Você está na página 1de 100

Expediente

Expediente
Coordenadora editorial
Teresa de Souza Dias Gutierrez | Machado Nunes

CONSELHO EDITORIAL
Renato Nunes | Machado Nunes
Rafael Younis Marques | Machado Nunes

REDAÇÃO
Renata Soller
Marcio Martins

COLABORAÇÃO
Emílio Bartolomeu | Italtel
Guilherme Ferri | MF Marketing and Business Advisors
Lucas Macedo de Magalhães | Machado Nunes
Lucas Alves da Silva Bonafé | Machado Nunes
Luiz Felipe Costamilan | Cbexs
Ricardo Medina | MF Marketing and Business Advisors
Thanos Rammos | Taylor Wessing

DIREÇÃO DE PROJETO
Guilherme Ferri | MF Marketing and Business Advisors

PROJETO EDITORIAL
Mario Mucida

FOTOGRAFIA
Shutterstock

IMPRESSÃO
Formacerta - 1.200 unidades
Sumário
1 Introdução 4

2 O Sistema de Proteção de Dados no Brasil: Análise 10


legislativa e jurisprudencial da proteção de dados no
Brasil e estudo objetivo da Lei Geral de Proteção de
Dados

3 LGPD e o Tratamento de Dados na Saúde 44

4 GDPR e Saúde: o que as empresas precisam saber na 64


União Europeia e em outras localidades

5 O Gestor de Saúde e a Mudança 72

6 Os impactos da LGPD na experiência do cliente 78

7 A importância da Cyber segurança sobre aspectos de 88


Privacidade de dados

A presente obra representa a opinião individual de cada um de seus autores e


seus pontos de vista expressos em cada um dos artigos. Eventuais omissões
e incorreções de fato ou informações nele contidos se devem exclusivamente
à opinião de seus autores. Ademais, o conteúdo desta obra não pode ser
interpretado como opinião legal ou orientações de negócio,
sob qualquer circunstância.
Introdução

A
Lei nº 13.709, de 14 de agosto de 2018, co-
nhecida como Lei Geral de Proteção de
Dados Pessoais (“LGPD”) foi aprovada no
Congresso Nacional de forma relativamente rápi-
da, após a entrada em vigor da legislação euro-
peia (maio/2018), a GDPR (General Data Protec-
tion Regulation).

O contexto abrangia o escândalo envolvendo


o Facebook, o Cambrige Analytica e o direciona-
mento e customização da campanha americana,
que elegeu o atual presidente dos Estados Uni-
dos, Donald Trump. No Brasil, também tramita-
ram diversas investigações envolvendo a venda
de dados por drogarias e farmácias à indústria.

A LGPD foi aprovada no Brasil nesse cenário


e os parlamentares brasileiros embasaram quase
todo o texto da lei na regulamentação europeia.

De um modo simplificado, podemos dizer que


as legislações europeia e brasileira exigem que o
controlador solicite consentimento do titular do
dado para poder tratá-lo, informando, inclusive,
a destinação que será dada. Os dados de saúde,
por sua vez, têm exigência ainda maior para o
consentimento: ele deve ser concedido para fi-
nalidades específicas e destacadas.

Há exceções à obrigatoriedade de requisição


de consentimento, que são tratadas de forma
bem detalhada nos dois primeiros capítulos que
integram esta obra.

6
Introdução

Independentemente das exceções à requisi- A LGPD veio consolidar muitas garantias e di-
ção de consentimento, há um evidente empode- reitos que eram anteriormente tratados de forma
ramento do titular dos dados, pois ele poderá, esparsa, o que muito positivo e certamente traz
por exemplo, requerer informações aos contro- segurança jurídica ao país.
ladores sobre seu uso, além de, em certas situa-
ções, solicitar a exclusão da base do controlador. Há dois paralelos que podemos traçar entre a
LGPD e o setor da saúde: a segurança da infor-
Ao colher o dado de usuários, todo e qualquer mação e o empoderamento do usuário.
estabelecimento deve ponderar se há a neces-
sidade de solicitação daquela informação para Para o setor da saúde, a privacidade de dados
viabilizar a oferta do produto ou serviços aos e o direito ao sigilo não são novidades. Há muitos
usuários. Não se pode, por exemplo, exigir que anos os atores dessa cadeia promovem (ou ao
uma pessoa informe sempre o seu CPF quando menos deveriam promover!) ações para garantir
for adquirir um medicamento em uma drogaria. a segurança das informações que coletam. Afi-
nal, o sigilo na saúde é um norte orientador de
Por sua vez, é extremamente razoável que um
todos os envolvidos.
hospital questione o paciente sobre o seu tipo
sanguíneo, pois a informação é extremamente O empoderamento do paciente e o reconheci-
relevante à adequada prestação dos serviços. mento de sua participação no processo da assis-
Antes mesmo da edição da LGPD, já tínha- tência à saúde também tem sido cada vez mais
mos dispositivos que garantiam a privacidade difundidos nos estabelecimentos de saúde do
de dados dos usuários. A título exemplificativo, país. Nos últimos anos, verificamos um aumento
citamos a Lei nº 12.965, de 23 de abril de 2014, significativo da utilização de Termos de Consen-
mais conhecida como “Marco Civil da Internet”, timento, por meio dos quais os pacientes ou seus
que dispõe sobre as garantias, direitos e deveres responsáveis formalizam sua concordância com
para o uso da internet no Brasil. o tratamento proposto e tomam conhecimento
dos riscos envolvidos.
O Marco Civil da Internet assegura ao usuário:
a inviolabilidade e sigilo de dados, além do aces- Assim como ocorre na LGPD, esse consenti-
so a informações claras e completas e o direito mento também pode ser revogado a qualquer
ao consentimento. momento.

7
Introdução

Na saúde, o legislador houve por bem garan- O tratamento de dados na saúde tem um futuro
tir que os serviços de saúde figurem dentre as promissor, com gigantesco potencial de sucesso.
exceções para o consentimento. De fato, não há
sentido algum em se exigir a requisição de auto- No dia de fechamento desta edição, ainda
rização de um paciente para a coleta de um dado aguardamos a tramitação da Medida Provisória
nº 869/2018, que certamente consolidará mui-
que é essencial à própria prestação do serviço.
tas perspectivas, inclusive relacionadas à cons-
Independentemente disso, se o estabeleci- tituição da Autoridade Nacional de Proteção de
mento optar por utilizar o dado para outro fim Dados (“ANPD”), órgão de extrema importância
que não apenas o atendimento do paciente, es- que norteará a atuação das empresas.
tará sim obrigado a requerer seu consentimento,
Esperamos que a ANPD convoque os outros
que poderá ser revogado a qualquer tempo.
agentes reguladores do setor da saúde (Agência
O que o setor da saúde terá que fazer, nesse Nacional de Saúde Suplementar, Agência Nacio-
caso, é, além de empoderar o paciente na esco- nal de Vigilância Sanitária, Ministério da Saúde
lha do melhor tratamento de saúde, também ga- etc.) para tratar da utilização dos dados com um
rantir que ele tenha plena ciência e concorde, se enfoque principal: o próprio paciente.
e quando requerido, com a utilização dos dados. Esta obra foi redigida por muitas mãos: advo-
O uso e análise de dados em saúde certamen- gados, técnicos em informação e assessores de
te colaborarão para uma melhoria constante de negócios. Nos dois primeiros capítulos, elabora-
dos pelos advogados Lucas Magalhães e Lucas
protocolos clínicos e comparabilidade de casos.
Bonafé, respectivamente, são abordados os prin-
Assim, ainda que o tratamento de dados para
cipais aspectos da LGPD. No primeiro é feita uma
prestação da assistência à saúde propriamente
abordagem geral da LGPD, no segundo, o enfo-
dita não dependa do consentimento do paciente,
que é totalmente voltado ao setor da saúde. O
a longo prazo, vislumbramos uma utilização cada
terceiro capítulo, em inglês, é elaborado por ad-
vez maior de informações para inovação e revi-
vogado especialista em GDPR, Thanos Rammos,
são de procedimentos.
com análise bem prática da legislação europeia,
Há, ainda, a perspectiva de implementação de fonte da legislação brasileira.
um sistema de compartilhamento de dados de Os três últimos capítulos foram elaborados
saúde mínimo. Por esse sistema, um estabeleci- por profissionais que atuam no setor da saúde
mento terá acesso a um histórico básico do pa- há muitos anos. O artigo do Luiz Felipe Costa-
ciente e ao último atendimento realizado. A pers- milan, Diretor Executivo do Colégio Brasileiro de
pectiva é que o acesso a esses dados reduza os Executivos em Saúde, analisa a LGPD sob a visão
custos da assistência à saúde, mas também au- do gestor, reconhecendo que há um novo cená-
mente consideravelmente a importância de uma rio pela frente. Assim, tal como ocorre no setor
cultura de segurança da informação, pois mais da saúde, em que a assistência é praticamente
portas de comunicação estarão abertas. uma extensão do próprio paciente, os dados

8
Introdução

passarão a ser assim abordados: parte da pró-


pria personalidade do titular dos dados. Diante
dessa perspectiva, caberá ao gestor viabilizar as
ferramentas adequadas para o empenho de toda
a organização.

Coube a Emílio Bartolomeu Neto, especialista


em Cyber Security, tratar das questões relacio-
nadas às tecnologias da informação. Sob essa
perspectiva, ele indica as etapas a serem segui-
Sobre A autorA
das para adequação das instituições à LGPD e
as principais questões técnicas que devem ser Teresa de Souza Dias Gutierrez: sócia do
avaliadas. Machado Nunes, formada em Direito pela
Pontifícia Universidade Católica de São
No último capítulo, Guilherme Ferri apresen- Paulo e em História pela Faculdade de
ta os impactos da LGPD na comunicação com o Filosofia, Letras e Ciências Humanas da
consumidor. Para ele, a modificação de cultura Universidade de São Paulo, especialista
trazida pela LGPD pode ser muito positiva, se tive- em Direito Administrativo pela Pontifícia
Universidade Católica e em Assuntos
rem o suporte dos gestores e bem implementada,
Regulatórios de Medicamentos na
com diálogo aberto, treinamento e transparência. Faculdade Oswaldo Cruz. Atua na
O diálogo com o titular do dado será fundamental estruturação de negócios no setor
em todo esse processo e a revisão de seus proce- da saúde, no acompanhamento das
dimentos de comunicação serão essenciais e po- modificações legislativas e regulatórias do
dem fomentar uma revolução no relacionamento setor, nas esferas pública e privada, além
das organizações com consumidores. da defesa de interesse de clientes perante
Agências Reguladoras e Ministério de
A intenção deste livro não é tratar do tema de Estado da Saúde.
forma exaustiva, pois ainda temos pela frente a
regulamentação da LGPD pelo Poder Executivo,
a constituição da ANPD, a atuação do órgão e,
finalmente, o início de vigência da lei, em agosto
de 2020.

Vamos torcer para que o setor da saúde esteja


bem representado na ANPD e que seja mantido
um diálogo constante entre setor regulado, ór-
gãos e agências reguladoras.

9
O Sistema de Proteção de Dados no Brasil

1. O cenário brasileiro de Entidades privadas e governos cada vez mais


buscam obter e constituir bancos de dados vas-
Proteção de Dados Pessoais tos sobre informações pessoais, com o fim de
identificar padrões de comportamento, monitorar
Mesmo antes da publicação da Lei Federal nº cidadãos, analisar de padrões de consumo4, entre
13.709, de 14 de agosto de 2018 (“Lei Geral de outras diversas finalidades que vão sendo criadas
Proteção de Dados” ou “LGPD”), nosso país já à medida que as tecnologias se desenvolvem.
contava com um sistema composto de leis es-
parsas, atos normativos diversos e até mesmo Nesse contexto, o controle sobre as informa-
decisões judiciais que previam e tutelavam ques- ções que dizem respeito às pessoas atingiu o
tões relacionadas à privacidade, aplicáveis aos status de direito protegido pela Constituição,
dados pessoais. que não apenas os prevê em seu texto, mas os
insere no rol de garantias que não poderão ser
Até pouco tempo atrás, o dado pessoal assim alteradas nem mesmo pela mudança na própria
classificado pela LGPD1 ainda não era contem- Constituição Federal, os chamados direitos fun-
plado como um objeto de proteção legislativa damentais. É o caso do Direito à intimidade, a
em si. Em verdade, sua tutela dar-se-ia como um vida privada, à honra e imagem5, à inviolabilida-
meio, visando a finalidade de preservar direitos de da correspondência, dados e comunicações6,
como a privacidade e intimidade. garantia de acesso à informação7, entre outros8.

Isso porque, o próprio conceito de privacida- Acompanhando tais modificações sociais tra-
de vem sofrendo alterações, que acompanham zidas especialmente pela tecnologia, tanto os
o desenvolvimento tecnológico e social. Em sua poderes legislativo e judiciário9 passaram a apre-
concepção inicial, este era entendido por seu
viés negativo de “direito de ser deixado só”, por
4 SAUAIA, Hugo Moreira Lima. A proteção dos dados pes-
meio do qual o indivíduo poderia exigir do Esta- soais no Brasil – Rio de Janeiro: Lumen Juris, 2019. Não pa-
do e dos demais particulares a abstenção de sua ginado.
vida privada. Entretanto, por força do avanço
tecnológico exponencial ocorrido no século XX, 5 Constituição Federal do Brasil: “Art. 5º (...), inciso X - são
invioláveis a intimidade, a vida privada, a honra e a imagem
verificou-se a mutação do ideal de privacidade,
das pessoas, assegurado o direito a indenização pelo dano
surgindo assim um viés positivo de controle das
material ou moral decorrente de sua violação;”
informações pelo próprio indivíduo titular delas2.
6 Constituição Federal do Brasil: “Art. 5º (...), inciso XI - é
Esta evolução prosseguiu para o que seria cha- inviolável o sigilo da correspondência e das comunicações
mado de “sociedade da informação”, fomentada telegráficas, de dados e das comunicações telefônicas, salvo,
especialmente pelo advento da internet e pela no último caso, por ordem judicial, nas hipóteses e na forma
massiva produção de conteúdo decorrente de que a lei estabelecer para fins de investigação criminal ou
interações e transações realizadas entre os usuá- instrução processual penal”;
rios do ambiente virtual. Estudos preveem que 7 Constituição Federal do Brasil: “Art. 5º (...), inciso XIV - é
no ano de 2025 serão produzidos 175 zetabytes, assegurado a todos o acesso à informação e resguardado o
ou seja 175 trilhões de gigabytes. Se pudéssemos sigilo da fonte, quando necessário ao exercício profissional;”;
colocar esses dados de DVDs, seriam discos o 8 Na data de edição desta obra, tramita no Congresso Nacio-
suficiente para 222 voltas em nosso planeta3. nal o Projeto de Emenda à Constituição Federal nº 17/2019,
que propõe incluir no Art. 5º da Constituição o inciso “XII-A
– é assegurado, nos termos da lei, o direito à proteção de
1 Lei Federal nº 13.709/2018: “Art. 5º Para os fins desta Lei,
dados pessoais, inclusive nos meios digitais”.
considera-se: I - dado pessoal: informação relacionada a pes-
soa natural identificada ou identificável; ” 9 Sobre o tema, cumpre destacar o comentário do Minis-
2 MENDES, Laura Schertel Ferreira: Privacidade, Proteção de tro do STJ Ruy Rosado em seu voto proferido no Recurso
Dados e Defesa do Consumidor – Linhas Gerais de Um novo Especial 22.337-9/RS, ocorrido realizado em 13 de fevereiro
Direito Fundamental. São Paulo: Saraiva, 2014 – Série IDP: li- de 1995: “A importância do tema cresce de ponto quando se
nha pesquisa acadêmica. Não paginado. observa o número imenso de atos da vida humana pratica-
dos através da mídia eletrônica ou registrados nos disquetes
3 REINSEL, David. GANTZ, John. RYDNING, John. IDC White
Paper: “Data Age 2025 – The Digityalization of the World. de computador. Na Alemanha, por exemplo, a questão está
November 2018”. Disponível em: https://www.seagate.com/ posta nos nível das garantias fundamentais, como o direito
files/www-content/our-story/trends/files/idc-seagate-da- de autodeterminação informacional (o cidadão é quem tem
taage-whitepaper.pdf - acesso em 19/07/2019 o direito de saber quem sabe o que sobre ele), além da insti-

12
O Sistema de Proteção de Dados no Brasil

sentar indicativos de que alterações seriam indis-  Acesso à informação em bancos de dados e
pensáveis no cenário brasileiro, visando a con- cadastro de consumidores12;
cretização dos direitos constitucionais.
 Necessidade de comunicação ao consumidor
A seguir, passaremos a discutir um panorama quando da abertura do cadastro, ficha regis-
geral da proteção de dados, inicialmente como tro e dados pessoais de consumo sempre que
uma forma de preservação de direitos constitu- este não o solicitar13;
cionais e, posteriormente, como uma ferramenta
de proteção ao direito autônomo sobre o Dado  Direito de imediata correção em caso de ine-
Pessoal. xatidão nos dados e cadastros14;

