Empresas adequadas à LGPD terão vantagem competitiva
Apesar do checklist extenso e das diversas ações necessárias, as empresas que se adequarem mais rápido estarão na frente das demais, alerta advogado
Uma empresa, dependendo do seu tamanho, pode levar de seis a oito meses para se adequar à LGPD. E precisa seguir um checklist bastante detalhado das ações a tomar. Apesar dessa dificuldade, para o especialista as empresas que se adequarem primeiro à LGPD terão uma vantagem competitiva sobre as demais. Quem faz o alerta é Diogo de Souza e Mello, advogado do Senai Cetiqt, professor e membro da CDC da OAB-RJ e um dos professores do curso sobre a LGPD que a PROTESTE está preparando. Em entrevista ao ConectaJá, o advogado comenta ainda sobre o uso dos dados pelo setor de saúde e as consequências de não se utilizar a LGPD. Veja a entrevista na íntegra:
Quanto tempo leva para uma empresa se adequar 100% à LGPD?
As empresas terão até o mês de maio de 2021 para se adequar à Lei nº 13.709/2018. O tempo de adequação pode variar por três motivos: de acordo com o tamanho da empresa, a capacidade de investimento aportado e o grau de maturidade quanto aos seus processos internos. Uma estimativa razoável seria em torno de 6 a 8 meses.
E quais são os passos?
Algumas empresas poderão contar com seu pessoal próprio. Outras, certamente deverão contratar serviços específicos para se adequar. Todavia, a premissa insuperável, em ambos os casos, é que as empresas busquem conhecimento através de cursos de alta performance em instituições reconhecidas, além de iniciativas como seminários e palestras, sendo esse o primeiro passo.
Recomenda-se que as empresas façam um check list abordando, em síntese, sete tópicos: A definição de responsabilidade, a documentação e mapeamento, a abrangência, o consentimento, acesso e comunicação, segurança e confidencialidade e, por último, governança.
Existe uma escada, que são as “etapas mínimas” para atingir a almejada adequação: as empresas devem revisitar e formular políticas internas e regras de boas práticas de governança; devem mapear os procedimentos internos incluindo reclamações e requerimentos de titulares; devem criar e intensificar as normas de segurança; devem acompanhar e observar os padrões técnicos que possam ser estabelecidos pela autoridade competente; devem estabelecer e estimular ações educativas e identificar e implantar mecanismos supervisão e de mitigação de riscos. Um bom curso ou treinamento deve abordar esses temas.
Adequação à LGPD representa vantagem competitiva
O aspecto da penalização por multas ou notificações é a parte chamada assim “ruim” da lei. Existe benefício para as empresas quando elas se adequam à LGPD?
Tenho dito e repetido em eventos e palestras que nenhuma empresa quer ser reconhecida por não ser transparente nem por abusar da confiança de seus clientes. A adequação, no entanto, significará vantagem competitiva. Não estou dizendo que uma empresa, mesmo fazendo tudo que é possível, ficará 100% imune, por exemplo, a ataques cibernéticos. Nenhum sistema é 100% imune ao longo do tempo, mas o que importará é que a empresa não tenha sido omissa e que tenha feito o que se espera dela, protegendo a privacidade dos dados pessoais de seus clientes.
Quais são as consequências de não utilizar a LGPD?
Vamos analisar como exemplo o caso do Facebook. A empresa já reconheceu que “escuta conversas” de seus usuários; já foi envolvida em casos de vazamentos de dados dos usuários e multada por isso; já esteve no epicentro do famoso caso da Cambridge Analytica sendo notícia no mundo tudo, e com isso perdeu muito dinheiro. Em outras palavras, perdeu valor de mercado. Estamos falando de quantias de US$ 120 bilhões em perda de valor de mercado.
Não se adequar à LGPD, portanto, importa tanto na possibilidade da empresa perder valor de mercado, quanto na possibilidade de multa sobre o faturamento da empresa, cujos valores podem chegar a até R$ 50 milhões. A empresa pode perder clientela e ser engolida pelo concorrente.
