Talvez o assunto mais discutido nos últimos tempos, além das eleições, seja a recém sancionada Lei nº 13.709 de 14 de agosto de 2018, conhecida por Lei Geral de Proteção de Dados, a “LGPD”.
Seu projeto teve início na Câmara dos Deputados em 13/06/2012, porém ganhou atenção somente em 2018 com a publicação da versão europeia, chamada de GDPR, que entrou em vigor em 25 de maio de 2018.
A lei brasileira possui o objetivo de regrar a coleta, o uso e o armazenamento de dados pessoais pelas empresas, online ou offline, com o fim de proteger direitos fundamentais como liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Mas a quem se aplica a nova lei? Profissionais liberais, como médicos, psicólogos, advogados, e contadores, por exemplo, devem se adequar às suas regras? Ou será que se aplica somente a empresas de e-commerce, redes sociais, ou de tecnologia?
Para entender melhor, a LGPD traz algumas definições que auxiliam a entender a quem se dirige, como por exemplo quem é o titular dos dados, quem é o controlador, o operador, o que são dados pessoais, dados pessoais sensíveis, o que pode ser o “tratamento de dados”, dentre outras definições.
Vamos a elas:
– Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
– Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, ou seja, o responsável pela coleta e pela forma de tratamento dos dados;
– Dado pessoal: qualquer informação relativa à pessoa natural, o titular;
– Dado pessoal sensível: são os dados pessoais sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
De acordo com a definição da lei todo aquele dado que individualiza uma pessoa natural de forma extremamente específica, que possa lhe causar qualquer tipo de abuso em decorrência de tais informações é considerado um dado pessoal sensível;
– Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Com base nesses esclarecimentos fica mais fácil identificar se a empresa ou o profissional liberal deve se adequar à nova lei, que entra em vigor em cerca de ano e meio.
Veja um psicólogo, por exemplo. Não é novidade que os dados coletados desde o início da contratação, com o cadastro do paciente na clínica, até a realização das sessões propriamente ditas, são totalmente sigilosos.
De acordo com a Dra. Cristina Pellini, membro da Comissão de Ética do Conselho Regional de Psicologia de São Paulo (CRP SP), o sigilo tem por finalidade tutelar a intimidade das pessoas, protegendo-as contra violações e indiscrições de outrem. “O sigilo profissional é marcado por um elemento subjetivo, a pessoa do profissional a quem o indivíduo é obrigado a recorrer para obter assistência” (http://www.crpsp.org.br/portal/comunicacao/jornal_crp/163/frames/fr_questoes_eticas.aspx).
Portanto, de acordo com a definição da própria Comissão de Ética do Conselho Regional de Psicologia de São Paulo os dados fornecidos pelo paciente durante a sessão, assim como seu prontuário, podem ser classificados como dados pessoais sensíveis, merecendo, desta forma especial atenção dos profissionais.
Isso porque, não bastassem as questões éticas profissionais, o vazamento deste tipo de dado pode acarretar sérios prejuízos ao paciente e, consequentemente, ao psicólogo que não os protegeu adequadamente, estando sujeito tanto às penalidades da LGPD como à reparação pelos danos que causou àquele.
Agora, imagine que os atendimentos sejam online, por meio de plataformas, aplicativos ou mesmo chamadas de vídeo. A coleta de dados, por vezes, é muito maior!
E quanto às empresas? Quais estão sujeitas à nova lei?
Toda empresa que coleta dados de seus clientes com finalidade econômica estará sujeita à LGPD, seja ela uma empresa de e-commerce, seja ela uma corretora de seguros, seja ela um supermercado, por exemplo.
Desta forma, tanto o profissional liberal como uma multinacional devem se adequar às previsões da LGPD até fevereiro de 2020, quando entra em vigor.
Como se adequar à nova lei?
A principal medida é obter o consentimento inequívoco, expresso e em destaque do titular dos dados para coleta, uso, tratamento e armazenamento, deixando clara para qual finalidade se destina.
Usando o exemplo do psicólogo, aqueles que prestam atendimento presencial devem colher a assinatura do paciente em um termo específico, enquanto aqueles que prestam atendimento por intermédio de plataformas da internet ou aplicativos de conversa online será necessário o auxílio da tecnologia, obtendo-se o consentimento de alguma forma que torne inequívoca tal concordância (como os termos de uso e política de privacidade que sempre vemos nos sites de e-commerce).
Outra inovação trazida pela lei é a necessidade de anuência específica do titular do dado para toda e qualquer alteração no tratamento dispensado a seus dados.
Significa dizer que, se o profissional informa que armazenará os dados do paciente em determinado banco de dados e posteriormente alterar este banco de dados, deverá colher nova autorização pelo paciente. Se o profissional desejar dividir o caso com um colega, especialista em determinado assunto, deverá igualmente colher a anuência do paciente, caso não tenha colhido inicialmente (por isso a importância da assistência de advogados na criação do documento).
Há hipóteses em que será permitido o tratamento de dados sem a anuência do titular?
Sim, mas as hipóteses são muito limitadas. De acordo com a LGPD é possível o manuseio de dados pessoais sensíveis sem a anuência do titular nos casos de
(i) cumprimento de obrigação legal ou regulatória pelo controlador;
(ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
(iii) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
(iv) proteção da vida ou da incolumidade física do titular ou de terceiro; dentre outros.
Outro ponto relevante trazido pela LGPD é a necessidade de elaboração de Relatório de Impacto à proteção de dados pessoais.
Tal Relatório consiste na documentação que poderá ser exigida do controlador (profissional liberal, empresa, etc.) pelas autoridades competentes, contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação ao risco.
Em outras palavras, este Relatório deve conter todo o tratamento dispensado aos dados, desde a sua coleta, por exemplo na sessão de atendimento do psicólogo, em nosso exemplo, o manuseio dos dados após a sessão, onde ficarão armazenados, quais os meios para proteção aplicados pelo profissional, etc.
O que acontece se o profissional liberal ou a empresa não se adequar à LGPD?
Não protegendo os dados de forma apropriada, podem ocorrer vazamentos e uso indevido por terceiros. E a violação de dados pessoais pode acarretar multa de até R$ 50.000.000,00 (cinquenta milhões de reais!!!), além de outras penalidades cíveis que poderão ser requeridas pela vítima que teve os dados violados, vazados, alterados, etc., como indenização por danos morais e materiais.
Respondendo, então, a pergunta inicial: a LGPD se aplica a profissionais liberais e a empresas em geral que coletam, usam e tratam os dados de seus clientes. E o mais importante: a lei entrará em vigor em fevereiro de 2020, o que deixa pouco mais de um ano e meio para que todos criem mecanismos e procedimentos internos para não correr o risco de sofrer sanções pecuniárias importantes.
Por Marina Flandoli e Wagner Lucio