 Equiparação dos cadastros de consumidores


1.1. O panorama Legislativo a bancos de dados públicos15.
Brasileiro de proteção de Dados
Pessoais anterior à LGPD. Em 1997, foi publicada a Lei do Habeas Data
(Lei nº 9.507/1997), que regula o acesso por ti-
tulares a informações armazenadas em bancos
Antes do advento da LGPD, a legislação infra- de dados de entidades do governo ou mesmo
constitucional brasileira já tratou de conceder bancos de dados públicos.
tutela às garantias fundamentais relacionadas à
privacidade por meio de instrumentos capazes Com o advento do atual Código Civil (Lei nº
de atribuir ferramentas aos titulares de dados 10.406, de 10 de janeiro de 2002), a tutela de di-
pessoais. reitos da personalidade foi operacionalizada, ca-
racterizando tal direito expressamente como in-
Nota-se que mesmo antes da Constituição transmissível e irrenunciável16. Como ferramenta
Federal de 1988 a legislação brasileira já impu- de proteção aos dados pessoais, esta lei passou
nha a proteção de dados pessoais. Ao estabe- a prever expressamente a proibição da utilização
lecer a Política Nacional de Informática, a Lei nº
7.323/1984 instituiu como um dos princípios o
“estabelecimento de mecanismos e instrumentos
legais e técnicos para a proteção do sigilo dos 12 Lei nº 8.078, de 11 de setembro de 1980: “Art. 43. O consu-
midor, sem prejuízo do disposto no art. 86, terá acesso às in-
dados armazenados, processados e veiculados,
formações existentes em cadastros, fichas, registros e dados
do interesse da privacidade e de segurança das
pessoais e de consumo arquivados sobre ele, bem como so-
pessoas físicas e jurídicas, privadas e públicas” e bre as suas respectivas fontes. § 1° Os cadastros e dados de
“estabelecimento de mecanismos e instrumentos consumidores devem ser objetivos, claros, verdadeiros e em
para assegurar a todo cidadão o direito ao acesso linguagem de fácil compreensão, não podendo conter infor-
e à retificação de informações sobre ele existen- mações negativas referentes a período superior a cinco anos”
tes em bases de dados públicas ou privadas”10.
13 Lei nº 8.078, de 11 de setembro de 1980: “Art. 43 (...) § 2°
Posteriormente, o Código de Defesa do Con- A abertura de cadastro, ficha, registro e dados pessoais e de
consumo deverá ser comunicada por escrito ao consumidor,
sumidor (Lei nº 8.078/1990) também impôs uma
quando não solicitada por ele”
série de direitos e garantais aos titulares volta-
dos especificamente a dados pessoais, sendo 14 Lei nº 8.078, de 11 de setembro de 1980: “Art. 43(...) §
considerada a primeira lei a trazer uma tutela 3° O consumidor, sempre que encontrar inexatidão nos seus
efetiva neste cenário11. Dentre eles, os mais re- dados e cadastros, poderá exigir sua imediata correção, de-
levantes são: vendo o arquivista, no prazo de cinco dias úteis, comunicar
a alteração aos eventuais destinatários das informações in-
corretas.
tuição de órgãos independentes (...), com poderes para fisca-
15 Lei nº 8.078, de 11 de setembro de 1980: “Art. 43 § 4° Os
lizar o registro de dados informatizados (...)”
bancos de dados e cadastros relativos a consumidores, os
10 Lei Nº 7.232, de 29 de outubro de 1984. Art. 2º, incisos VIII serviços de proteção ao crédito e congêneres são considera-
e IX. dos entidades de caráter público.

11 MENDES, Laura Schertel Ferreira: Privacidade, Proteção de 16 Lei nº 10.406, de 10 de janeiro de 2002: “Art. 11. Com ex-
Dados e Defesa do Consumidor – Linhas Gerais de Um novo ceção dos casos previstos em lei, os direitos da personalida-
Direito Fundamental. São Paulo: Saraiva, 2014 – Série IDP: li- de são intransmissíveis e irrenunciáveis, não podendo o seu
nha pesquisa acadêmica. Não paginado. exercício sofrer limitação voluntária.”

13
O Sistema de Proteção de Dados no Brasil

da imagem da pessoa17, além impor ao poder ju- parência da administração pública21. Esta norma
diciário a tomada de providências que impeçam passa a apresentar uma indubitável aproximação
atos violadores da vida privada18. da proteção de dados pessoais, ao tratar de “in-
formações pessoais”22.
Já em 2011, foi publicada a Lei do Cadastro Po-
sitivo (Lei nº 12.414/2011), que tutela a formação Seguindo-se, em 2014, após intensas discus-
e consulta de bancos de dados com informações sões legislativas, sobreveio o Marco Civil da In-
para formação de histórico de crédito de pes- ternet (Lei nº 12.965 de 23 de abril de 2014), prin-
soas físicas e jurídicas. cipal marco regulatório sobre a internet no Brasil.
Esta foi a lei que efetivamente inaugurou a tutela
Além dos direitos já contemplados pelo Códi- de “Dados Pessoais”23, ainda que limitada ao am-
go de Defesa do Consumidor, a inovação no que biente web.
compete a tutela de dados pessoais decorre da
conceituação de “informações sensíveis”, defini- Dentre os principais pontos do Marco Civil
das como “aquelas pertinentes à origem social e da Internet estão o estabelecimento da prote-
étnica, à saúde, à informação genética, à orienta- ção à privacidade e proteção de dados pessoais
ção sexual e às convicções políticas, religiosas e como princípio da disciplina da internet no Bra-
filosóficas”19, juntamente com a proibição às ano- sil24. Dessa forma, a Lei passa a tutelar, dentro
tações de informações excessivas, o que poste- do amplo espectro da privacidade, os direitos e
riormente seria consagrado no princípio da ne- deveres havidos sobre dados pessoais que estão
cessidade previsto da LGPD. Este último, por seu armazenados e/ou trafegam pela internet.
turno, limita o tratamento de dados ao mínimo ne-
cessário para atingir uma finalidade específica20. Dentre as principais inovações desta lei, veri-
ficam-se diversos direitos que posteriormente
Ainda naquele ano (2011), foi sancionada a Lei seriam reiterados na LGPD. Destacam-se os se-
de Acesso à informação, cuja entrada em vigor guintes pontos:
se deu no ano seguinte. Seu objetivo é a adequa-
ção ao contexto internacional de maior trans-  O fornecimento de dados pessoais a terceiros
sem prévio consentimento do titular constitui
violação direito a direito do cidadão25;
17 Lei nº 10.406, de 10 de janeiro de 2002: “Artigo 20: Salvo  O titular dos dados pessoais passou a ter ex-
se autorizadas, ou se necessárias à administração da justiça presso direito a informações claras e comple-
ou à manutenção da ordem pública, a publicação, a exposi-
ção ou a utilização da imagem de uma pessoa poderão ser
proibidas, a seu requerimento e sem prejuízo da indenização
21 MENDES, Laura Schertel Ferreira: Privacidade, Proteção
que couber, se lhe atingirem a honra, a boa fama ou a respei-
de Dados e Defesa do Consumidor – Linhas Gerais de Um
tabilidade, ou se se destinarem a fins comerciais.”
novo Direito Fundamental. São Paulo: Saraiva, 2014 – Série
18 Lei nº 10.406, de 10 de janeiro de 2002: “Artigo 21: A vida IDP: linha pesquisa acadêmica. Não paginado.
privada da pessoa natural é inviolável, e o juiz, a requerimen-
22 Lei nº 12.527, de 18 de novembro de 2011: “Art. 4º Para os efei-
to do interessado, adotará as providências necessárias para
tos desta Lei, considera-se: (...) IV - informação pessoal: aquela
impedir ou fazer cessar ato contrário a esta norma.
relacionada à pessoa natural identificada ou identificável; ”
19 Lei nº 12.414, de 9 de junho de 2011: Art. 3º, §3º, inciso
23 JESUS, Damásio de. MILAGRE, José Antônio: Marco Civil
II. Posteriormente, a LGPD viria a classificar o “dado pessoal
da Internet: comentários à Lei nº 12.965, de 23 de abril de
sensível” no Art. 5º, inciso II, como “dado pessoal sobre ori-
2014 – São Paulo: Saraiva, 2014.
gem racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, fi- 24 Lei nº 12.965 de 23 de abril de 2014: “Art. 3º A disciplina
losófico ou político, dado referente à saúde ou à vida sexual, do uso da internet no Brasil tem os seguintes princípios: II -
dado genético ou biométrico, quando vinculado a uma pes- proteção da privacidade; III - proteção dos dados pessoais,
soa natural” na forma da lei;”

20 Lei Federal nº 13.709/2018: “Art. 6º As atividades de 25 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º O acesso à in-
tratamento de dados pessoais deverão observar a boa-fé ternet é essencial ao exercício da cidadania, e ao usuário são
e os seguintes princípios: (...)III - necessidade: limitação do assegurados os seguintes direitos: (...) VII - não fornecimento
tratamento ao mínimo necessário para a realização de suas a terceiros de seus dados pessoais, inclusive registros de co-
finalidades, com abrangência dos dados pertinentes, propor- nexão, e de acesso a aplicações de internet, salvo mediante
cionais e não excessivos em relação às finalidades do trata- consentimento livre, expresso e informado ou nas hipóteses
mento de dados;” previstas em lei;”

14
O Sistema de Proteção de Dados no Brasil

tas referentes a coleta, uso e tratamento de


seus dados26;

 Limitação da coleta e tratamento de dados a


finalidades específicas27;

 Necessidade de consentimento expresso para


coleta, uso, armazenamento e tratamento de
dados pessoais28;

 Possibilidade de exclusão dos dados pessoais


objeto de tratamento fornecidos a provedo-
res de aplicação29.

Existem ainda relevantes inovações, especí-


ficas para o ambiente de internet, que buscam
assegurar a proteção de dados pessoais, tais
quais o fornecimento judicial de registros de co-
nexão30, a responsabilidade subsidiária do pro-
vedor de aplicações em caso de divulgação por
terceiros de conteúdo íntimo sexual31 e a suspen-

26 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º (...)VIII - infor-


são temporária ou proibição de atividades em
mações claras e completas sobre coleta, uso, armazenamen-
caso de tratamento de dados indevido32.
to, tratamento e proteção de seus dados pessoais (...)”

27 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º (...) tratamento Finalmente, no ano de 2016, o Poder Execu-
e proteção de seus dados pessoais, que somente poderão ser tivo da União expediu o Decreto nº 8.771, de 11
utilizados para finalidades que: a) justifiquem sua coleta; b) de maio de 2016, cujo objeto é a regulamentação
não sejam vedadas pela legislação; e c) estejam especifica- de diversos aspectos do Marco Civil da Internet.
das nos contratos de prestação de serviços ou em termos de Dentre eles está a conceituação de Dado Pes-
uso de aplicações de internet; soal, como “dado relacionado à pessoa natural
28 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º (...) IX - con- identificada ou identificável, inclusive números
sentimento expresso sobre coleta, uso, armazenamento e identificativos, dados locacionais ou identifica-
tratamento de dados pessoais, que deverá ocorrer de forma dores eletrônicos, quando estes estiverem rela-
destacada das demais cláusulas contratuais;” cionados a uma pessoa”33.
29 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º (...) IX - con-
Verifica-se assim que o legislador brasileiro
sentimento expresso sobre coleta, uso, armazenamento e
tratamento de dados pessoais, que deverá ocorrer de forma
evoluiu o pensamento protetivo da privacidade,
destacada das demais cláusulas contratuais;” ao nível da autodeterminação informacional, sen-
do este o direito de todo cidadão de ter controle
30 Lei nº 12.965 de 23 de abril de 2014: “Art. 22. A parte inte- sobre suas informações, de forma que este possa
ressada poderá, com o propósito de formar conjunto proba-
ter a prerrogativa de escolha no que compete à
tório em processo judicial cível ou penal, em caráter inciden-
divulgação e utilização de seus dados pessoais34
tal ou autônomo, requerer ao juiz que ordene ao responsável
pela guarda o fornecimento de registros de conexão ou de
registros de acesso a aplicações de internet.” 32 Lei nº 12.965 de 23 de abril de 2014: “Art. 12. Sem prejuí-
zo das demais sanções cíveis, criminais ou administrativas,
31 Lei nº 12.965 de 23 de abril de 2014: “Art. 21. O provedor
as infrações às normas previstas nos arts. 10 e 11 ficam su-
de aplicações de internet que disponibilize conteúdo gera- jeitas, conforme o caso, às seguintes sanções, aplicadas de
do por terceiros será responsabilizado subsidiariamente pela forma isolada ou cumulativa: (...) III - suspensão temporária
violação da intimidade decorrente da divulgação, sem auto- das atividades que envolvam os atos previstos no art. 11; ou
rização de seus participantes, de imagens, de vídeos ou de IV - proibição de exercício das atividades que envolvam os
outros materiais contendo cenas de nudez ou de atos sexuais atos previstos no art. 11.”
de caráter privado quando, após o recebimento de notifica-
33 Decreto nº 8.771, de 11 de maio de 2016: art. 14, inciso I.
ção pelo participante ou seu representante legal, deixar de
promover, de forma diligente, no âmbito e nos limites técni- 34 MENKE, Fabiano. “A proteção dedados e o novo direito
cos do seu serviço, a disponibilização desse conteúdo.” fundamental À garantia da confidencialidade e da integrida-

15
O Sistema de Proteção de Dados no Brasil

O Poder Judiciário, por seu turno, tem como


certa a recepção de tal direito fundamental no
corpo jurídico brasileiro, ao entende-lo como um
espectro do direito fundamental à privacidade35. É
justamente neste contexto que desponta a LGPD.

Conforme será abordado adiante, como uma


forma de adequação ao cenário social atual e
panorama tecnológico internacional, o próximo
passo indispensável ao Brasil foi a consolidação
de uma lei especialmente voltada a à tutela de
dados pessoais, não somente limitada ao âmbito
da internet, mas em qualquer ambiente.

2. A Lei Geral de Proteção de


Dados

2.1. Porque precisamos de uma Lei


Geral de Proteção de Dados?
e grandes empresas37. Após diversos debates e
disposições regulamentares de menor eficácia, a
Com a consolidação da teoria da autodetermi-
União Europeia aprovou a o Regulamento Geral
nação informacional, a comunidade mundial pas-
sou a buscar instrumentos capazes de proteger de Proteção de Dados Pessoais nº 679, em 27 de
direitos fundamentais de indivíduos na sociedade abril de 2016 (“GDPR”), cuja aplicação iniciou-se
da informação, especialmente em âmbito digital. dois anos depois, em 27 de abril de 2018.

Com o intuito restabelecer o compromisso do Em síntese, a GDPR é uma norma com força
Estado com os indivíduos no que compete à pro- de lei que tutela o tratamento de dados pessoais
teção de direitos fundamentais, a União Europeia realizado por estabelecimentos na União Euro-
passou a liderar este debate36, sendo que desde peia38 ou mesmo fora desta, no caso estabeleci-
a década de 1970 países desse bloco passaram a mentos que realizem tratamento de dados para
tutelar o tema, visando especialmente o controle oferecimento de produtos e serviços a titulares
do processamento de dados pelo poder público localizados nesta região39.

de dos sistemas técnico-informacionais no direito alemão” in A consequência internacional desta legislação é


MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, que, para ter autorizado o livre tráfego de dados
Alexandre Zavaglia (coord.). Direito, Inovação e Tecnologia - pessoais entre o nosso país e os membros da União
Volume 1. São Paulo: Saraiva, 2017. Paginação irregular. Europeia, passou a ser necessário que os países
35 Sobre o tema, cabe destacar o Julgamento dos Embargos
de Declaração no Recurso Especial nº 1.630.889/DF, realiza-
do em 27/11/2018, de relatoria da Ministra Nancy Andrighi:
37 VAINZOF, Rony. “Dados pessoais, tratamento e princí-
“Os direitos à intimidade e à proteção da vida privada, di-
pios” in Coord. MALDONADO, Viviane Nóbrega, BLUM, Re-
retamente relacionados à utilização de dados pessoais por
nato Ópice. “Comentários ao GDPR: Regulamento Geral de
bancos de dados de proteção ao crédito, consagram o direito
Proteção de Dados da União Européia” – São Paulo: Thomson
à autodeterminação informativa e encontram guarida consti-
Reuters Brasil, 2018. Pág. 38.
tucional no art. 5º, X, da Carta Magna, que deve ser aplicado
nas relações entre particulares por força de sua eficácia ho- 38 LIMA, Caio César Carvalho. “Objeto, Aplicação material
rizontal e privilegiado por imposição do princípio da máxima e Aplicação territorial” in MALDONADO, Viviane Nóbrega,
efetividade dos direitos fundamentais”. BLUM, Renato Ópice (coord.). “Comentários ao GDPR: Re-
gulamento Geral de Proteção de Dados da União Européia”
36 PINHEIRO, Patrícia Peck. Proteção de dados pessoais: co-
– São Paulo: Thomson Reuters Brasil, 2018. Pág. 29
mentários à Lei n. 13.709/2018 (LGPD) / Patrícia Peck Pinhei-
ro. – São Paulo: Saraiva Educação, 2018. Paginação irregular. 39 Idem. Pág. 31

16
O Sistema de Proteção de Dados no Brasil

3. Principais aspectos da
LGPD
Neste capítulo, abordaremos de forma práti-
ca e objetiva os principais pontos de atenção à
LGPD, em sua versão atualizada até o momento
de edição deste Livro, ou seja, será analisada a
Lei nº 13.708, de 14 de agosto de 2018, alterada
pela Lei nº 13.853, de 8 de julho de 2019, cuja en-
trada em vigor das principais disposições dar-se
-á em 16 de agosto de 2020.

