Quem deve se preocupar com a lei geral de proteção de dados (LGPD)?

Lei Geral de Proteção de Dados LAW.SA

Talvez o assunto mais discutido nos últimos tempos, além das eleições, seja a recém sancionada Lei nº 13.709 de 14 de agosto de 2018, conhecida por Lei Geral de Proteção de Dados, a “LGPD”.

Seu projeto teve início na Câmara dos Deputados em 13/06/2012, porém ganhou atenção somente em 2018 com a publicação da versão europeia, chamada de GDPR, que entrou em vigor em 25 de maio de 2018.

A lei brasileira possui o objetivo de regrar a coleta, o uso e o armazenamento de dados pessoais pelas empresas, online ou offline, com o fim de proteger direitos fundamentais como liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Mas a quem se aplica a nova lei? Profissionais liberais, como médicos, psicólogos, advogados, e contadores, por exemplo, devem se adequar às suas regras? Ou será que se aplica somente a empresas de e-commerce, redes sociais, ou de tecnologia?

Para entender melhor, a LGPD traz algumas definições que auxiliam a entender a quem se dirige, como por exemplo quem é o titular dos dados, quem é o controlador, o operador, o que são dados pessoais, dados pessoais sensíveis, o que pode ser o “tratamento de dados”, dentre outras definições.

Vamos a elas:

– Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

– Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, ou seja, o responsável pela coleta e pela forma de tratamento dos dados;

– Dado pessoal: qualquer informação relativa à pessoa natural, o titular;

– Dado pessoal sensível: são os dados pessoais sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

De acordo com a definição da lei todo aquele dado que individualiza uma pessoa natural de forma extremamente específica, que possa lhe causar qualquer tipo de abuso em decorrência de tais informações é considerado um dado pessoal sensível;

– Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Com base nesses esclarecimentos fica mais fácil identificar se a empresa ou o profissional liberal deve se adequar à nova lei, que entra em vigor em cerca de ano e meio.

Veja um psicólogo, por exemplo. Não é novidade que os dados coletados desde o início da contratação, com o cadastro do paciente na clínica, até a realização das sessões propriamente ditas, são totalmente sigilosos.

De acordo com a Dra. Cristina Pellini, membro da Comissão de Ética do Conselho Regional de Psicologia de São Paulo (CRP SP), o sigilo tem por finalidade tutelar a intimidade das pessoas, protegendo-as contra violações e indiscrições de outrem. “O sigilo profissional é marcado por um elemento subjetivo, a pessoa do profissional a quem o indivíduo é obrigado a recorrer para obter assistência” (http://www.crpsp.org.br/portal/comunicacao/jornal_crp/163/frames/fr_questoes_eticas.aspx).

Portanto, de acordo com a definição da própria Comissão de Ética do Conselho Regional de Psicologia de São Paulo os dados fornecidos pelo paciente durante a sessão, assim como seu prontuário, podem ser classificados como dados pessoais sensíveis, merecendo, desta forma especial atenção dos profissionais.

Isso porque, não bastassem as questões éticas profissionais, o vazamento deste tipo de dado pode acarretar sérios prejuízos ao paciente e, consequentemente, ao psicólogo que não os protegeu adequadamente, estando sujeito tanto às penalidades da LGPD como à reparação pelos danos que causou àquele.

Agora, imagine que os atendimentos sejam online, por meio de plataformas, aplicativos ou mesmo chamadas de vídeo. A coleta de dados, por vezes, é muito maior!

E quanto às empresas? Quais estão sujeitas à nova lei?

Toda empresa que coleta dados de seus clientes com finalidade econômica estará sujeita à LGPD, seja ela uma empresa de e-commerce, seja ela uma corretora de seguros, seja ela um supermercado, por exemplo.

Desta forma, tanto o profissional liberal como uma multinacional devem se adequar às previsões da LGPD até fevereiro de 2020, quando entra em vigor.

Como se adequar à nova lei?

A principal medida é obter o consentimento inequívoco, expresso e em destaque do titular dos dados para coleta, uso, tratamento e armazenamento, deixando clara para qual finalidade se destina.

Usando o exemplo do psicólogo, aqueles que prestam atendimento presencial devem colher a assinatura do paciente em um termo específico, enquanto aqueles que prestam atendimento por intermédio de plataformas da internet ou aplicativos de conversa online será necessário o auxílio da tecnologia, obtendo-se o consentimento de alguma forma que torne inequívoca tal concordância (como os termos de uso e política de privacidade que sempre vemos nos sites de e-commerce).

Outra inovação trazida pela lei é a necessidade de anuência específica do titular do dado para toda e qualquer alteração no tratamento dispensado a seus dados.

Significa dizer que, se o profissional informa que armazenará os dados do paciente em determinado banco de dados e posteriormente alterar este banco de dados, deverá colher nova autorização pelo paciente. Se o profissional desejar dividir o caso com um colega, especialista em determinado assunto, deverá igualmente colher a anuência do paciente, caso não tenha colhido inicialmente (por isso a importância da assistência de advogados na criação do documento).

Há hipóteses em que será permitido o tratamento de dados sem a anuência do titular?

Sim, mas as hipóteses são muito limitadas. De acordo com a LGPD é possível o manuseio de dados pessoais sensíveis sem a anuência do titular nos casos de

(i) cumprimento de obrigação legal ou regulatória pelo controlador;

(ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

(iii) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

(iv) proteção da vida ou da incolumidade física do titular ou de terceiro; dentre outros.

Outro ponto relevante trazido pela LGPD é a necessidade de elaboração de Relatório de Impacto à proteção de dados pessoais.

Tal Relatório consiste na documentação que poderá ser exigida do controlador (profissional liberal, empresa, etc.) pelas autoridades competentes, contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação ao risco.

Em outras palavras, este Relatório deve conter todo o tratamento dispensado aos dados, desde a sua coleta, por exemplo na sessão de atendimento do psicólogo, em nosso exemplo, o manuseio dos dados após a sessão, onde ficarão armazenados, quais os meios para proteção aplicados pelo profissional, etc.

O que acontece se o profissional liberal ou a empresa não se adequar à LGPD?

Não protegendo os dados de forma apropriada, podem ocorrer vazamentos e uso indevido por terceiros. E a violação de dados pessoais pode acarretar multa de até R$ 50.000.000,00 (cinquenta milhões de reais!!!), além de outras penalidades cíveis que poderão ser requeridas pela vítima que teve os dados violados, vazados, alterados, etc., como indenização por danos morais e materiais.

Respondendo, então, a pergunta inicial: a LGPD se aplica a profissionais liberais e a empresas em geral que coletam, usam e tratam os dados de seus clientes. E o mais importante: a lei entrará em vigor em fevereiro de 2020, o que deixa pouco mais de um ano e meio para que todos criem mecanismos e procedimentos internos para não correr o risco de sofrer sanções pecuniárias importantes.

Por Marina Flandoli e Wagner Lucio

Leia também

Ao escolher uma solução de software para operações empresariais, gestores se deparam frequentemente com duas opções...

Muitas empresas estrangeiras recorrem a empresas locais quando querem entrar no mercado brasileiro, formando parcerias, contratando...

Compreendendo as Diferenças e Implicações na Iniciação de Relações Contratuais No âmbito jurídico e empresarial, a...