Notícias

Informações especiais para a sua empresa

25/08/2020

Tecnologia

Clínicas e hospitais em descompasso com a Lei Geral de Proteção de Dados podem ser multados em até R$ 50 milhões

Com possibilidade de vigorar ainda em agosto, LGPD acende sinal de alerta no setor da saúde

Pedro Duarte

Promulgada em 2018, mas com incertezas pairando sobre sua data de início efetiva, a Lei Geral de Proteção de Dados (LGPD) pode entrar em vigor já neste mês de agosto, caso a MP 959 tenha sanção presidencial. Com penalidades que variam entre exclusão dos dados e multas de até 50 milhões, antecipar a adequação corporativa figura como ação útil e necessária, especialmente, para empresas que lidam com alto nível de “dados sensíveis”, como são chamadas as informações biométricas, de orientação política, étnico-raciais, religiosa ou sexual e referentes à saúde do indivíduo, estas últimas fundamentais para a atividade de clínicas, hospitais e outros estabelecimentos do setor de saúde (física e mental).

Embora outras áreas sejam muito visadas pelo uso dessas informações — como Recursos Humanos, TI e Marketing —, a presença física ou virtual de prontuários, histórico de medicação ou doenças e registros médicos relativos a terapias e consultas colocam as empresas da saúde em um local especial nesta discussão. Aos estabelecimentos, fica imputada a tarefa de tornar o tratamento de dados algo acessível e transparente, possibilitando que o titular confirme, elimine, altere, torne anônimo ou faça a portabilidade de suas informações.

Lei de Dados Pessoais no Brasil

Divulgado em março, o Índice LGPD ABES — levantamento da Associação Brasileira de Empresas de Software realizado com 900 empresas — , evidencia que, mesmo após dois anos da aprovação, 60% das empresas não estão em conformidade com a LGPD. O percentual, que é ainda menor nas empresas de grande porte (38,31%), põe às vistas um alto risco ao mundo corporativo, se levada em consideração a multa possível a empresas que se posicionarem em desconformidade: até 2% do faturamento, podendo atingir R$ 50 milhões, além de outras medidas de sanção como condenação à exclusão dos dados dos repositórios.

Além da faceta financeira, o tratamento de dados conduzido com irregularidades tem prejuízo em outras escalas. A empresa exposta por violação de sigilo, intencional ou acidental, também pode entrar em discordância direta com práticas de compliance de instituições às quais presta ou demanda serviços e produtos, o que poderia afetar as trocas de dados e a parceria entre as corporações. O mesmo se aplica a clientes e consumidores que, ao se depararem com falhas de privacidade, podem migrar para um concorrente que esteja em consonância com a LGPD. Especialmente na Saúde, a tutela de dados é ponto fundamental para iniciativas de assistência farmacêutica e intersecção de informações com as operadoras de plano de saúde.

Responsabilidade e Consequências no Tratamento de Dados

Conciliar os aspectos da legislação federal e dos órgãos de classe cabe à elaboração da Política de Proteção de Dados da empresa, documento que necessita do conhecimento de funcionários e pacientes. A orientação de colaboradores e a interlocução com os titulares dos dados é escopo do Encarregado pelo Tratamento de Dados Pessoais ou DPO (Data Professional Officer), um cargo exigido mediante o art. 41 da LGPD, responsável por edificar a comunicação entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD). Embora possa ser representado por terceirização, este profissional tem em mãos a crucial demanda de acompanhar o ciclo de dados e também a posição de trazer aos diretores as corretas práticas em segurança de dados, evitando a ocorrência de eventuais falhas.

As penalidades consequentes de rupturas na segurança e tratamento de dados pelo controlador, no entanto, podem ser atenuadas. A empresa que tenha posse de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, assim como de boas práticas de governança de dados, que apresente cooperação após a infração e a pronta adoção de medidas corretivas tem previsto na LGPD a ponderação destes parâmetros e a proporcionalidade da sanção com critérios como faturamento da empresa e gravidade do dano causado.

ASSINE NOSSA NEWSLETTER E RECEBA NOVIDADES NO SEU E-MAIL