Para o fim de interpretação, sempre que for


mencionada “Lei”, esta deve ser entendido como
a LGPD nos termos acima referidos.

É possível que, em momento posterior, o texto


consolidado da LGPD sofra alterações. Por essa
razão, é recomendável que o interessado busque
sempre uma assessoria jurídica especializada
caso tenha interesse em saber qual é a versão
que não façam parte deste grupo apresentem um mais atualizada da norma e a melhor forma de
nível de proteção semelhante ao da GDPR40. sua interpretação.

Já no Brasil, diante da condição esparsa dos


temas referentes à proteção de dados e da limi- 3.1. Conceitos
tação de cada legislação a seu âmbito de aplica-
ção, os mais diversos temas careciam de objeti-
vidade no que se refere às condições adequadas Antes de se aprofundar na LGPD, é indispen-
para aferir se foi atribuída a segurança condizen- sável compreender os conceitos trazidos nela.
te ao manuseio, guarda e descarte de dados41. Neste Artigo, todos os conceitos adotados se-
rão os mesmos indicados pela LGPD, sempre que
Por esta razão, tornou-se indispensável a cria- não for indicado de forma diversa.
ção de uma norma que consolidasse padrões
que seriam considerados adequados à proteção I. Dado pessoal: informação relacionada a pessoa
de dados pessoais em qualquer âmbito, além, é natural identificada ou identificável;
claro, das penalidades aplicáveis, possibilitando II. Dado pessoal sensível: dado pessoal sobre ori-
ao Brasil atingir a devida compatibilidade em gem racial ou étnica, convicção religiosa, opi-
proteção de dados com a GDPR42. Isso possibili- nião política, filiação a sindicato ou a organiza-
tou que projetos de lei já apresentados no con- ção de caráter religioso, filosófico ou político,
gresso nacional pudessem ser priorizados, o que, dado referente à saúde ou à vida sexual, dado
por sua vez, levou à aprovação da LGPD. genético ou biométrico, quando vinculado a
uma pessoa natural;

III. Dado anonimizado: dado relativo a titular que


40 GUTIERREZ, Andrei. “Transferência internacional de
não possa ser identificado, considerando a
dados & estratégias de desenvolvimento nacional” in MAL-
DONADO, Viviane Nóbrega, BLUM, Renato Ópice (coord.).
utilização de meios técnicos razoáveis e dis-
“Comentários ao GDPR: Regulamento Geral de Proteção de poníveis na ocasião de seu tratamento;
Dados da União Européia” – São Paulo: Thomson Reuters
Brasil, 2018. Pág. 219
IV. Banco de dados: conjunto estruturado de da-
dos pessoais, estabelecido em um ou em vá-
41 PINHEIRO, Patricia Peck. Proteção de dados pessoais : co- rios locais, em suporte eletrônico ou físico;
mentários à Lei n. 13.709/2018 (LGPD) / Patricia Peck Pinhei-
ro. – São Paulo : Saraiva Educação, 2018. Paginação irregular. V. Titular: pessoa natural a quem se referem os
42 Idem. dados pessoais que são objeto de tratamento.

17
O Sistema de Proteção de Dados no Brasil

VI. Controlador: pessoa natural ou jurídica, de di- órgãos e entidades públicos no cumprimento
reito público ou privado, a quem competem de suas competências legais, ou entre esses e
as decisões referentes ao tratamento de da- entes privados, reciprocamente, com autori-
dos pessoais; zação específica, para uma ou mais modalida-
des de tratamento permitidas por esses entes
VII. Operador: pessoa natural ou jurídica, de di- públicos, ou entre entes privados;
reito público ou privado, que realiza o trata-
mento de dados pessoais em nome do con- XVII. Relatório de impacto à proteção de dados
trolador; pessoais: documentação do controlador que
contém a descrição dos processos de trata-
VIII. Encarregado: pessoa indicada pelo controla- mento de dados pessoais que podem gerar
dor e pelo operador para atuar como canal de riscos às liberdades civis e aos direitos funda-
comunicação entre o controlador, os titulares mentais, bem como medidas, salvaguardas e
dos dados e a Autoridade Nacional de Prote- mecanismos de mitigação de risco;
ção de Dados;
XVIII. Órgão de pesquisa: órgão ou entidade
IX. Agentes de tratamento: o controlador e o da administração pública direta ou indireta
operador; ou pessoa jurídica de direito privado sem
fins lucrativos legalmente constituída sob as
X. Tratamento: toda operação realizada com da-
leis brasileiras, com sede e foro no País, que
dos pessoais, como as que se referem a coleta,
inclua em sua missão institucional ou em seu
produção, recepção, classificação, utilização,
objetivo social ou estatutário a pesquisa básica
acesso, reprodução, transmissão, distribuição,
ou aplicada de caráter histórico, científico,
processamento, arquivamento, armazena-
tecnológico ou estatístico;
mento, eliminação, avaliação ou controle da
informação, modificação, comunicação, trans- XIX. Autoridade Nacional (“ANDP”): órgão da
ferência, difusão ou extração; administração pública responsável por zelar,
implementar e fiscalizar o cumprimento desta
XI. Anonimização: utilização de meios técnicos
Lei no território nacional.
razoáveis e disponíveis no momento do trata-
mento, por meio dos quais um dado perde a XX. Pseudonimização: tratamento por meio do
possibilidade de associação, direta ou indire- qual um dado perde a possibilidade de asso-
ta, a um indivíduo; ciação, direta ou indireta, a um indivíduo, se-
não pelo uso de informação adicional mantida
XII. Consentimento: manifestação livre, informa-
separadamente pelo controlador em ambien-
da e inequívoca pela qual o titular concorda
te controlado e seguro43.
com o tratamento de seus dados pessoais
para uma finalidade determinada;

XIII. Bloqueio: suspensão temporária de qualquer


3.2. Objeto, escopo de aplicação e
operação de tratamento, mediante guarda do fundamentos
dado pessoal ou do banco de dados;

XIV. Eliminação: exclusão de dado ou de conjun- A LGPD tutela o tratamento de dados pessoais,
to de dados armazenados em banco de da- inclusive em meios digitais, realizados por qual-
dos, independentemente do procedimento quer pessoa44. Ou seja, esta Lei tutela dados tanto
empregado;
43 Lei Federal nº 13.709/2018: “Art. 13. (...)§ 4º Para os efei-
XV. Transferência internacional de dados: trans-
tos deste artigo, a pseudonimização é o tratamento por meio
ferência de dados pessoais para país estran-
do qual um dado perde a possibilidade de associação, direta
geiro ou organismo internacional do qual o ou indireta, a um indivíduo, senão pelo uso de informação
país seja membro; adicional mantida separadamente pelo controlador em am-
biente controlado e seguro.”
XVI. Uso compartilhado de dados: comunicação,
difusão, transferência internacional, interco- 44 Lei Federal nº 13.709/2018: “Art. 1º Esta Lei dispõe sobre
nexão de dados pessoais ou tratamento com- o tratamento de dados pessoais, inclusive nos meios digitais,
partilhado de bancos de dados pessoais por por pessoa natural ou por pessoa jurídica de direito público
ou privado, com o objetivo de proteger os direitos funda-

18
O Sistema de Proteção de Dados no Brasil

em meios físicos como eletrônicos, dentro ou fora brasileiros, ou (ii) sejam transferidos para ou-
da internet, e se aplica tanto aos entes públicos tro país que apresente o mesmo grau de pro-
quanto particulares, sejam eles pessoas jurídicas teção da LGPD46;
ou físicas, que realizem tratamento de dados.
 Tratamento de dados anonimizados, salvo em
Para tanto, é indispensável que seja atendida caso de reversão da anonimização47.
uma das seguintes condições45:
A norma apresenta ainda fundamentos que
 A operação de tratamento ocorra em territó- precisam ser levados em consideração em sua
rio brasileiro; interpretação, tais como o respeito à privacida-
de, autodeterminação informativa, o desenvolvi-
 O tratamento de dados tenha como objetivo mento econômico e a livre iniciativa48. Tais dis-
o fornecimento de bens e serviços a titulares posições constituem o norte de aplicação da Lei,
de dados pessoais localizados no Brasil; que deve preservar direitos individuais sem frear
 Os dados pessoais submetidos ao tratamento o avanço tecnológico e econômico49.
tenham sido coletados no Brasil.

Destas considerações, é possível verificar que 46 Lei Federal nº 13.709/2018: “Art. 4º Esta Lei não se aplica
dados de pessoas jurídicas não estão protegidos ao tratamento de dados pessoais: I - realizado por pessoa na-
pela LGPD e que, a aplicação da Lei independe tural para fins exclusivamente particulares e não econômicos;
da nacionalidade do titular. II - realizado para fins exclusivamente: a) jornalístico e artís-
ticos; ou b) acadêmicos; III - realizado para fins exclusivos
Existem ainda exceções à aplicação da LGPD. de: a) segurança pública; b) defesa nacional; c) segurança
São elas: do Estado; ou d) atividades de investigação e repressão de
infrações penais; ou IV - provenientes de fora do território
 Tratamento realizado por pessoa natural com nacional e que não sejam objeto de comunicação, uso com-
fins particulares e não econômicos; partilhado de dados com agentes de tratamento brasileiros
ou objeto de transferência internacional de dados com outro
 Tratamento com fins (i) jornalísticos, (ii) artís- país que não o de proveniência, desde que o país de pro-
ticos, (iii) acadêmicos; veniência proporcione grau de proteção de dados pessoais
adequado ao previsto nesta Lei.§ 1º O tratamento de da-
 Tratamento com o fim de (i) segurança públi- dos pessoais previsto no inciso III será regido por legislação
ca; (ii) defesa nacional; (iii) segurança de Esta- específica, que deverá prever medidas proporcionais e es-
do; ou (iv) investigação ou repressão de infra- tritamente necessárias ao atendimento do interesse público,
ções penais, mediante legislação específica; observados o devido processo legal, os princípios gerais de
proteção e os direitos do titular previstos nesta Lei.
 Tratamento de dados pessoais originados de 47 Lei Federal nº 13.709/2018: “Art Art. 12. Os dados anoni-
fora do Brasil e que (i) não sejam comparti- mizados não serão considerados dados pessoais para os fins
lhados ou enviados a agentes de tratamento desta Lei, salvo quando o processo de anonimização ao qual
foram submetidos for revertido, utilizando exclusivamente
meios próprios, ou quando, com esforços razoáveis, puder
mentais de liberdade e de privacidade e o livre desenvolvi-
ser revertido.”
mento da personalidade da pessoa natural.”
48 Lei Federal nº 13.709/2018: “Art. 2º A disciplina da prote-
45 Lei Federal nº 13.709/2018, “Art. 3º Esta Lei aplica-se a
ção de dados pessoais tem como fundamentos:
qualquer operação de tratamento realizada por pessoa na-
I - o respeito à privacidade; II - a autodeterminação informa-
tural ou por pessoa jurídica de direito público ou privado, in-
tiva; (...) V - o desenvolvimento econômico e tecnológico e a
dependentemente do meio, do país de sua sede ou do país
inovação; VI - a livre iniciativa, a livre concorrência e a defesa
onde estejam localizados os dados, desde que: I - a operação
do consumidor; e
de tratamento seja realizada no território nacional; II - a ati-
vidade de tratamento tenha por objetivo a oferta ou o for- 49 Neste sentido versa a justificativa do Projeto de Lei
necimento de bens ou serviços ou o tratamento de dados 4060/2012, cujo texto originou a LGPD: “O tratamento de
de indivíduos localizados no território nacional; III - os dados dados é hoje uma realidade cada vez mais presente em nosso
pessoais objeto do tratamento tenham sido coletados no cotidiano, especialmente quando experimentamos o avanço
território nacional. § 1ºConsideram-se coletados no território da tecnologia da informação, em especial a internet e suas
nacional os dados pessoais cujo titular nele se encontre no aplicações nas mais diversas áreas de nossa vida em socieda-
momento da coleta. § 2º Excetua-se do disposto no inciso I de. Até pouco tempo era inimaginável pensar nas aplicações
deste artigo o tratamento de dados previsto no inciso IV do e a interação que a internet teria em nosso dia-a-dia, ao mes-
caput do art. 4º desta Lei. ”. mo tempo em que podemos imaginar que isso continuará em

19
O Sistema de Proteção de Dados no Brasil

3.3. Princípios das normas aplicáveis, inclusive no compete à


sua eficácia50.

Além dos fundamentos, a lei estabelece ainda


os princípios que legitimam o tratamento de da-
3.4. Tratamento de dados pessoais
dos adequado. Conforme será verificado mais a
frente, todos os direitos do titular e obrigações A partir de agosto de 2020, o tratamento de
dos agentes de tratamento estão diretamente dados pessoais precisará fundar-se em ao menos
relacionados a estes princípios. São eles: uma das hipóteses previstas em lei.
 Finalidade: propósito legítimo, específico, ex- É indispensável que o controlador realize o
plícito e informado ao titular; tratamento do dado pessoal fundado em uma
 Adequação: compatibilidade entre a finalida- das seguintes hipóteses, sob pena de ter seu tra-
de apresentada ao titular e o tratamento efe- tamento invalidado:
tivamente realizado sobre o dado pessoal;  Consentimento do titular;
 Necessidade: utilização mínima possível de  Cumprimento de obrigação legal ou regulató-
dados para atendimento da finalidade; ria pelo Controlador;
 Livre acesso: garantia ao titular de consulta  Pela administração pública, para o tratamen-
facilitada e gratuita sobre a forma e duração to e uso compartilhado de dados em políticas
do tratamento realizado;

 Qualidade dos dados: garantia ao titular de


clareza, exatidão, relevância e atualização dos 50 Lei Federal nº 13.709/2018: “Art. 6º As atividades de tra-
dados, observado o princípio da necessidade; tamento de dados pessoais deverão observar a boa-fé e os
seguintes princípios: I - finalidade: realização do tratamento
 Transparência: garantia ao titular de informa- para propósitos legítimos, específicos, explícitos e informa-
ções claras, precisas e de fácil acesso sobre o dos ao titular, sem possibilidade de tratamento posterior de
tratamento de dados pessoais, observados os forma incompatível com essas finalidades; II - adequação:
compatibilidade do tratamento com as finalidades informa-
pontos referentes a segredos comerciais ou
das ao titular, de acordo com o contexto do tratamento; III
industriais;
- necessidade: limitação do tratamento ao mínimo necessário
 Segurança: uso de medidas técnicas e admi- para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em rela-
nistrativas apta a proteção dos dados pes-
ção às finalidades do tratamento de dados; IV - livre acesso:
soais objeto de tratamento;
garantia, aos titulares, de consulta facilitada e gratuita sobre
a forma e a duração do tratamento, bem como sobre a in-
 Prevenção: adoção de medidas de segurança
tegralidade de seus dados pessoais; V - qualidade dos da-
que previnam danos em virtude do tratamen-
dos: garantia, aos titulares, de exatidão, clareza, relevância e
to de dados pessoais; atualização dos dados, de acordo com a necessidade e para
o cumprimento da finalidade de seu tratamento; VI - transpa-
 Não discriminação: não realização de trata-
rência: garantia, aos titulares, de informações claras, precisas
mento com fins discriminatórios, ilícitos ou
e facilmente acessíveis sobre a realização do tratamento e os
abusivos; respectivos agentes de tratamento, observados os segredos
comercial e industrial; VII - segurança: utilização de medidas
 Responsabilização e prestação de contas: de-
técnicas e administrativas aptas a proteger os dados pes-
monstração pelo agente de tratamento de soais de acessos não autorizados e de situações acidentais
adoção de medidas que visem a observância ou ilícitas de destruição, perda, alteração, comunicação ou
difusão; VIII - prevenção: adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de dados pes-
ritmo acelerado e de incremento, tendo em vista a velocidade soais; IX - não discriminação: impossibilidade de realização
em que novas tecnologias são desenvolvidas para a comuni- do tratamento para fins discriminatórios ilícitos ou abusivos;
cação com as pessoas. Dentro dessa realidade se faz neces- X - responsabilização e prestação de contas: demonstração,
sário estabelecer normas legais para disciplinar tais relações, pelo agente, da adoção de medidas eficazes e capazes de
especialmente para dar proteção à individualidade e a priva- comprovar a observância e o cumprimento das normas de
cidade das pessoas, sem impedir a livre iniciativa comercial e proteção de dados pessoais e, inclusive, da eficácia dessas
de comunicação.” medidas.”

