Saiba os impactos da nova lei sobre os profissionais e empresas do setor de saúde
A LGPD está em vigor para todas as empresas, órgãos públicos e organizações não governamentais, independentemente de porte ou setor de atuação. Hospitais, clínicas, laboratórios e demais estabelecimentos correlatos devem obrigatoriamente se adequar às novas regras da Lei Geral de Proteção de Dados. Conversamos com o especialista Renato Clark, sócio-fundador da Wappix Data Protection, que explica como ela funciona. “A finalidade da LGPD é assegurar que as informações capazes de nos identificar (dados pessoais) – nome completo, endereço, CPF, IP de dispositivos eletrônicos, imagens de câmeras de segurança, dados biométricos etc. – sejam coletadas, tratadas e armazenadas de acordo com medidas que assegurem o máximo de proteção à nossa privacidade e intimidade. O setor de saúde é especialmente impactado pela Lei e é importante que os profissionais que atuam nesta área estejam atentos aos riscos e conheçam as medidas a serem tomadas para adequarem-se a esta nova Lei”.
Segundo Renato, devido à severidade dos danos que o compartilhamento indevido ou vazamento das informações relacionadas aos pacientes e clientes (dados pessoais sensíveis) podem causar, a Lei exige que esses dados sejam revestidos de medidas especiais de segurança e proteção. “É fácil imaginar o impacto na vida de cada um de nós se as informações referentes à nossa saúde física e mental fossem tornadas públicas ou indevidamente compartilhadas. Para coibir a falta do devido cuidado no tratamento destes dados sensíveis, a Lei estabelece multas elevadas – o valor pode chegar a 2% do faturamento bruto da empresa responsável ou até R$ 50 milhões – ou ainda a publicização do nome destas empresas, dentre outras sanções”.
O que os profissionais da área da saúde devem fazer?
Para assegurar o completo atendimento às diretrizes e exigências da Lei, as empresas devem implementar uma série de medidas e procedimentos que as tornem adequadas à Lei, dentre elas:
1. Mapear o fluxo dos dados pessoais e os riscos relacionados a eles, de modo a conhecer seu “ciclo de vida” desde a coleta até sua eliminação;
2. Estabelecer um canal de comunicação para o atendimento dos direitos dos titulares (qualquer pessoa física, ou seja, pacientes, colaboradores, fornecedores, parceiros comerciais e terceiros);
3. Indicar o Encarregado (ou DPO), que é o responsável pela adequação da empresa e por atender as requisições dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD);
4. Estabelecer processos e controles para a Gestão do Consentimento e dos diretos dos Titulares estabelecidos na Lei; e
5. Estabelecer processos de Gestão de Terceiros – fornecedores e prestadores de serviço – com quem compartilham dados pessoais, já que a responsabilidade em caso de incidente de segurança será compartilhada. “Embora profissionais de Direito e de TI muitas vezes intitulem-se ‘especialistas’ na adequação de empresas à LGPD, é importante ressaltar que a Proteção de Dados Pessoais e da Privacidade é uma atividade multidisciplinar que envolve não apenas o domínio destas áreas, mas também conhecimentos avançados em gestão de riscos, processos, elaboração de políticas e procedimentos etc. Um projeto de adequação corretamente dimensionado deve levar em conta as particularidades de cada negócio, de modo a possibilitar o cumprimento da lei sem perder de vista a melhor relação custo-benefício para cada cliente”, finaliza Renato.