológico ou estatístico; e (Redação dada pela Medida Provisória n. 869, de 2018).

[19] Lei Federal n. 13.709/2018, art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

As opiniões expostas neste artigo não refletem necessariamente a opinião do Ibijus

Seguir este artigo

Sobre o autor

Ana Luiza Vieira Santos

• Mais de 10 anos de experiência profissional na área jurídica, tendo atuado principalmente em Direito Previdenciário, Trabalhista, Tributário e Cível, em escritórios de diferentes portes; • Sólida formação acadêmica, com graduação em faculdade de primeira linha na área jurídica, com pós-graduação concluída em Direito Tributário pela PUC-SP e em Direito Previdenciário pela EPD, pós-graduação LLM em Direito Tributário no Insper e em fase de conclusão do Mestrado em Direito Tributário – PUC-SP em outubro/2019 • Conteudista no curso de MBA em Planejamento tributário e Direito Previdenciário realizando elaboração de material didático, preparação e gravação de aulas. Grupo Kroton (2018-2019). • Elaboração de Material para curso de Direito Previdenciário para Faculdade Alfa América entre abril/2019 a junho/2019. - Coordenadora do curso de Pós-Graduação em Processo Civil na Faculdade FTC (curso em formação) - Realização de Minicurso de Direito Digital (jul/2019) e Tutela Provisória na Faculdade FTC (mai/2019).