20
O Sistema de Proteção de Dados no Brasil

públicas previstas em lei ou regulamentos ou  Dados tornados públicos pelo próprio titular52.
respaldados em contratos, convênios ou ins-
trumentos semelhantes;
3.4.1. Consentimento
 Realização de estudos por órgãos de pesqui-
O consentimento do titular é a primeira das 11
sa, utilizando sempre que possível dados ano-
hipóteses que legitimam a realização do trata-
nimizados;
mento de dados. Entretanto, ela não é a única,
 Execução de contrato ou de procedimentos muito menos a “principal”. Por essa razão, cada
preliminares relacionados a contrato do qual negócio precisa avaliar qual é a melhor base para
seja parte o Titular, sob sua solicitação; a coleta dos dados, de acordo com a finalidade
que se pretende atingir.
 Exercício regular de direitos em processo ju-
dicial, administrativo ou arbitral; O Consentimento deve ser fornecido por es-
crito ou outro meio que demonstre a manifes-
 Proteção da vida ou da incolumidade física do tação de vontade53. Por essa razão, é possível
titular ou de terceiro;

 Tutela da saúde, em procedimento realizado


pessoais; V - quando necessário para a execução de contrato
por profissionais de saúde, serviços de saúde ou de procedimentos preliminares relacionados a contrato
ou por autoridades sanitárias; do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial,
 Interesses legítimos do controlador, exceto se administrativo ou arbitral, esse último nos termos da Lei nº
prevalecerem direitos e liberdades do titular 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII -
garantidos constitucionalmente. para a proteção da vida ou da incolumidade física do titular
ou de terceiro; VIII - para a tutela da saúde, exclusivamente,
 Proteção do crédito51 em procedimento realizado por profissionais de saúde, servi-
ços de saúde ou autoridade sanitária; IX - quando necessário
para atender aos interesses legítimos do controlador ou de
51 Lei Federal nº 13.709/2018: “Art. 7º O tratamento de da- terceiro, exceto no caso de prevalecerem direitos e liberda-
dos pessoais somente poderá ser realizado nas seguintes hi- des fundamentais do titular que exijam a proteção dos dados
póteses: I - mediante o fornecimento de consentimento pelo pessoais; ou X - para a proteção do crédito, inclusive quanto
titular; II - para o cumprimento de obrigação legal ou regu- ao disposto na legislação pertinente.
latória pelo controlador; III - pela administração pública, para
52 Lei Federal nº 13.709/2018: “Art. 8º (...)§ 3º O tratamento
o tratamento e uso compartilhado de dados necessários à
de dados pessoais cujo acesso é público deve considerar a
execução de políticas públicas previstas em leis e regulamen-
finalidade, a boa-fé e o interesse público que justificaram sua
tos ou respaldadas em contratos, convênios ou instrumentos
disponibilização.”
congêneres, observadas as disposições do Capítulo IV desta
Lei; IV - para a realização de estudos por órgão de pesquisa, 53 Lei Federal nº 13.709/2018: “Art. 8º O consentimento pre-
garantida, sempre que possível, a anonimização dos dados visto no inciso I do art. 7º desta Lei deverá ser fornecido por

21
O Sistema de Proteção de Dados no Brasil

que eventualmente venha a ser considerado in-  Finalidade do tratamento;


válido o consentimento obtido mediante a pas-
sividade do titular, tal como o modelo de caixa  Forma e duração do tratamento, preservados
os segredos comercial e industrial;
“pré-preenchida” com aceite, ou mesmo a impo-
sição de preenchimento de caixa optando pela  Identificação do controlador;
não aceitação dos termos. Caso o consentimento
seja dado mediante assinatura, este deve constar  Informações referentes ao uso compartilhado
em cláusula destacada das demais54. pelo controlador e sua finalidade;
Verifica-se, desta forma, que poderia vir a ser
Em caso de compartilhamento ou comunica-
considerado legítimo a apresentação de um sim-
ção de dados pessoais com outros controladores, ples opt-out neste caso, uma vez que a Lei não
o controlador que obteve consentimento para exige a obtenção de novo consentimento.
seu tratamento deverá obter também o consen-
timento específico do titular para este fim55. É muito importante que o controlador observe
todas essas obrigações uma vez que a LGPD lhe
A finalidade informada para a obtenção de impõe o dever de comprovar que obteve o con-
consentimento não poderá ser genérica56, de- sentimento de forma regular59.
vendo ser apresentadas de forma transparente,
Uma vez concedido, o consentimento pode-
clara e inequívoca57. Trata-se de observância ao rá ser revogado pelo titular a qualquer tempo,
requisito da especificidade, presente no princípio sendo preservada a legitimidade do tratamento
da finalidade, que impõe ao controlador definir realizado anteriormente à revogação60.
previamente uma destinação exata do tratamen-
to a ser realizado. Por fim, o titular poderá também solicitar uma
cópia eletrônica integral de seus dados pessoais,
Na hipótese de alteração de informações rele- em formato a ser regulamentado pela Autorida-
vantes à escolha do titular para tal autorização, de Nacional. Este relatório deverá ser interoperá-
este deverá ser comunicado, podendo revogá- vel, para utilização em outras operações de tra-
tamento. Tal disponibilização poderá preservar
lo58. Essas informações relevantes são:
pontos de segredo comercial ou industrial61.

3.4.2. Demais hipóteses de tratamento de


escrito ou por outro meio que demonstre a manifestação de
dados pessoais
vontade do titular. ”

54 Lei Federal nº 13.709/2018: “Art. 8º (...) § 1º Caso o con- Denota-se que o tratamento de dados pes-
sentimento seja fornecido por escrito, esse deverá constar de soais mediante o consentimento demanda do
cláusula destacada das demais cláusulas contratuais. ” controlador uma série de requisitos e responsa-
bilidades específicas, não aplicáveis às demais
55 Lei Federal nº 13.709/2018: “Art. 7º (...)§ 5º O controlador hipóteses trazidas pela lei.
que obteve o consentimento referido no inciso I do caput
deste artigo que necessitar comunicar ou compartilhar dados
pessoais com outros controladores deverá obter consenti- revogá-lo caso discorde da alteração.
mento específico do titular para esse fim, ressalvadas as hi-
59 Lei Federal nº 13.709/2018: “Art. 8º (...) § 2º Cabe ao con-
póteses de dispensa do consentimento previstas nesta Lei. ”
trolador o ônus da prova de que o consentimento foi obtido
56 Lei Federal nº 13.709/2018: “Art. 8º (...) §4º O consenti- em conformidade com o disposto nesta Lei.”
mento deverá referir-se a finalidades determinadas, e as au-
60 Lei Federal nº 13.709/2018: “Art. 8º (...) § 6º Em caso de
torizações genéricas para o tratamento de dados pessoais
alteração de informação referida nos incisos I, II, III ou V do
serão nulas.”
art. 9º desta Lei, o controlador deverá informar ao titular, com
57 Lei Federal nº 13.709/2018: “Art. 9º (...)§ 1º Na hipótese em destaque de forma específica do teor das alterações, poden-
que o consentimento é requerido, esse será considerado nulo do o titular, nos casos em que o seu consentimento é exigido,
caso as informações fornecidas ao titular tenham conteúdo revogá-lo caso discorde da alteração.
enganoso ou abusivo ou não tenham sido apresentadas pre-
61 Lei Federal nº 13.709/2018: “Art. 19. (...)§ 3º Quando o
viamente com transparência, de forma clara e inequívoca.
tratamento tiver origem no consentimento do titular ou em
58 Lei Federal nº 13.709/2018: “Art. 8º (...) § 6º Em caso de contrato, o titular poderá solicitar cópia eletrônica integral
alteração de informação referida nos incisos I, II, III ou V do de seus dados pessoais, observados os segredos comercial e
art. 9º desta Lei, o controlador deverá informar ao titular, com industrial, nos termos de regulamentação da autoridade na-
destaque de forma específica do teor das alterações, poden- cional, em formato que permita a sua utilização subsequente,
do o titular, nos casos em que o seu consentimento é exigido, inclusive em outras operações de tratamento.”

22
O Sistema de Proteção de Dados no Brasil

Evidente que os agentes de tratamento deve- V. Quando solicitado pelo titular e necessário
rão observar os princípios que legitimam o tra- para a execução de contratos ou procedimen-
tamento de dados pessoais62 e suas obrigações tos preliminares;
gerais63, mas diferentemente do caso anterior, a
lei não condiciona a obtenção de consentimento VI. Exercício regular de direitos em processo
nos seguintes casos64: administrativo, judicial ou arbitral;
I. Dados tornados públicos pelo próprio titular65,
VII. Proteção da vida ou incolumidade física
devendo ser preservados seus direitos e conser-
vada a finalidade, boa-fé e interesse público66; do titular ou de terceiros;

II. Cumprimento de obrigação legal ou regulató- VIII. Tutela da saúde, em procedimento reali-
ria pelo controlador; zado por profissionais da saúde ou entidades
sanitárias;
III. Pela administração pública, para o tratamento
e uso compartilhado de dados necessários à IX. Interesse legítimo do controlador, sempre
execução de políticas públicas; que não conflitante com direitos e garantias
IV. Realização de estudos por órgãos de pesquisa, fundamentais do titular;
preferencialmente com dados anonimizados;
X. Proteção do crédito.

Cumpre destacar que, por exposição expres-


62 Vide item 3.3.
sa da LGPD, o titular somente poderá opor-se ao
63 Vide item 3.5. tratamento nestas hipóteses em caso de descum-
64 Lei Federal nº 13.709/2018: “Art. 7º O tratamento de da-
primento de obrigações legais pelo controlador67.
dos pessoais somente poderá ser realizado nas seguintes hi-
Dessa forma, antes de se optar pelo consen-
póteses: I - mediante o fornecimento de consentimento pelo
titular; II - para o cumprimento de obrigação legal ou regu-
timento do titular, é importante que o controla-
latória pelo controlador; III - pela administração pública, para dor verifique se a finalidade do tratamento a ser
o tratamento e uso compartilhado de dados necessários à realizada não poderia ser associada a uma das
execução de políticas públicas previstas em leis e regulamen- hipóteses acima, dada a maior segurança de que
tos ou respaldadas em contratos, convênios ou instrumentos o tratamento não precisará ser interrompido e o
congêneres, observadas as disposições do Capítulo IV desta dado excluído da base de dados caso a operação
Lei; IV - para a realização de estudos por órgão de pesquisa, se realize de forma regular.
garantida, sempre que possível, a anonimização dos dados
pessoais; V - quando necessário para a execução de contrato
ou de procedimentos preliminares relacionados a contrato 3.4.3. Comentários sobre o legítimo
do qual seja parte o titular, a pedido do titular dos dados; interesse
VI - para o exercício regular de direitos em processo judicial,
administrativo ou arbitral, esse último nos termos da Lei nº No que se refere ao interesse legítimo do con-
9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII - trolador, a Lei não apresenta um conceito espe-
para a proteção da vida ou da incolumidade física do titular cífico, mas dispõe de alguns exemplos:
ou de terceiro; VIII - para a tutela da saúde, em procedimento
realizado por profissionais da área da saúde ou por entidades  Apoio e promoção de atividades do contro-
sanitárias; lador;
IX - quando necessário para atender aos interesses legítimos
do controlador ou de terceiro, exceto no caso de prevalece-  Exercício regular de direitos relacionados ao
rem direitos e liberdades fundamentais do titular que exijam titular, respeitadas as legítimas expectativas
a proteção dos dados pessoais; ou X - para a proteção do do titular;
crédito, inclusive quanto ao disposto na legislação pertinente.
 Prestação de serviços que beneficiem o titu-
65 Lei Federal nº 13.709/2018: “Art. 7º (...)§ 4º É dispensada lar respeitadas as legítimas expectativas do
a exigência do consentimento previsto no caput deste artigo
titular68;
para os dados tornados manifestamente públicos pelo titular,
resguardados os direitos do titular e os princípios previstos
nesta Lei.” 67 Lei Federal nº 13.709/2018: “Art. 18. (...)§ 2º O titular pode
opor-se a tratamento realizado com fundamento em uma das
66 Lei Federal nº 13.709/2018: “Art. 7º (...)§ 3º O tratamento
hipóteses de dispensa de consentimento, em caso de des-
de dados pessoais cujo acesso é público deve considerar a
cumprimento ao disposto nesta Lei.”
finalidade, a boa-fé e o interesse público que justificaram sua
disponibilização.” 68 Lei Federal nº 13.709/2018: “Art. 10. O legítimo interes-

23
O Sistema de Proteção de Dados no Brasil

É importante observar que a LGPD não traz


uma definição concreta, justamente porque é
indispensável deixar a cargo do controlador aferir
por si as oportunidades de utilização de dados, que
devem estar dentro das expectativas do titular e
respeitar os direitos deste descritos na legislação.

A GDPR traz alguns exemplos práticos, como


marketing direto69, transmissão de dados entre
empresas do mesmo grupo para fins administra-
tivos70, tratamento para fins de segurança da in-
formação71 e prevenção de infrações criminais72.
A experiência europeia apresenta, ademais, o
chamado “balancing test” ou, em livre tradução,
“teste de ponderação”, por meio do qual se veri-
fica a existência de um eventual choque entre os
interesses do controlador e os direitos e garan-
tias do titular73.

Verificam-se ainda obrigações do controlador


que realiza o tratamento com base no legítimo
interesse:

se do controlador somente poderá fundamentar tratamento


de dados pessoais para finalidades legítimas, consideradas a
partir de situações concretas, que incluem, mas não se limi-
tam a: I - apoio e promoção de atividades do controlador; e II
- proteção, em relação ao titular, do exercício regular de seus
direitos ou prestação de serviços que o beneficiem, respeita-
das as legítimas expectativas dele e os direitos e liberdades
fundamentais, nos termos desta Lei.”

69 Regulation (EU) 2016/679 of the European parliament


and of the Council of 27 April 2016 on the protection of na-
tural persons with regard to the processing of personal data
and on the free movement of such data, and repealing Direc-
tive 95/46/EC (General Data Protection Regulation): Recital
47

70 Regulation (EU) 2016/679 of the European parliament


and of the Council of 27 April 2016 on the protection of na-
tural persons with regard to the processing of personal data
and on the free movement of such data, and repealing Direc-
tive 95/46/EC (General Data Protection Regulation): Recital
48

71 Regulation (EU) 2016/679 of the European parliament and


of the Council of 27 April 2016 on the protection of natural
persons with regard to the processing of personal data and
on the free movement of such data, and repealing Directive
95/46/EC (General Data Protection Regulation): Recital 49

72 Regulation (EU) 2016/679 of the European parliament and


of the Council of 27 April 2016 on the protection of natural
persons with regard to the processing of personal data and
on the free movement of such data, and repealing Directive
95/46/EC (General Data Protection Regulation): Recital 50

73 Article 29 Working Party, “Opinion 6/2014 on the notion


of legitimate interests of the data controller under Article 7 of
Directive 95/46”, April 9, 2014, pág. 30.

24
O Sistema de Proteção de Dados no Brasil

 Indicação de finalidade específica; II. Tratamento compartilhado de dados necessá-


rios à execução, pela administração pública,
 Implantação de medidas de garantia de trans- de políticas públicas previstas em leis ou re-
parência no tratamento; gulamentos;
 Elaboração de relatório de impacto à prote-
III. Realização de estudos por órgão de pesquisa,
ção de dados pessoais, em caso de requisição
garantida, sempre que possível, a anonimiza-
pela Autoridade Nacional, observado o segre-
ção dos dados pessoais sensíveis;
do comercial e industrial.
IV. Exercício regular de direitos, inclusive em
Com efeito, ainda que aparentemente mais va-
gas, as hipóteses de tratamento que contemplam contrato e em processo judicial, administrati-
o consentimento ou interesse legítimo acarretam vo e arbitral;
em diversos riscos e ônus ao controlador. V. Proteção da vida ou da incolumidade física do
Por esta razão, é possível concluir que o en- titular ou de terceiro;
quadramento da hipótese que fundamenta o
VI. Tutela da saúde, exclusivamente, em proce-
tratamento de dados pessoais precisa observar
dimento realizado por profissionais de saúde,
especialmente o atendimento ao princípio da fi-
nalidade. Uma vez compreendida de forma clara a serviços de saúde ou autoridade sanitária;
finalidade específica do tratamento do dado, será VII. Garantia da prevenção à fraude e à seguran-
possível verificar em qual das hipóteses de trata- ça do titular, nos processos de identificação
mento melhor se adequará a operação realizada.
e autenticação de cadastro em sistemas ele-
trônicos75;
3.4.4. Especificidades do tratamento de
dados sensíveis Por fim, a Lei veda expressamente o comparti-
lhamento de dados sensíveis de saúde entre con-
Dada a relevância dos dados pessoais sensí- troladores para fins econômicos, salvo os casos de:
veis, a LGPD traz em suas disposições hipóteses
específicas para o seu tratamento. Lembrando  Em benefício dos titulares, para prestação de
que, dados pessoais sensíveis são aqueles que serviços de saúde, de assistência farmacêuti-
tratam de origem racial ou étnica, convicção re- ca e de assistência à saúde, incluídos os servi-
ligiosa, opinião política, filiação a sindicato ou a ços auxiliares de diagnose e terapia;
organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual,  Portabilidade dos dados solicitada pelo Titu-
dado genético ou biométrico, quando vinculado lar;
a uma pessoa natural.
75 Lei Federal nº 13.709/2018: “Art. 11. (...)II - sem forneci-
Além dos pontos descritos no Item 3.4.1, aci-
mento de consentimento do titular, nas hipóteses em que for
ma, o consentimento a ser conferido pelo titular
indispensável para: a) cumprimento de obrigação legal ou re-
neste caso deve ser apresentado de forma espe- gulatória pelo controlador; b) tratamento compartilhado de
cífica e destacada74. dados necessários à execução, pela administração pública,
de políticas públicas previstas em leis ou regulamentos; c)
A LGPD apresenta um rol de hipóteses justifi-
realização de estudos por órgão de pesquisa, garantida, sem-
cadoras do tratamento de dados pessoais sensí- pre que possível, a anonimização dos dados pessoais sensí-
veis, menor do que aquele previsto para os da- veis; d) exercício regular de direitos, inclusive em contrato e
dos pessoais comuns: em processo judicial, administrativo e arbitral, este último nos
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de
I. Cumprimento de obrigação legal ou regulatória Arbitragem); e) proteção da vida ou da incolumidade física
pelo controlador; do titular ou de terceiro; f) tutela da saúde, em procedimento
realizado por profissionais da área da saúde ou por entidades
sanitárias; ou g) garantia da prevenção à fraude e à seguran-
74 Lei Federal nº 13.709/2018: “Art. 11. O tratamento de da- ça do titular, nos processos de identificação e autenticação
dos pessoais sensíveis somente poderá ocorrer nas seguin- de cadastro em sistemas eletrônicos, resguardados os direi-
tes hipóteses: I - quando o titular ou seu responsável legal tos mencionados no art. 9º desta Lei e exceto no caso de pre-
consentir, de forma específica e destacada, para finalidades valecerem direitos e liberdades fundamentais do titular que
específicas;” exijam a proteção dos dados pessoais.”