Para emitir as notas fiscais de venda ou prestação de serviços as empresas necessitam coletar dados pessoais como nome, endereço, CPF, etc. Como isso será tratado na lei?
A pergunta é muito interessante. E a resposta é: depende da necessidade e do motivo. A explicação começa pela diferença entre dados pessoais e dados cadastrais. O art. 5º da LGPD nº 13.709/2018 diz que toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade, e de privacidade. Dados pessoais são as informações relacionadas à pessoa natural identificada ou identificável. Os dados podem ser físicos ou digitais, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa.
Já os dados cadastrais são aqueles que informam qualificação pessoal, filiação e endereço, estado civil, profissão. Em razão da natureza das informações, encontram-se em uma esfera mais pública e, portanto, são menos sigilosos, são mais públicos do que privados. Sequer é necessária ordem judicial para que uma autoridade administrativa possa requisitar (ter acesso) aos dados cadastrais. Essa definição está no Marco Civil da Internet (art. 10).
Como fica a questão da LGPD para clínicas médicas, em que os dados do paciente tem que ficar acessíveis às secretarias para liberação de exames junto aos planos de saúde?
Não dá para imaginarmos que entre clínicas, hospitais e planos de saúde não se possa ter uma flexibilização no compartilhamento de dados ainda que sensíveis, sob o risco de inviabilizar a operação dessas empresas e comprometer a prestação dos serviços ao consumidor titular dos dados. A LGPD permite o tratamento de dados para a tutela da saúde, no entanto, esse tratamento deve ter como premissa ser sempre em benefício do titular dos dados pessoais (na prestação dos serviços) e ainda assegurar a portabilidade.
É permitido o uso dos dados críticos de saúde, porém de forma anonimizada para fins de estudos ou mesmo venda destes?
O tratamento de dados sensíveis deve ser visto com especial atenção, pois os danos eventualmente ocasionados são potencialmente gravosos. A LGPD no seu art. 11 permite o tratamento de dados pessoais sensíveis na tutela da saúde, sendo vedado o uso com finalidades meramente econômicas. Já o uso para estudos é permitido.
Fica resguardada como exceção, por exemplo, a notificação compulsória de determinadas doenças, o que se dá através de base legal. A anonimização consiste em uma técnica para separar a informação contida no dado do seu titular. Ou seja, são aqueles que não estão mais associados a uma pessoa. Os dados estatísticos são exemplos da técnica de anonimização.
Um complemento importante para essa pergunta é a possibilidade de a ANPD regular de forma complementar situações como essa, com base em padrões e técnicas reconhecidas.
O hospital/clínica deve dar a opção de excluir toda a informação contida no sistema, se o paciente solicitar? E como fica a parte de que o hospital tem de guardar o prontuário por 20 anos?
O direito de eliminar dados está resguardado pela Lei, o que nada mais é do que o exercício do direito à privacidade. A LGPD determina ainda como regra, que os dados pessoais serão eliminados após encerrado o tratamento, no âmbito e nos limites técnicos das atividades finalísticas. A palavra chave é “finalidade”.
Existem hipóteses onde fica autorizada a conservação dos dados para finalidades específicas como no caso da sua pergunta. São elas: no cumprimento de obrigação legal ou regulatória pelo controlador; e no estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Tais hipóteses devem ser esclarecidas ao titular na ocasião do tratamento em termos específicos. Então, por dever legal, o médico ou a clínica deverá informar claramente a finalidade necessária da guarda do prontuário por 20 anos, cumprindo as normas do CFM, ficando neste caso responsável pela guarda e armazenamento.
O Conselho de Medicina define “prontuário médico” como sendo o “documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo”.
Até agosto de 2020, as empresas brasileiras deverão tomar ações para estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Por isso, a PROTESTE lançou o curso Save the Data, que vai capacitar profissionais que lidam com dados pessoais e prepará-los para adequar suas empresas à lei. Conheça.