Dumaresq Direito Médico

View Original

A sua empresa já está preparada para a nova Lei Geral de Proteção de Dados?

Muito tem se falado na nova Lei Geral de Proteção de Dados – LGPD.  Mas, o que se tem visto é uma total ausência de norte por parte de todos que devem seguir essas novas regras, o que gera muita insegurança. Mas, como se verá a seguir, para que não se tenha problemas, é preciso se inteirar sobre as novas e inúmeras adequações exigidas..

A LGPD traz várias inovações, criando novas restrições ao acesso e tratamento de dados, forçando a adoção de novos comportamentos por parte das empresas, sob pena de punições pesadas – as multas são sempre em valores altos e podem chegar a até cinquenta milhões de Reais.

Todas as empresas estão no mesmo barco.

O que é preciso ter em mente é que a LGPD cria uma necessidade de análise geral de toda a maneira com que os dados são processados. As empresas precisam criar níveis de acesso aos dados pessoais, não podendo deixar mais que todos os funcionários da empresa (nem muito menos o público externo) possam ter acesso a essas informações.  

Um exemplo bem simples e corriqueiro: uma empresa médica que tem um colaborador que trabalha como recepcionista.  Num certo dia, pedem-lhe que ligue para todos os pacientes cujas cirurgias foram marcadas.  Para isso, o colaborador terá acesso a informações como: dados completos do paciente, tipo de cirurgia que será realizada, qual a doença do paciente, se ele usa drogas ilícitas, se tem doença venérea, etc.  Essa é uma situação que, num primeiro momento, não será mais possível sem a expressa anuência do paciente.  Pois aquele colaborador não faz parte da cadeia de pessoas que estão autorizadas a ter acesso àqueles dados. Nesse caso específico, essas informações são albergadas pelo sigilo médico.      

Bases Gerais de Tratamentos de Dados

O que se faz necessário é a criação de documentos autorizadores onde haja consentimento para o acesso daqueles dados e dever de sigilo.  

Outra situação bastante comum: uma empresa que tem um grupo de funcionários e que contrata com um plano de saúde do tipo empresarial.  Para haver essa contratação, agora, faz-se necessário o consentimento para a disponibilização desses dados para a empresa contratada. E, caso a empresa contratante queira mudar de plano de saúde, precisa também do consentimento prévio de todos os seu funcionários para que possa haver essa nova mudança. 

“Privacy by Desing”

Essa também uma é uma exigência da LGPD. Cada empresa vai se adequar de uma maneira particular. Pois os dados são de diferentes graus de sensibilidade.  Uma empresa que lida com saúde precisa se adequar muito mais do que as outras.

Outra mudança é quanto à disponibilização de dados de uma empresa para outra. Agora, para que isso aconteça, a disponibilização deve ter uma finalidade que se alinhe com a da empresa. 

Uma situação que sempre foi muito corriqueira foi a disponibilização de lista de e-mails para empresas, ou também de listas de currículos para fins empregatícios.

Por exemplo, uma empresa de saúde que disponibiliza seus dados para que uma empresa de telefonia possa fazer propaganda por lista de e-mail ou disparos no WhatsApp certamente será multada.  E, caso a disponibilização seja com a finalidade do interesse de quem disponibiliza (uma empresa de agendamento de consultas médicas, por exemplo), deve haver sempre o consentimento.

Então, como visto, o consentimento é peça chave. Mas é possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Inteligência de Dados    

Uma distinção precisa ser feita: Os dados do empregado e a inteligência que a empresa cria são coisas diferentes.  Numa situação de contrato de trabalho, por exemplo, se uma empresa utiliza dados pessoais, ela tem que fornecer esses dados para o empregado – salário, tempo de férias, etc, mesmo que ele venha a utilizar esses dados para processar a empresa.

Então, a empresa tem obrigação de guardar esses dados por, pelo menos, dois anos – que é o prazo máximo que o empregado tem para ajuizar a ação, após o término do seu contrato de trabalho. Cinco anos é o prazo prescricional dos direitos trabalhistas.

Mas se a empresa faz um trabalho de inteligência sobre esses dados para fins de uso próprio, esses dados são da empresa. Por exemplo: curva de performance comparada para saber quem são os bons gerentes, quem são os bons diretores, comparativos de produtividade, etc.  A esses dados, o funcionário não tem acesso. 

Governança, Risco e Compliance

Então, são inúmeras as situações.  A Lei é bastante extensa.  É, de fato, um marco regulatório obrigado às empresas a se adequarem.  É preciso buscar por consultorias jurídicas, contábeis e tecnológicas que estejam devidamente atualizadas sobre o assunto.  Além disso, fazer uma análise de risco para cada empresa.

Como sempre, em caso de dúvidas, estamos à disposição.  Caso queira agendar um atendimento para saber mais sobre o assunto, basta entrar em contato.  Muito obrigado.

Renato Dumaresq.

OAB/RN 5.448