25
O Sistema de Proteção de Dados no Brasil

 Transações financeiras e administrativas re- Já no que se refere a perfis comportamen-


sultantes do uso e da prestação dos serviços tais, estes poderão ser considerados dados pes-
descritos acima. soais, sempre que possível a identificação do ti-
tular80. Isso porque, dados aparentemente não
É indispensável destacar que a lei veda vinculados diretamente ao titular, como número de
expressamente o tratamento de dados identificação de computador, histórico de compras,
pessoais para a chamada “seleção de riscos” entre outros dados em bases de dados diversas,
para contratação de modalidades de serviços, podem ser combinados entre si para formar um
ou mesmo na contratação ou exclusão de perfil associado à pessoa natural81. Tal perfil, por sua
vez, poderá ser constituído inclusive de dados sen-
beneficiários76.
síveis82, tais como dados de saúde, convicção reli-
giosa ou política, ou até mesmo orientação sexual.
3.4.5. Especificidades do tratamento de Dessa forma, em caso de construção de perfil
dados anonimizados operacional que torne o titular identificável, estas
informações receberão o tratamento atribuído
Conforme já mencionado, o dado pessoal que aos dados pessoais comuns e sensíveis.
passa por um processo de anonimização não é,
para a LGPD, considerado dado pessoal77. Isso
porque, conforme a definição do próprio texto
3.4.6. Breves considerações sobre o
legal, o dado que passa por este processo perde
tratamento de dados para estudos em saúde
o potencial de tornar seu titular identificado, até
pública
mesmo pelo controlador78. Neste item, serão discutidos os aspectos ge-
rais do tratamento de dados de saúde na LGPD.
Diante da gama de tecnologias disponíveis e Entraremos em maiores detalhes sobre esta ma-
do avanço tecnológico exponencial, é possível téria em capítulo específico desta obra.
afirmar que a utilização de novas tecnologias e o
cruzamento de bases de dados podem reverter Dada a natureza sensível de dados objeto de
o caráter pessoal do dado anteriormente estudos de saúde pública, a LGPD estipula que
órgãos de pesquisa poderão acessar bases de
anonimizado, dependendo do caso concreto. dados, atendidas as seguintes obrigações:
Nesse sentido, é possível afirmar que, ainda que  O tratamento dos dados deverá ser realizado
atualmente uma técnica de anonimização possa exclusivamente no próprio órgão;
ser considerada razoavelmente eficaz, não se pode
garantir que no futuro ela ainda o será. Como con-  A finalidade do tratamento deve ser, com ex-
sequência, também não seria possível garantir com clusividade, o fim de pesquisa;
total certeza que o dado anonimizado atualmente  Os dados deverão ser mantidos em ambiente con-
será mantido assim por todo o sempre. trolado e seguro, observando normas específicas;
Levando este ponto em consideração, a LGPD
considera válida a anonimização que demanda levar em consideração fatores objetivos, tais como custo e
custos e prazos além dos considerados razoáveis tempo necessários para reverter o processo de anonimiza-
ção, de acordo com as tecnologias disponíveis, e a utilização
para sua reversão ao tempo do tratamento79.
exclusiva de meios próprios.”

80 Lei Federal nº 13.709/2018: “Art. 12. (...) § 2º Poderão ser


76 Lei Federal nº 13.709/2018: “Art. 11. § 5º É vedado às
igualmente considerados como dados pessoais, para os fins
operadoras de planos privados de assistência à saúde o tra-
desta Lei, aqueles utilizados para formação do perfil com-
tamento de dados de saúde para a prática de seleção de ris-
portamental de determinada pessoa natural, se identificada.”
cos na contratação de qualquer modalidade, assim como na
contratação e exclusão de beneficiários” 81 Federal Trade Comssion. “Online Profiling: A Report To
Congress, 2000”. Disponível em https://www.ftc.gov/sys-
77 Lei Federal nº 13.709/2018: Art. 5º, inciso III.
tem/files/documents/reports/online-profiling-federal-trade-
78 Lei Federal nº 13.709/2018: Art. 5º, inciso XI. commission-report-congress-june-2000/onlineprofilingre-
portjune2000.pdf - acesso em 21 de março de 2019. Pág. 4.
79 Lei Federal nº 13.709/2018: “Art. 12. Os dados anonimi-
zados não serão considerados dados pessoais para os fins 82 FRAZÃO, Ana. “A Nova LGPD: tratamento de dados de
desta Lei, salvo quando o processo de anonimização ao qual crianças de adolescentes”. Disponível em https://www.jota.
foram submetidos for revertido, utilizando exclusivamente info/opiniao-e-analise/colunas/constituicao-empresa-e-mer-
meios próprios, ou quando, com esforços razoáveis, puder cado/nova-lgpd-tratamento-dos-dados-de-criancas-e-ado-
ser revertido. § 1º A determinação do que seja razoável deve lescentes-03102018 - acesso em 21 de março de 2019.

26
O Sistema de Proteção de Dados no Brasil

 Sempre que possível, os dados deverão ser No caos de tratamento de dados mediante o
anonimizados ou pseudonimizados; consentimento dos pais ou responsáveis legais,
o controlador deverá divulgar publicamente as
 A divulgação dos resultados não poderá reve- seguintes informações, de maneira simples, clara
lar dados pessoais; e e acessível, considerando inclusive as caracterís-
ticas próprias do titular alvo85:
 Não será possível a transmissão de dados
pessoais a terceiros83;  Tipos de dados coletados;

 Forma de sua utilização;


3.4.7. Tratamento de dados de crianças e
adolescentes  Procedimentos para o exercício de direitos do
titular dos dados86;
Os dados de crianças e adolescentes apresen-
tam também um tratamento especial pela LGPD. Em caso de aplicações de internet ou jogos,
os controladores não poderão condicionar a par-
Diferentemente dos demais casos, o tratamen-
ticipação da criança ou adolescente ao consen-
to de dados de crianças e adolescentes somente
timento dos dados que não sejam estritamente
é autorizado nas seguintes hipóteses:
necessários à atividade87.
I. Consentimento pelos pais ou responsáveis, que
Além das obrigações acima descritas caberá
deverá ser concedido de forma específica e
ao controlador realizar esforços razoáveis para
destacada no texto.
verificar que o consentimento foi atribuído de
II. Sem consentimento, para o caso de contato fato pelos pais ou responsáveis legais88.
dos pais ou responsável legal, realizado uma
única vez e sem o armazenamento do dado
na base de dados; cífico e em destaque dado por pelo menos um dos pais ou
pelo responsável legal. (...)§ 3º Poderão ser coletados dados
III. Sem consentimento, para proteção da criança pessoais de crianças sem o consentimento a que se refere o
ou adolescente84. § 1º deste artigo quando a coleta for necessária para contatar
os pais ou o responsável legal, utilizados uma única vez e sem
armazenamento, ou para sua proteção, e em nenhum caso
83 Lei Federal nº 13.709/2018: “Art. 13. Na realização de es- poderão ser repassados a terceiro sem o consentimento de
tudos em saúde pública, os órgãos de pesquisa poderão ter que trata o § 1º deste artigo.”
acesso a bases de dados pessoais, que serão tratados exclu-
sivamente dentro do órgão e estritamente para a finalidade 85 Lei Federal nº 13.709/2018: “Art. 14. (...)§ 2º No tratamento
de realização de estudos e pesquisas e mantidos em ambien- de dados de que trata o § 1º deste artigo, os controladores
te controlado e seguro, conforme práticas de segurança pre- deverão manter pública a informação sobre os tipos de dados
vistas em regulamento específico e que incluam, sempre que coletados, a forma de sua utilização e os procedimentos para
possível, a anonimização ou pseudonimização dos dados, o exercício dos direitos a que se refere o art. 18 desta Lei.”
bem como considerem os devidos padrões éticos relaciona-
dos a estudos e pesquisas. § 1º A divulgação dos resultados 86 Lei Federal nº 13.709/2018: “Art. 14. (...)§ 6º As infor-
ou de qualquer excerto do estudo ou da pesquisa de que tra- mações sobre o tratamento de dados referidas neste artigo
ta o caput deste artigo em nenhuma hipótese poderá revelar deverão ser fornecidas de maneira simples, clara e acessível,
dados pessoais. § 2º O órgão de pesquisa será o responsável consideradas as características físico-motoras, perceptivas,
pela segurança da informação prevista no caput deste artigo, sensoriais, intelectuais e mentais do usuário, com uso de re-
não permitida, em circunstância alguma, a transferência dos cursos audiovisuais quando adequado, de forma a proporcio-
dados a terceiro. § 3º O acesso aos dados de que trata este nar a informação necessária aos pais ou ao responsável legal
artigo será objeto de regulamentação por parte da autorida-
e adequada ao entendimento da criança.”
de nacional e das autoridades da área de saúde e sanitárias,
no âmbito de suas competências. § 4º Para os efeitos deste 87 Lei Federal nº 13.709/2018: “Art. 14. (...)§ 4º  Os controla-
artigo, a pseudonimização é o tratamento por meio do qual dores não deverão condicionar a participação dos titulares
um dado perde a possibilidade de associação, direta ou indi- de que trata o § 1º deste artigo em jogos, aplicações de in-
reta, a um indivíduo, senão pelo uso de informação adicional
ternet ou outras atividades ao fornecimento de informações
mantida separadamente pelo controlador em ambiente con-
pessoais além das estritamente necessárias à atividade.”
trolado e seguro.
84 Lei Federal nº 13.709/2018: “Art. 14. O tratamento de 88 Lei Federal nº 13.709/2018: “Art. 14. (...)§ 5º O controlador
dados pessoais de crianças e de adolescentes deverá ser rea- deve realizar todos os esforços razoáveis para verificar que
lizado em seu melhor interesse, nos termos deste artigo e da o consentimento a que se refere o § 1º deste artigo foi dado
legislação pertinente. § 1º O tratamento de dados pessoais pelo responsável pela criança, consideradas as tecnologias
de crianças deverá ser realizado com o consentimento espe- disponíveis.”

27
O Sistema de Proteção de Dados no Brasil

3.4.8. Término do tratamento de dados


A LGPD estipula quatro hipóteses de ocorrên-
cia do fim do tratamento de dados. São elas:
I. Alcance da finalidade específica;
II. Desnecessidade de tratamento para o alcance
da finalidade específica;
III. Comunicação do titular, especialmente no
caso de revogação do consentimento;
IV. Determinação da autoridade nacional89;
Com efeito, verifica-se claramente que a le-
gislação veda o tratamento de dados por tempo
indeterminado90, além de propor que dados cole-
tados desnecessários à finalidade específica pre-
tendida precisam ser excluídos da base de dados.
Em regra, o agente deverá providenciar seu
descarte definitivo, ou ainda, conservá-lo sob
uma das seguintes hipóteses:
I. Cumprimento de obrigação legal ou regulatória;
II. Estudos por órgãos de pesquisa, preferencial-
mente anonimizados;
III. Dados já transferidos a terceiros, observados
os preceitos legais;
IV. Anonimização dos dados91.
Dessa forma, é possível verificar que a LGPD
prevê um ciclo para o tratamento de dados, com
começo e fim. A manutenção de dados sem uma eventualmente representar um risco ao contro-
finalidade a ser atingida ou já exaurida, poderia lador, uma vez que este permanece responsável
pelo dado ainda que não mais realize qualquer
tratamento sobre ele92.
89 Lei Federal nº 13.709/2018: “Art. 15. O término do trata-
mento de dados pessoais ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os 3.5. Titular de dados pessoais
dados deixaram de ser necessários ou pertinentes ao alcan-
ce da finalidade específica almejada; II - fim do período de
tratamento; III - comunicação do titular, inclusive no exercí- 3.5.1. Direitos de informações oponíveis em
cio de seu direito de revogação do consentimento conforme face do controlador
disposto no § 5º do art. 8º desta Lei, resguardado o interesse
público; ou IV - determinação da autoridade nacional, quan- A LGPD determina de forma expressa que o
do houver violação ao disposto nesta Lei. titular tem o direito de acesso facilitado a certas
90 PINHEIRO, Patricia Peck. Proteção de dados pessoais : co- informações, que deverão ser apresentadas de
mentários à Lei n. 13.709/2018 (LGPD) / Patricia Peck Pinheiro. forma clara, adequada e ostensiva. São elas:
– São Paulo : Saraiva Educação, 2018. Paginação irregular.
I. A finalidade específica do tratamento;
91 Lei Federal nº 13.709/2018: “Art. 16.  Os dados pessoais se-
rão eliminados após o término de seu tratamento, no âmbito e II. Forma e duração do tratamento, observado o
nos limites técnicos das atividades, autorizada a conservação segredo comercial e industrial;
para as seguintes finalidades: I - cumprimento de obrigação
legal ou regulatória pelo controlador; II - estudo por órgão
de pesquisa, garantida, sempre que possível, a anonimização 92 Lei Federal nº 13.709/2018: “Art. 47. Os agentes de tra-
dos dados pessoais; III - transferência a terceiro, desde que tamento ou qualquer outra pessoa que intervenha em uma
respeitados os requisitos de tratamento de dados dispostos das fases do tratamento obriga-se a garantir a segurança da
nesta Lei; ou IV - uso exclusivo do controlador, vedado seu informação prevista nesta Lei em relação aos dados pessoais,
acesso por terceiro, e desde que anonimizados os dados. mesmo após o seu término.”

28
O Sistema de Proteção de Dados no Brasil

veis diretamente em face do controlador93 sem


qualquer custo94, perante Autoridade Nacional95,
ou até mesmo por meio de órgãos de defesa do
consumidor96.

É indispensável que este último esteja


preparado para atender tais demandas ao início
de vigência de suas obrigações, previsto para 16
de agosto de 2020.

Tais direitos são:

I. Confirmação da existência de tratamento;

II. Acesso aos dados pessoais objeto de trata-


mento;

III. Correção de dados incompletos, inexatos ou


desatualizados;

IV. Anonimização, bloqueio ou eliminação de da-


dos desnecessários, excessivos ou em des-
conformidade com a lei;

V. Portabilidade de dados a outro fornecedor,


observado o segredo comercial e ressalvados
dados já anonimizados97;

93 Lei Federal nº 13.709/2018: “Art. 18. O titular dos dados pes-


soais tem direito a obter do controlador, em relação aos dados
do titular por ele tratados, a qualquer momento e mediante re-
III. Identificação do controlador com informações quisição: I - confirmação da existência de tratamento; II - aces-
de contato; so aos dados; III - correção de dados incompletos, inexatos ou
desatualizados; IV - anonimização, bloqueio ou eliminação de
IV. Informações sobre o uso compartilhado dos dados desnecessários, excessivos ou tratados em desconfor-
dados pelo controlador e sua finalidade; midade com o disposto nesta Lei; V - portabilidade dos dados
a outro fornecedor de serviço ou produto, mediante requisi-
V. Responsabilidades dos agentes que realizarão ção expressa e observados os segredos comercial e industrial,
o tratamento; de acordo com a regulamentação do órgão controlador; VI
VI. Direitos do titular, com menção explícita ao - eliminação dos dados pessoais tratados com o consentimen-
to do titular, exceto nas hipóteses previstas no art. 16 desta
rol descrito no item abaixo.
Lei; VII - informação das entidades públicas e privadas com as
No caso de tratamento de dados mediante quais o controlador realizou uso compartilhado de dados; VIII
consentimento, tais informações deverão ser for- - informação sobre a possibilidade de não fornecer consenti-
necidas de forma “transparente, clara e inequívo- mento e sobre as consequências da negativa; IX - revogação
ca”, sob pena de ele ser considerado nulo. do consentimento, nos termos do § 5º do art. 8º desta Lei.”

