Com possibilidade de vigorar ainda em agosto, LGPD acende sinal de alerta no setor da saúde
Promulgada em 2018, mas com incertezas pairando sobre sua data de início efetiva, a Lei Geral de Proteção de Dados (LGPD) pode entrar em vigor já neste mês de agosto, caso a MP 959 tenha sanção presidencial. Com penalidades que variam entre exclusão dos dados e multas de até 50 milhões, antecipar a adequação corporativa figura como ação útil e necessária, especialmente, para empresas que lidam com alto nível de “dados sensíveis”, como são chamadas as informações biométricas, de orientação política, étnico-raciais, religiosa ou sexual e referentes à saúde do indivíduo, estas últimas fundamentais para a atividade de clínicas, hospitais e outros estabelecimentos do setor de saúde (física e mental).
Embora outras áreas sejam muito visadas pelo uso dessas informações — como Recursos Humanos, TI e Marketing —, a presença física ou virtual de prontuários, histórico de medicação ou doenças e registros médicos relativos a terapias e consultas colocam as empresas da saúde em um local especial nesta discussão. Aos estabelecimentos, fica imputada a tarefa de tornar o tratamento de dados algo acessível e transparente, possibilitando que o titular confirme, elimine, altere, torne anônimo ou faça a portabilidade de suas informações.
Lei de Dados Pessoais no Brasil
Divulgado em março, o Índice LGPD ABES — levantamento da Associação Brasileira de Empresas de Software realizado com 900 empresas — , evidencia que, mesmo após dois anos da aprovação, 60% das empresas não estão em conformidade com a LGPD. O percentual, que é ainda menor nas empresas de grande porte (38,31%), põe às vistas um alto risco ao mundo corporativo, se levada em consideração a multa possível a empresas que se posicionarem em desconformidade: até 2% do faturamento, podendo atingir R$ 50 milhões, além de outras medidas de sanção como condenação à exclusão dos dados dos repositórios.
Além da faceta financeira, o tratamento de dados conduzido com irregularidades tem prejuízo em outras escalas. A empresa exposta por violação de sigilo, intencional ou acidental, também pode entrar em discordância direta com práticas de compliance de instituições às quais presta ou demanda serviços e produtos, o que poderia afetar as trocas de dados e a parceria entre as corporações. O mesmo se aplica a clientes e consumidores que, ao se depararem com falhas de privacidade, podem migrar para um concorrente que esteja em consonância com a LGPD. Especialmente na Saúde, a tutela de dados é ponto fundamental para iniciativas de assistência farmacêutica e intersecção de informações com as operadoras de plano de saúde.
Responsabilidade e Consequências no Tratamento de Dados
Conciliar os aspectos da legislação federal e dos órgãos de classe cabe à elaboração da Política de Proteção de Dados da empresa, documento que necessita do conhecimento de funcionários e pacientes. A orientação de colaboradores e a interlocução com os titulares dos dados é escopo do Encarregado pelo Tratamento de Dados Pessoais ou DPO (Data Professional Officer), um cargo exigido mediante o art. 41 da LGPD, responsável por edificar a comunicação entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD). Embora possa ser representado por terceirização, este profissional tem em mãos a crucial demanda de acompanhar o ciclo de dados e também a posição de trazer aos diretores as corretas práticas em segurança de dados, evitando a ocorrência de eventuais falhas.
As penalidades consequentes de rupturas na segurança e tratamento de dados pelo controlador, no entanto, podem ser atenuadas. A empresa que tenha posse de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, assim como de boas práticas de governança de dados, que apresente cooperação após a infração e a pronta adoção de medidas corretivas tem previsto na LGPD a ponderação destes parâmetros e a proporcionalidade da sanção com critérios como faturamento da empresa e gravidade do dano causado.