94 Lei Federal nº 13.709/2018: “Art. 18 (...)§ 5º O requerimen-


Ademais, caso o controlador vincule o trata- to referido no § 3º deste artigo será atendido sem custos para
mento de dados ao fornecimento de produtos ou o titular, nos prazos e nos termos previstos em regulamento.
serviços, tais informações devem ser apresenta-
das ao titular em destaque no documento que re- 95 Lei Federal nº 13.709/2018: “Art. 18 (...)§ 1º O titular dos da-
gula os termos e condições de tal fornecimento. dos pessoais tem o direito de peticionar em relação aos seus
dados contra o controlador perante a autoridade nacional.”

3.5.2. Direitos de providências oponíveis em 96 Lei Federal nº 13.709/2018: “Art. 18. (...)§ 8º O direito a
face do controlador que se refere o § 1º deste artigo também poderá ser exercido
perante os organismos de defesa do consumidor.”
Além dos direitos garantidos pela Constituição
e demais normas abordadas no neste trabalho, a 97 Lei Federal nº 13.709/2018: Art. 18 (...)§ 6º O responsável
LGPD traz uma série de direitos do titular oponí- deverá informar de maneira imediata aos agentes de trata-
mento com os quais tenha realizado uso compartilhado de

29
O Sistema de Proteção de Dados no Brasil

VI. Eliminação de dados tratados sem consenti- Cada vez mais a inteligência de negócios vem
mento, exceto nos casos de dispensa do tér- automatizando processos de análise de dados,
mino do tratamento; por meio de tecnologias como Inteligência Artifi-
cal, Machine Learning e Deep Learning, que nem
VII. Informação de entidades públicas receptora sempre são regidos pela neutralidade e objeti-
de dados compartilhados pelo controlador; vidade que comumente se espera. Um exemplo
é o problema do “viés” que, de forma resumida,
VIII. Informações sobre a possibilidade de não
é a existência de uma premissa equivocada ou
consentir, e quais seriam as consequências; discriminatória, que leva o algoritmo a uma con-
IX. Revogação do consentimento; clusão de mesma natureza.
Na hipótese de condicionamento do tratamen- Em termos simples, uma inteligência artificial
to de dados ao fornecimento de produtos ou ser- voltada à predição de câncer alimentada com da-
dos de pacientes, poderia entender que a utiliza-
viços, esses direitos deverão ser informados so-
ção uma certa cor de camiseta, por estar presente
bre os meios de exercício dos direitos referidos em diversos pacientes, poderia ser compreendida
acima98. Já no caso de tratamento de dados de como um fator determinante para a doença, o que
crianças e adolescentes, tais direitos devem ser seria uma conclusão completamente equivocada.
publicamente disponibilizados99. Já um software voltado à avaliação de crédito po-
Por fim, destaca-se que a LGPD prevê até deria entender que, sendo o pleiteante morador
de uma região reconhecidamente humilde ou pos-
mesmo a tutela coletiva de direitos de titulares
suindo determinada cor de pele, poderia ser consi-
de dados pessoais, que poderá ser exercida em derado um mal pagador, o que evidentemente não
juízo100 e ressalta que os dados pessoais referen- corresponde com a realidade.
tes a exercício regular de direitos do próprio titu-
lar não podem ser utilizados contra ele101. Especialmente no segundo exemplo estaría-
mos diante de uma violação do princípio que
veda o tratamento discriminatório. Desta for-
3.5.3. Direito de revisão de tratamento ma, espera-se oportunizar ao titular o direito de
automatizado fundamentar a necessidade de uma revisão que
O titular de dados pessoais tem, ainda, o direito possa, eventualmente, resultar em outras conclu-
sões, e até mesmo fiscalizar uma possível exis-
de revisão de decisões tomadas unicamente com
tência de violação aos princípios da LGPD103.
base em tratamento automatizado, sempre que
tais decisões afetem seus interesses, especial- Naturalmente, a lei assegura que o atendimen-
mente nos casos de decisões que tratam de perfil to desta solicitação pelo controlador não preci-
profissional, pessoal, de consumo e de crédito102. sará implicar na revelação de segredos comer-
ciais ou industriais104, mas o não oferecimento de

dados a correção, a eliminação, a anonimização ou o blo-


queio dos dados, para que repitam idêntico procedimento.” destinadas a definir o seu perfil pessoal, profissional, de con-
sumo e de crédito ou os aspectos de sua personalidade. § 1º
98 Lei Federal nº 13.709/2018: “Art. 9º. § 3º (...) Quando o
O controlador deverá fornecer, sempre que solicitadas, infor-
tratamento de dados pessoais for condição para o forneci-
mações claras e adequadas a respeito dos critérios e dos pro-
mento de produto ou de serviço ou para o exercício de di-
cedimentos utilizados para a decisão automatizada, observa-
reito, o titular será informado com destaque sobre esse fato
dos os segredos comercial e industrial. § 2º Em caso de não
e sobre os meios pelos quais poderá exercer os direitos do
oferecimento de informações de que trata o § 1º deste artigo
titular elencados no art. 18 desta Lei.”
baseado na observância de segredo comercial e industrial, a
99 Vide item 3.4.7 autoridade nacional poderá realizar auditoria para verificação
de aspectos discriminatórios em tratamento automatizado
100 Lei Federal nº 13.709/2018: “Art. 22. A defesa dos inte- de dados pessoais.”
resses e dos direitos dos titulares de dados poderá ser exerci-
da em juízo, individual ou coletivamente, na forma do dispos- 103 FRAZÃO, Ana. “O direito à explicação e à oposição
to na legislação pertinente, acerca dos instrumentos de tutela diante de decisões totalmente automatizadas”. Disponí-
individual e coletiva.” vel em https://www.jota.info/opiniao-e-analise/colunas/
constituicao-empresa-e-mercado/o-direito-a-explicacao-e
101 Lei Federal nº 13.709/2018: “Art. 21. Os dados pessoais
-a-oposicao-diante-de-decisoes-totalmente-automatiza-
referentes ao exercício regular de direitos pelo titular não po-
das-05122018#_ftn1
dem ser utilizados em seu prejuízo.”
102 Lei Federal nº 13.709/2018: “Art. 20. O titular dos da- 104 Lei Federal nº 13.709/2018: “Art. 20. (...) § 1º O contro-
dos tem direito a solicitar a revisão de decisões tomadas uni- lador deverá fornecer, sempre que solicitadas, informações
camente com base em tratamento automatizado de dados claras e adequadas a respeito dos critérios e dos procedi-
pessoais que afetem seus interesses, incluídas as decisões mentos utilizados para a decisão automatizada, observados

30
O Sistema de Proteção de Dados no Brasil

resposta com base nesta justificativa poderá en-


sejar em uma auditoria pela Autoridade Nacional,
voltada à aferição de eventuais aspectos discri-
minatórios do tratamento realizado105.
“O titular de dados
3.6. Agentes de tratamento pessoais dispõe do direito
de receber uma série de
3.6.1. Obrigações e responsabilidades gerais
informações que dizem
do controlador e do operador respeito à finalidade do
O controlador de dados é a pessoa, física ou tratamento, sua forma
jurídica, que possui o poder decisório sobre o de operação, os agentes
tratamento de dados pessoais. Já o operador,
é a pessoa física ou jurídica que realiza ao tra- envolvidos e os direitos que
tamento de dados com base nas instruções do
controlador106.
poderá exercer contra o
controlador.”
Naturalmente, a mesma entidade poderá, em
dadas ocasiões, ser controladora e/ou operado-
ra de dados. Este é o exemplo de uma presta-
dora de serviços por meio do sistema “Softwa-
re as Service”, ou mesmo aquelas responsáveis
pelo armazenamento em nuvem: a empresa é controlador108, sempre que estas estiverem de
operadora de dados, ao realizar o tratamento acordo com a lei. Este último, por seu turno, de-
dos dados fornecidos pelo cliente/controlador. verá observar o cumprimento de suas instruções
Ao mesmo tempo, é controladora de dados com junto ao primeiro109. Por esta razão, é recomen-
relação ao banco de dados de seus próprios dável que as responsabilidades e atribuições de
funcionários, ou mesmo com relação ao cadastro cada uma das partes sejam definidas de forma
de contatos de seus clientes. clara em contrato, sempre que operador e con-
trolador forem pessoas diferentes.
Outra possibilidade é a mesma empresa ser a
controladora e operadora dos dados ao mesmo Finalmente, a Autoridade Nacional poderá
tempo. Esse cenário ocorre quando o tratamento solicitar de qualquer das partes um relatório de
impacto de proteção de dados pessoais de qual-
de dados é operado pela própria empresa que pos-
quer dos agentes de tratamento110.
sui relação jurídica direta com o titular dos dados
e possui controle sobre as decisões de tratamento.
3.6.2. Obrigações do controlador referentes
A LGPD estipula também que ambos os agen- a informações fornecidas aos titulares
tes deverão manter um registro de operações de
tratamento que realizarem107. O operador deverá Conforme já abordado, o titular de dados pes-
realizar o tratamento dentro das instruções do soais dispõe do direito de receber uma série de
informações que dizem respeito à finalidade do
tratamento, sua forma de operação, os agentes
os segredos comercial e industrial.

105 Lei Federal nº 13.709/2018: “Art. 20. (...)§ 2º Em caso de 108 Lei Federal nº 13.709/2018: “Art. 39. O operador deverá
não oferecimento de informações de que trata o § 1º deste realizar o tratamento segundo as instruções fornecidas pelo
artigo baseado na observância de segredo comercial e in- controlador, que verificará a observância das próprias instru-
dustrial, a autoridade nacional poderá realizar auditoria para ções e das normas sobre a matéria.
verificação de aspectos discriminatórios em tratamento au-
109 Idem.
tomatizado de dados pessoais.”
110 Lei Federal nº 13.709/2018: Art. 38. A autoridade nacio-
106 Vide item 3.1.
nal poderá determinar ao controlador que elabore relatório
107 Lei Federal nº 13.709/2018: “Art. 37. O controlador e de impacto à proteção de dados pessoais, inclusive de da-
o operador devem manter registro das operações de tra- dos sensíveis, referente a suas operações de tratamento de
tamento de dados pessoais que realizarem, especialmente dados, nos termos de regulamento, observados os segredos
quando baseado no legítimo interesse.” comercial e industrial.”

31
O Sistema de Proteção de Dados no Brasil

envolvidos os direitos que poderá exercer contra  Indicação de razões de fato ou de direito que
o controlador. Tais informações devem ser for- impedem a tomada de tais providências de
necidas a todos os titulares, independentemente forma imediata113.
da base utilizada para o tratamento111. Os prazos poderão ser estipulados pelo pró-
A alteração das informações referentes à (i) fi- prio controlador em regulamento próprio, sem-
pre que o atendimento imediato da solicitação
nalidade do tratamento, (ii) forma e duração do de providências não for possível114.
tratamento, (iii) identificação do controlador, ou
(iv) informações sobre o uso compartilhado dos Em caso de correção, eliminação, anonimiza-
dados deverá ser informada ao titular com des- ção ou bloqueio dos dados compartilhados com
taque e de forma específica. terceiros, o controlador deverá informar os de-
mais agentes de tratamento para que estes reali-
Uma vez informado, o titular que consentiu com zem o mesmo procedimento115.
o tratamento de dados deverá lhe ter possibilitada Para fins de atendimento célere da solicitação de
a revogação de seu consentimento. Conforme já confirmação de tratamento de dados pessoais, a
mencionado, trata-se de um modelo opt-out. LGPD dispõe que os dados devem ser armazenados
Adicionalmente, conforme também já mencio- de forma que seja facilitado o direito de acesso116.
nado no item “Direitos de informações oponíveis A resposta de confirmação deverá ser apre-
em face do controlador”, após a devida regula- sentada, à escolha do titular, em formato simpli-
mentação pela Autoridade Nacional, o controla-
dor de dados que realiza tratamento com base no
consentimento, deverá disponibilizar ao titular uma 113 Lei Federal nº 13.709/2018: Art. 18 (...)§ 4º Em caso de
cópia eletrônica dos dados objeto de tratamento. impossibilidade de adoção imediata da providência de que
trata o § 3º deste artigo, o controlador enviará ao titular res-
posta em que poderá: I - comunicar que não é agente de tra-
3.6.3. Obrigações do controlador referentes tamento dos dados e indicar, sempre que possível, o agente;
a direitos oponíveis pelos titulares ou II - indicar as razões de fato ou de direito que impedem a
Já com relação à solicitação de providências adoção imediata da providência. “
apresentada pelo titular em face do controlador112, 114 Lei Federal nº 13.709/2018: “Art. 18 (...)§ 5º O requeri-
a LGPD determina que este último deverá enviar mento referido no § 3º deste artigo será atendido sem custos
uma resposta ao primeiro com o solicitado. A Lei para o titular, nos p”razos e nos termos previstos em regu-
prevê tão somente dois casos de impossibilidade: lamento.”
 Caso o responsável pela recepção do pedido 115 Lei Federal nº 13.709/2018: “Art. 18 (...) § 6º   O respon-
não for o verdadeiro controlador, deverá in- sável deverá informar de maneira imediata aos agentes de
formar este fato ao titular e, se possível, indi- tratamento com os quais tenha realizado uso compartilhado
car a pessoa correta; de dados a correção, a eliminação, a anonimização ou o blo-
queio dos dados, para que repitam idêntico procedimento.”

116 Lei Federal nº 13.709/2018: “Art. 19 § 1º Os dados pessoais


111 Vide item 3.5.1
serão armazenados em formato que favoreça o exercício do
112 Vide item 3.5.2. direito de acesso.”

32
O Sistema de Proteção de Dados no Brasil

ficado imediatamente, ou em modelo completo  Prestar esclarecimentos e adotar providên-


dentro do prazo de até 15 dias. Observado o se- cias necessárias;
gredo comercial e industrial, a resposta completa
deve contemplar:  Orientar funcionários e demais envolvidos so-
bre boas práticas120.
 Origem dos dados;
Diferentemente da LGPD, o GDPR determina
 Inexistência de registro, se for o caso; que o operador também possua um DPO, e apre-
 Finalidade do tratamento; senta um detalhamento maior das funções deste
profissional. Nesta legislação, ele tem um papel
 Critérios utilizados para o tratamento117; muito próximo de um compliance officer, com
O controlador deverá fornecer a confirmação, funções como monitorar a observância da legis-
também a critério do titular, em formato eletrôni- lação, aferição e indicação dos riscos relaciona-
co ou mesmo impresso118. dos ao tratamento de dados conforme o negócio
do controlador e orientá-lo quando da elabora-
3.6.4. Encarregado de Tratamento de Dados ção do relatório de impactos de privacidade121.
Para tanto, o GDPR determina que os agen-
A LGPD estipula que “o controlador deverá in- tes deverão garantir acessos e recursos próprios
dicar um encarregado pelo tratamento de dados
pessoais”119, ao mesmo tempo que, ao conceituar para o desempenho de tais funções122. Nota-se
este encarregado como “Pessoa indicada pelo também que, na União Europeia, o DPO deverá
controlador e operador (...)”. Apesar de certa im- ser qualificado como um especialista em legisla-
precisão do texto da lei, o que poderá ser ajus- ção de proteção de dados e nas práticas neces-
tado em normativas da Autoridade Nacional de sárias para o cumprimento das funções descri-
Proteção de Dados, é recomendável que ambos
os agentes possuam um Encarregado. tas acima123. De qualquer forma, claramente seria
impossível exercer as funções descritas no texto
Esta figura trata da reprodução do Data Protec- legal sem o devido apoio operacional das aeras
tion Officer (“DPO”) havida na GDPR, que tem como
função precípua garantir o cumprimento da legisla- envolvidas no tratamento de dados pessoais.
ção no que se refere ao tratamento de dados e atuar Por fim, a LGPD deixa este maior detalha-
como um interlocutor entre o controlador e Titulares mento das funções do Encarregado/DPO para
e a Autoridade Nacional de Proteção de Dados.
a Autoridade Nacional de Proteção de Dados,
O Encarregado poderá ser uma pessoa física que poderá até mesmo dispensar esta obrigação
ou jurídica, inexistindo vedação na Lei à contra- com base no porte do controlador e no volume
tação de um prestador de serviços para esta fi-
nalidade. Ele deverá ter sua identidade e dados de operações de tratamento de dados124.
para contato identificados publicamente, e suas
atividade consistem principalmente em:
120 Lei Federal nº 13.709/2018: “Art. 41. § 2º As atividades do
 Receber reclamações e comunicações de titulares; encarregado consistem em: I - aceitar reclamações e comuni-
cações dos titulares, prestar esclarecimentos e adotar provi-
dências; II - receber comunicações da autoridade nacional e
117 Lei Federal nº 13.709/2018: “Art. 19. A confirmação de adotar providências; III - orientar os funcionários e os contra-
existência ou o acesso a dados pessoais serão providencia- tados da entidade a respeito das práticas a serem tomadas
dos, mediante requisição do titular: I - em formato simplifi- em relação à proteção de dados pessoais; e IV - executar as
cado, imediatamente; ou II - por meio de declaração clara e demais atribuições determinadas pelo controlador ou esta-
completa, que indique a origem dos dados, a inexistência de belecidas em normas complementares.
registro, os critérios utilizados e a finalidade do tratamento,
121 Regulation (EU) 2016/679 of the European parliament
observados os segredos comercial e industrial, fornecida no
and of the Council of 27 April 2016 on the protection of na-
prazo de até 15 (quinze) dias, contado da data do requeri-
tural persons with regard to the processing of personal data
mento do titular.”
and on the free movement of such data, and repealing Direc-
118 Lei Federal nº 13.709/2018: “Art. 19. § 3º Quando o tra- tive 95/46/EC (General Data Protection Regulation): Art. 39.
tamento tiver origem no consentimento do titular ou em
122 Idem. Art. 38
contrato, o titular poderá solicitar cópia eletrônica integral
de seus dados pessoais, observados os segredos comercial e 123 Idem. Art. 37
industrial, nos termos de regulamentação da autoridade na-
124 Lei Federal nº 13.709/2018: “Art. 41. §3º A autoridade na-
cional, em formato que permita a sua utilização subsequente,
cional poderá estabelecer normas complementares sobre a
inclusive em outras operações de tratamento.”
definição e as atribuições do encarregado, inclusive hipóte-
119 Lei Federal nº 13.709/2018: Art. 41, “caput”. ses de dispensa da necessidade de sua indicação, conforme

33
O Sistema de Proteção de Dados no Brasil

3.6.5. Reparação de danos a titulares de Destaca-se que a responsabilidade poderá ser


dados solidária, ou seja, qualquer das partes deverá res-
ponder pelas obrigações da outra.
Em função de suas atividades, o controlador e o
operador podem eventualmente incorrer em tra- Vale registrar que a LGPD estipula a possibi-
tamento de dados pessoais considerado irregular. lidade de inversão do ônus probatório em favor
Segundo a LGPD, este fato ocorre quando não for do titular do dado pessoal, nos casos de verossi-
possível fornecer a segurança que o titular espera, milhança das alegações, hipossuficiência ou ex-
consideradas as seguintes circunstâncias: cessiva onerosidade na produção da prova127.

 Modo de sua realização; Finalmente, a Lei estipula que os agentes de


tratamento somente não serão responsabiliza-
 Resultado e riscos razoavelmente esperáveis; dos quando:
 Técnicas de tratamento disponíveis quando  Não realizarem o tratamento de dados causa-
realizado o tratamento125. dor do dano;
Seja por inadequação, seja por não atendimen-  Não houverem violado qualquer disposição legal;
to dos princípios atinentes à proteção e dados
pessoais, ambos poderão ser responsabilizados  Culpa exclusiva do titular ou de terceiro.
pelos dados causados em decorrência de suas
atividades, observadas as seguintes característi- 3.6.6. Boas práticas
cas:
A LGPD estipula que tanto controladores
 Controlador: responderá sempre que estiver quanto operadores poderão, individualmente
envolvido no tratamento de dados que cau- ou por meio de associações, formular regras de
sou danos; boas práticas e governança, padrões técnicos,
 Operador: responderá junto com o controla- procedimentos, entre outros pontos de interesse
dor, sempre que descumprir o quanto dispos- no que compete a boas práticas de proteção de
to em lei, ou em caso de desrespeito às instru- dados próprias de cada setor128.
ções do controlador126. A Lei estipula os padrões mínimos de um pro-
jeto de governança em privacidade a ser propos-
to pelo controlador, quais sejam:
a natureza e o porte da entidade ou o volume de operações
de tratamento de dados.”
127 Lei Federal nº 13.709/2018: “Art. 42. (...)§ 2º O juiz, no
125 Lei Federal nº 13.709/2018: “Art. 44. O tratamento de
processo civil, poderá inverter o ônus da prova a favor do ti-
dados pessoais será irregular quando deixar de observar a
tular dos dados quando, a seu juízo, for verossímil a alegação,
legislação ou quando não fornecer a segurança que o titular
houver hipossuficiência para fins de produção de prova ou
dele pode esperar, consideradas as circunstâncias relevantes,
quando a produção de prova pelo titular resultar-lhe exces-
entre as quais: I - o modo pelo qual é realizado; II - o resultado
sivamente onerosa.”
e os riscos que razoavelmente dele se esperam; III - as técni-
cas de tratamento de dados pessoais disponíveis à época em 128 Lei Federal nº 13.709/2018: “Art. 50. Os controladores
que foi realizado. e operadores, no âmbito de suas competências, pelo trata-
126 Lei Federal nº 13.709/2018: “Art. 42. O controlador ou mento de dados pessoais, individualmente ou por meio de
o operador que, em razão do exercício de atividade de tra- associações, poderão formular regras de boas práticas e de
tamento de dados pessoais, causar a outrem dano patrimo- governança que estabeleçam as condições de organização, o
nial, moral, individual ou coletivo, em violação à legislação de regime de funcionamento, os procedimentos, incluindo recla-
proteção de dados pessoais, é obrigado a repará-lo. § 1º A mações e petições de titulares, as normas de segurança, os
fim de assegurar a efetiva indenização ao titular dos dados: padrões técnicos, as obrigações específicas para os diversos
I - o operador responde solidariamente pelos danos causados envolvidos no tratamento, as ações educativas, os mecanis-
pelo tratamento quando descumprir as obrigações da legis- mos internos de supervisão e de mitigação de riscos e outros
lação de proteção de dados ou quando não tiver seguido as
aspectos relacionados ao tratamento de dados pessoais. §
instruções lícitas do controlador, hipótese em que o operador
1º Ao estabelecer regras de boas práticas, o controlador e o
equipara-se ao controlador, salvo nos casos de exclusão pre-
vistos no art. 43 desta Lei; II - os controladores que estiverem operador levarão em consideração, em relação ao tratamen-
diretamente envolvidos no tratamento do qual decorreram to e aos dados, a natureza, o escopo, a finalidade e a probabi-
danos ao titular dos dados respondem solidariamente, salvo lidade e a gravidade dos riscos e dos benefícios decorrentes
nos casos de exclusão previstos no art. 43 desta Lei. de tratamento de dados do titular.

34
O Sistema de Proteção de Dados no Brasil

 Comprometimento do controlador em adotar 3.6.7. Incidente de proteção de dados


práticas e políticas internas; pessoais
 Aplicação em todo o conjunto de dados pes- Os agentes de tratamento de dados têm a
soais sob tratamento; obrigação de adotar medidas técnicas capazes
de proteger os dados pessoais de acessos não
 Adaptação à escala e volume de operações; autorizados, ou mesmo situações acidentais ou
 Transparência e participação dos titulares; ilícitas de perda, alteração comunicação, além de
demais formas de tratamento inadequado130.
 Integração com a estrutura geral de gover-
nança; Isso deve ser realizado desde a concepção do
produto ou serviço até sua execução131. Trata-se
 Planos de resposta a incidentes e remediação; do conceito de privacy by design132.

 Atualização constante129.
e aplique mecanismos de supervisão internos e externos; g)
conte com planos de resposta a incidentes e remediação; e
129 Lei Federal nº 13.709/2018: “Art. 50 § 2º Na aplicação
h) seja atualizado constantemente com base em informações
dos princípios indicados nos incisos VII e VIII do caput do
obtidas a partir de monitoramento contínuo e avaliações pe-
art. 6º desta Lei, o controlador, observados a estrutura, a es-
riódicas;
cala e o volume de suas operações, bem como a sensibilida-
de dos dados tratados e a probabilidade e a gravidade dos 130 Lei Federal nº 13.709/2018: “Art. 46. Os agentes de tra-
danos para os titulares dos dados, poderá: I - implementar tamento devem adotar medidas de segurança, técnicas e ad-
programa de governança em privacidade que, no mínimo: a) ministrativas aptas a proteger os dados pessoais de acessos
demonstre o comprometimento do controlador em adotar não autorizados e de situações acidentais ou ilícitas de des-
processos e políticas internas que assegurem o cumprimen- truição, perda, alteração, comunicação ou qualquer forma de
to, de forma abrangente, de normas e boas práticas relati- tratamento inadequado ou ilícito.”
vas à proteção de dados pessoais; b) seja aplicável a todo o
131 Lei Federal nº 13.709/2018: “Art. 46. § 2º As medidas
conjunto de dados pessoais que estejam sob seu controle,
de que trata o caput deste artigo deverão ser observadas
independentemente do modo como se realizou sua coleta;
desde a fase de concepção do produto ou do serviço até a
c) seja adaptado à estrutura, à escala e ao volume de suas
sua execução.
operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base 132 JIMENE, Camilla do Vale. “Reflexões sobre privacy by
em processo de avaliação sistemática de impactos e riscos design e privacy by defaut: da idealização a positivação”
à privacidade; e) tenha o objetivo de estabelecer relação de in MALDONADO, Viviane Nóbrega, BLUM, Renato Ópice
confiança com o titular, por meio de atuação transparente e (coord.). “Comentários ao GDPR: Regulamento Geral de Pro-
que assegure mecanismos de participação do titular; f) esteja teção de Dados da União Européia” – São Paulo: Thomson
integrado a sua estrutura geral de governança e estabeleça Reuters Brasil, 2018. Pág. 171.

35
O Sistema de Proteção de Dados no Brasil

É importante destacar que o agente A Autoridade Nacional, por seu turno, poderá
responsável pelo tratamento dos dados deve tomar certas medidas, como:
garantir a segurança da informação mesmo após
 Divulgação ampla do fato;
o término do tratamento. Verifica-se neste ponto
que, mesmo finalizado o tratamento do dado,  Adoção de medidas para mitigação;
caso este ainda se mantenha na base de dados do
agente, este será responsável por sua segurança.  Avaliação de comprovação de que as medi-
das técnicas adequadas foram tomadas.134
Em caso de incidente envolvendo dados pes-
soais que possa implicar em risco ou danos re- Diante da quantidade de obrigações existen-
levantes aos titulares, o controlador tem a obri- tes em caso de incidentes, é indispensável que
gação de comunicar os titulares envolvidos e a as instituições tenham procedimentos pré-esta-
Autoridade Nacional. A comunicação deverá ser belecidos de segurança da informação (como
realizada em prazo razoável, contendo: políticas de proteção de dados, criptografia, etc),
além de metodologias específicas para identifica-
 Descrição e natureza dos dados envolvidos; ção do incidente, avaliação dos riscos, e reportes
 Informações sobre os titulares envolvidos; com autoridades e titulares de dados pessoais.

 Indicação de medidas técnicas de segurança


aplicadas, ressalvado o segredo comercial e in- lares envolvidos; III - a indicação das medidas técnicas e de
dustrial; segurança utilizadas para a proteção dos dados, observados
os segredos comercial e industrial; IV - os riscos relacionados
 Quais são os riscos relacionados ao incidente;
ao incidente; V - os motivos da demora, no caso de a comu-
 Motivos da comunicação não imediata, se o caso; nicação não ter sido imediata; e VI - as medidas que foram
ou que serão adotadas para reverter ou mitigar os efeitos do
 Medidas futuras para reverter ou mitigar os
prejuízo.”
prejuízos133.
134 Lei Federal nº 13.709/2018: “Art. 48. (...)§ 2º A autori-
dade nacional verificará a gravidade do incidente e poderá,
133 Lei Federal nº 13.709/2018: “Art. 48. O controlador deve- caso necessário para a salvaguarda dos direitos dos titula-
rá comunicar à autoridade nacional e ao titular a ocorrência res, determinar ao controlador a adoção de providências, tais
de incidente de segurança que possa acarretar risco ou dano como: I - ampla divulgação do fato em meios de comunica-
relevante aos titulares. § 1º A comunicação será feita em pra- ção; e II - medidas para reverter ou mitigar os efeitos do inci-
zo razoável, conforme definido pela autoridade nacional, e dente. § 3º No juízo de gravidade do incidente, será avaliada
deverá mencionar, no mínimo: I - a descrição da natureza dos eventual comprovação de que foram adotadas medidas téc-
dados pessoais afetados; II - as informações sobre os titu- nicas adequadas que tornem os

36
O Sistema de Proteção de Dados no Brasil

3.7. Transferência internacional de Nota-se que a Autoridade Nacional é elemento


dados chave para que seja autorizada a transferência
internacional de dados, uma vez que é atribui-
ção desta a imposição de instrumentos de com-
A LGPD apresenta previsão de transferência provação e garantias de compatibilidade com a
internacional de dados em algumas hipóteses: LGPD, tanto mediante análise legislativa de ou-

 Para países com mesmo grau de proteção


que o apresentado pela LGPD tes casos: I - para países ou organismos internacionais que
proporcionem grau de proteção de dados pessoais adequa-
 Quando o controlador oferecer e comprovar do ao previsto nesta Lei; II - quando o controlador oferecer e
garantias de compliance com princípio e direi- comprovar garantias de cumprimento dos princípios, dos di-
tos do titular, por meio de mecanismos previs- reitos do titular e do regime de proteção de dados previstos
tos na Lei, a serem propostos pela Autoridade nesta Lei, na forma de: a) cláusulas contratuais específicas
Nacional; para determinada transferência; b) cláusulas-padrão contra-
tuais; c) normas corporativas globais; d) selos, certificados
 Cooperação jurídica internacional; e códigos de conduta regularmente emitidos; III - quando a
transferência for necessária para a cooperação jurídica inter-
 Autorização pela Autoridade Nacional; nacional entre órgãos públicos de inteligência, de investiga-
ção e de persecução, de acordo com os instrumentos de di-
 Acordo de cooperação internacional; reito internacional; IV - quando a transferência for necessária
para a proteção da vida ou da incolumidade física do titular
 Execução de política pública; ou de terceiro; V - quando a autoridade nacional autorizar a
transferência; VI - quando a transferência resultar em com-
 Consentimento expresso do titular; promisso assumido em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução
 Cumprimento de obrigação legal, execução
de política pública ou atribuição legal do serviço público, sen-
de contratos ou procedimentos preliminares
do dada publicidade nos termos do inciso I do caput do art.
ou exercício regular de direito em procedi- 23 desta Lei; VIII - quando o titular tiver fornecido o seu con-
mentos administrativos, judiciais ou arbitrais135 sentimento específico e em destaque para a transferência,
com informação prévia sobre o caráter internacional da ope-
ração, distinguindo claramente esta de outras finalidades; ou
135 Lei Federal nº 13.709/2018: “Art. 33. A transferência inter- IX - quando necessário para atender as hipóteses previstas
nacional de dados pessoais somente é permitida nos seguin- nos incisos II, V e VI do art. 7º desta Lei.”

37
O Sistema de Proteção de Dados no Brasil

tros países136, como na emissão de cláusulas con- Por fim, é vedada a transferência de bases de
tratuais padrão e selos137. dados pessoais pelo Poder Público a entidades
privadas, salvo nos casos de:
3.8. Tratamento de dados pelo  Necessidade de descentralização de atividade
poder público pública com fim específico;

 Indicação de Encarregado;
O tratamento de dados por entes de direito
 Previsão legal ou contratual, convênio ou con-
público deverá ser realizado tão somente de
gêneres;
acordo com o cumprimento de funções públicas,
devendo o agente:  Prevenção de fraudes ou segurança;
 Divulgar em veículos de fácil acesso a finalida-  Dados de acesso público140.
de, práticas de execução e previsão respectiva;

 Indicar um Encarregado138 3.9. Autoridade nacional de


As entidades de encomia mista e empresas
Proteção de Dados
públicas operarão sob o mesmo regime das em-
presas públicas de direito privado, salvo no caso
A Autoridade Nacional de Proteção de Dados
de execução de políticas públicas139.
(“ANPD”), inicialmente vetada do texto original
da LGPD foi reintroduzida pela Lei nº 13.853/2019.

136 Lei Federal nº 13.709/2018: “Art. 34. O nível de proteção A ANDP foi criada como um órgão da admi-
de dados do país estrangeiro ou do organismo internacional nistração pública federal, vinculada à Presidên-
mencionado no inciso I do caput do art. 33 desta Lei será ava- cia da República141, que poderá ser futuramente
liado pela autoridade nacional, que levará em consideração:”

137 Lei Federal nº 13.709/2018: “Art. 35. A definição do con-


teúdo de cláusulas-padrão contratuais, bem como a verifica- nalizando políticas públicas e no âmbito da execução delas,
ção de cláusulas contratuais específicas para uma determinada terão o mesmo tratamento dispensado aos órgãos e às enti-
transferência, normas corporativas globais ou selos, certifica- dades do Poder Público, nos termos deste Capítulo.
dos e códigos de conduta, a que se refere o inciso II do caput
140 Lei Federal nº 13.709/2018: “Art. 26. O uso compartilhado
do art. 33 desta Lei, será realizada pela autoridade nacional.”
de dados pessoais pelo Poder Público deve atender a finali-
138 Lei Federal nº 13.709/2018: “Art. 23. O tratamento de dades específicas de execução de políticas públicas e atribui-
dados pessoais pelas pessoas jurídicas de direito público re- ção legal pelos órgãos e pelas entidades públicas, respeita-
feridas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de dos os princípios de proteção de dados pessoais elencados
novembro de 2011 (Lei de Acesso à Informação), deverá ser no art. 6º desta Lei. § 1º É vedado ao Poder Público transferir
realizado para o atendimento de sua finalidade pública, na a entidades privadas dados pessoais constantes de bases de
persecução do interesse público, com o objetivo de executar dados a que tenha acesso, exceto: I - em casos de execução
as competências legais ou cumprir as atribuições legais do descentralizada de atividade pública que exija a transferên-
serviço público, desde que: I - sejam informadas as hipóteses cia, exclusivamente para esse fim específico e determinado,
em que, no exercício de suas competências, realizam o tra- observado o disposto na Lei nº 12.527, de 18 de novembro de
tamento de dados pessoais, fornecendo informações claras 2011 (Lei de Acesso à Informação); II - (VETADO); III - se for
e atualizadas sobre a previsão legal, a finalidade, os procedi- indicado um encarregado para as operações de tratamento
mentos e as práticas utilizadas para a execução dessas ati- de dados pessoais, nos termos do art. 39; IV - quando houver
vidades, em veículos de fácil acesso, preferencialmente em previsão legal ou a transferência for respaldada em contra-
seus sítios eletrônicos; II - (VETADO); e III - seja indicado um tos, convênios ou instrumentos congêneres; V - na hipótese
encarregado quando realizarem operações de tratamento de de a transferência dos dados objetivar a prevenção de frau-
dados pessoais, nos termos do art. 39 desta Lei. des e irregularidades, ou proteger e resguardar a segurança
e a integridade do titular dos dados; ou VI - nos casos em
139 Lei Federal nº 13.709/2018: “Art. 24. As empresas pú-
que os dados forem acessíveis publicamente, observadas as
blicas e as sociedades de economia mista que atuam em
disposições desta Lei.”
regime de concorrência, sujeitas ao disposto no art. 173 da
Constituição Federal, terão o mesmo tratamento dispensado 141 Lei Federal nº 13.709/2018: “Art. 55-A. Fica criada, sem
às pessoas jurídicas de direito privado particulares, nos ter- aumento de despesa, a Autoridade Nacional de Proteção de
mos desta Lei. Parágrafo único. As empresas públicas e as Dados - ANPD, órgão da administração pública federal, inte-
sociedades de economia mista, quando estiverem operacio- grante da Presidência da República.

38
O Sistema de Proteção de Dados no Brasil

transformada em uma agência, tal qual a ANS ou  Fiscalizar e aplicar sanções145;


ANAC142. Sua composição se dá mediante os se-  Editar normas referentes a transferência inter-
guintes órgãos: nacional de dados146
 Conselho Diretor;
3.9.1. Sanções aplicáveis
 Conselho Nacional de Proteção de Dados;
Em função do exercício de atividades de tra-
 Corregedoria; tamento de dados pessoais, os agentes de tra-
 Ouvidoria; tamento estão sujeitos à aplicação de sanções
administrativas, sem prejuízo de eventuais inde-
 Órgão de assessoramento jurídico próprio; e nizações já mencionadas no Item 3.6.5 e de ou-
tras previstas na legislação aplicável mencionada
 Unidades administrativas e unidas especiali-
no Item 1, acima.
zadas143.
As sanções serão aplicadas com exclusividade
Destaca-se que, dentre os membros do Conse- pela Autoridade Nacional147, sendo as seguintes:
lho Nacional de Proteção de Dados, constam enti-
dades da sociedade civil, científicas e até mesmo  Advertência, com estipulação de prazos para
do setor empresarial144, visando o engajamento de tomada de medidas corretivas;
toda a sociedade na participação de políticas pú-  Multa simples de até 2% do faturamento da
blicas e produção de normas infra legais voltadas pessoa jurídica de direito privado, grupo ou
ao tema da proteção de dados pessoais. conglomerado no Brasil em seu último exercí-
cio, excluídos os tributos, limitada ao total de
São as principais funções da ANPD: R$ 50.000.000,00 por infração;
 Zelar pela proteção de dados pessoais;  Multa diária, observado o limite descrito acima;
 Zelar pela observância de segredos industriais  Bloqueio dos dados pessoais aos quais se re-
e comerciais durante a aplicação da LGPD; fere à infração;
 Editar normas e procedimentos;  Eliminação dos dados pessoais aos quais se
refere a infração.148
 Articular-se com entidades reguladoras públicas;

145 Lei Federal nº 13.709/2018: “Art. 55-J. Compete à ANPD:


I - zelar pela proteção dos dados pessoais, nos termos da
142 Lei Federal nº 13.709/2018: “Art. 55-A. § 1º A natureza
legislação; II - zelar pela observância dos segredos comercial
jurídica da ANPD é transitória e poderá ser transformada pelo
e industrial, observada a proteção de dados pessoais e do
Poder Executivo em entidade da administração pública fede-
sigilo das informações quando protegido por lei ou quando
ral indireta, submetida a regime autárquico especial e vincu-
a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
lada à Presidência da República.”
III - elaborar diretrizes para a Política Nacional de Proteção
143 Lei Federal nº 13.709/2018: “Art. 55-C. ANPD é com- de Dados Pessoais e da Privacidade; (...) IV - fiscalizar e apli-
posta por: I - Conselho Diretor, órgão máximo de direção; car sanções em caso de tratamento de dados realizado em
II - Conselho Nacional de Proteção de Dados Pessoais e da descumprimento à legislação, mediante processo administra-
Privacidade; III - Corregedoria; IV - Ouvidoria; V - órgão de tivo que assegure o contraditório, a ampla defesa e o direito
assessoramento jurídico próprio; e VI - unidades administra- de recurso; XV - articular-se com as autoridades reguladoras
tivas e unidades especializadas necessárias à aplicação do públicas para exercer suas competências em setores especí-
disposto nesta Lei.” ficos de atividades econômicas e governamentais sujeitas à
regulação;
144 Lei Federal nº 13.709/2018: “Art. 58-A. O Conselho Na-
cional de Proteção de Dados Pessoais e da Privacidade será 146 Vide Item 3.7.
composto por vinte e três representantes, titulares suplentes,
147 Lei Federal nº 13.709/2018: “Art. 55-K. A aplicação das
dos seguintes órgãos: I - seis do Poder Executivo federal; II
sanções previstas nesta Lei compete exclusivamente à ANPD,
- um do Senado Federal; III - um da Câmara dos Deputados;
cujas demais competências prevalecerão, no que se refere à
IV - um do Conselho Nacional de Justiça; V - um do Conse-
proteção de dados pessoais, sobre as competências correla-
lho Nacional do Ministério Público; VI - um do Comitê Gestor
tas de outras entidades ou órgãos da administração pública.”
da Internet no Brasil; VII - quatro de entidades da sociedade
civil com atuação comprovada em proteção de dados pes- 148 Lei Federal nº 13.709/2018: “Art. 52. Os agentes de tra-
soais; VIII - quatro de instituições científicas, tecnológicas e tamento de dados, em razão das infrações cometidas às nor-
de inovação; e IX - quatro de entidades representativas do mas previstas nesta Lei, ficam sujeitos às seguintes sanções
setor empresarial relacionado à área de tratamento de dados administrativas aplicáveis pela autoridade nacional: I - ad-
pessoais.” vertência, com indicação de prazo para adoção de medidas

39
O Sistema de Proteção de Dados no Brasil

Uma vez aferida a necessidade de aplicação cos pertinentes ao setor de atuação de cada um
de sanção em processo administrativo próprio, a dos agentes de tratamento poderá vir a consti-
penalidade será aplicada de acordo com o caso tuir um fator mitigador das penas eventualmente
concreto, levando-se em consideração os se- aplicáveis.
guintes elementos:
 Gravidade e natureza da infração 3.10. Conclusões
 Boa-fé do infrator;
 Vantagem auferida pelo infrator; A proteção do direito constitucional à privaci-
dade evoluiu juntamente com a sociedade, dan-
 Condição econômica do infrator; do origem à ramificação autônoma da proteção
 Reincidência; de dados pessoais.
 Grau de dano; Tal derivação evoluiu paulatinamente na le-
 Cooperação do infrator; gislação e jurisprudência brasileiras, atingindo o
status de autodeterminação informativa. É neste
 Adoção de política de boas práticas e gover- contexto, nacional e internacional, que surge a
nança; Lei Geral de Proteção de Dados, cuja entrada em
 Adoção de medidas corretivas; vigor de direitos e obrigações relevantes a titu-
lares de dados e agentes de tratamento dar-se-á
 Proporcionalidade entre a gravidade da falta em 16 de agosto de 2020.
e intensidade da sanção.
Nos termos da LGPD, todos aqueles que rea-
Dessa forma, é possível verificar que a adoção
lizam o tratamento de dados pessoais com fins
de boas práticas de governança em proteção de
econômicos deverão passar a nortear o design
dados, e o acompanhamento de padrões técni-
de seus produtos e serviços, a execução de suas
atividades, processos internos e políticas já levan-
corretivas; II - multa simples, de até 2% (dois por cento) do do em consideração os aspectos afetos à privaci-
faturamento da pessoa jurídica de direito privado, grupo ou
dade e proteção dos titulares de dados pessoais.
conglomerado no Brasil no seu último exercício, excluídos os
Quaisquer empresas que realizem tratamento de
tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração; III - multa diária, observado
dados pessoais de clientes, parceiros e até mes-
o limite total a que se refere o inciso II; IV - publicização da mo empregados deverão estar em compliance
infração após devidamente apurada e confirmada a sua ocor- com a LGDP até o dia 16 de agosto de 2020.
rência;
V - bloqueio dos dados pessoais a que se refere a infração até Para tanto, controladores e operadores, tanto no
a sua regularização; VI - eliminação dos dados pessoais a que âmbito interno quanto em nível setorial, precisarão
se refere a infração.” realizar relevantes alterações em suas próprias

40
O Sistema de Proteção de Dados no Brasil

práticas, com especial atenção aos princípios da fi- 1984. Disponível em http://www.planalto.gov.br/
nalidade, adequação, livre acesso, transparência, e ccivil_03/leis/1980-1988/L7238.htm. Acesso em
responsabilização e prestação de contas. 22 de março de 2019.
Diante desses pontos, é possível concluir que Brasil, Lei Federal nº 8.078, de 11 de setembro de
estamos diante de um processo de transição, 1990. Disponível em http://www.planalto.gov.br/
vantajoso não somente aos titulares de dados ccivil_03/leis/L8078.htm . Acesso em 22 de mar-
pessoais, mas que também representa uma jane- ço de 2019.
la de oportunidade aos agentes de tratamento. Brasil, Lei Federal nº 9.507, de 12 de novembro
Estes passarão de uma cultura focada em coleta de 1997. Disponível em http://www.planalto.gov.
de dados sem qualquer finalidade imediata e de br/ccivil_03/LEIS/L9507.htm. Acesso em 22 de
baixa qualidade, para a chamada “data-driven”, março de 2019.
que se foca na coleta de dados de maior asser-
Brasil, Lei Federal nº 10.406, de 10 de janeiro de
tividade e qualidade, com uma relevante aproxi-
2002. Disponível em http://www.planalto.gov.
mação entre os negócios e seus stakeholders149.
br/ccivil_03/LEIS/2002/L10406.htm. Acesso em
22 de março de 2019.
Referências:
Brasil, Lei Federal nº 12.414, de 9 de junho de
Brasil, Constituição Federal do Brasil. Disponível 2011. Disponível em http://www.planalto.gov.br/
em http://www.planalto.gov.br/ccivil_03/Cons- ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm.
tituicao/Constituicao.htm - acesso em 22 de Acesso em 22 de março de 2019.
março de 2019.
Brasil, Lei Federal nº 12.527/2011, de 18 de novem-
Brasil, Decreto Federal nº 8.771, de 11 de maio de bro de 2011. Disponível em http://www.planalto.
2016. Disponível em http://www.planalto.gov. gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.
br/CCIVIL_03/_Ato2015-2018/2016/Decreto/ htm. Acesso em 22 de março de 2019.
D8771.htm. Acesso em 22 de março de 2019.
Brasil, Lei Federal nº 13.709, de 14 de agosto de
Brasil, Lei Federal nº 7.323, de 29 de outubro de 2018. Disponível em http://www.planalto.gov.br/
ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
149 KARNIK, Almitra. “The Rise of the Data-Drive Marketer: Acesso em 22 de março de 2019.
Whay It’s Beneficial and How to Hider One”. Disponível em
https://www.forbes.com/sites/forbescommunicationscoun-
Brasil, Lei Federal nº 12.965, de 23 de abriul de
cil/2018/03/05/the-rise-of-the-data-driven-marketer-why-i- 2014. Disponível em http://www.planalto.gov.
ts-beneficial-and-how-to-hire-one/#7a6e4459490d – acesso br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm.
em 22 de março de 2018 Acesso em 22 de março de 2019.

41
O Sistema de Proteção de Dados no Brasil

União Europeia. Regulation (EU) 2016/679 of GUTIERREZ, Andrei. “Transferência internacio-


the European parliament and of the Council of nal de dados & estratégias de desenvolvimen-
27 April 2016 on the protection of natural per- to nacional” in MALDONADO, Viviane Nóbrega,
sons with regard to the processing of personal BLUM, Renato Ópice (coord.). “Comentários ao
data and on the free movement of such data, GDPR: Regulamento Geral de Proteção de Dados
and repealing Directive 95/46/EC (General Data da União Européia” – São Paulo: Thomson Reu-
Protection Regulation). Disponível em https:// ters Brasil, 2018.
eur-lex.europa.eu/legal-content/EN/TXT/PD- KARNIK, Almitra. “The Rise of the Data-Dri-
F/?uri=CELEX:32016R0679&from=EN – acesso ve Marketer: Whay It’s Beneficial and How
em 25 de abril de 2019. to Hider One”. Disponível em https://www.
forbes.com/sites/forbescommunications-
Federal Trade Comssion. “Online Profiling: A Re-
council/2018/03/05/the-rise-of-the-data-dri-
port To Congress, 2000”. Disponível em https:// ven-marketer-why-its-beneficial-and-how-to
www.ftc.gov/system/files/documents/reports/ -hire-one/#7a6e4459490d – acesso em 22 de
online-profiling-federal-trade-commission-re- março de 2018
port-congress-june-2000/onlineprofilingreport-
june2000.pdf - acesso em 21 de março de 2019. MENDES, Laura Schertel Ferreira: Privacidade,
Proteção de Dados e Defesa do Consumidor –
FRAZÃO, Ana. “A Nova LGPD: tratamento de da- Linhas Gerais de Um novo Direito Fundamental.
dos de crianças de adolescentes”. Disponível em São Paulo: Saraiva, 2014 – Série IDP: linha pesqui-
https://www.jota.info/opiniao-e-analise/colunas/ sa acadêmica.
constituicao-empresa-e-mercado/nova-lgpd-tra-
MENKE, Fabiano. “A proteção dedados e o novo
tamento-dos-dados-de-criancas-e-adolescen-
direito fundamental À garantia da confidenciali-
tes-03102018 - acesso em 21 de março de 2019.
dade e da integridade dos sistemas técnico-in-
FRAZÃO, Ana. “O direito à explicação e à opo- formacionais no direito alemão” in MENDES, Gil-
sição diante de decisões totalmente automati- mar Ferreira; SARLET, Ingo Wolfgang; COELHO,
zadas”. Disponível em https://www.jota.info/ Alexandre Zavaglia (coord.). Direito, Inovação e
Tecnologia - Volume 1. São Paulo: Saraiva, 2017.
opiniao-e-analise/colunas/constituicao-empre-
sa-e-mercado/o-direito-a-explicacao-e-a-opo- PINHEIRO, Patrícia Peck. Proteção de dados pes-
sicao-diante-de-decisoes-totalmente-automati- soais: comentários à Lei n. 13.709/2018 (LGPD) /
zadas-05122018#_ftn1- acesso em 21 de março Patrícia Peck Pinheiro. – São Paulo: Saraiva Edu-
de 2019. cação, 2018.

42
O Sistema de Proteção de Dados no Brasil

REINSEL, David. GANTZ, John. RYDNING, John.


IDC White Paper: “Data Age 2025 – The Digityali-
zation of the World. November 2018”. Disponível
em: https://www.seagate.com/files/www-con-
tent/our-story/trends/files/idc-seagate-dataage
-whitepaper.pdf - acesso em 19/07/2019
Sobre o autor
SAUAIA, Hugo Moreira Lima. A proteção dos da-
dos pessoais no Brasil – Rio de Janeiro: Lumen Lucas Macedo de Magalhães é
advogado formado pela Faculdade de
Juris, 2019. Não paginado.
Direito de São Bernardo do Campo,
VAINZOF, Rony. “Dados pessoais, tratamento e pós-graduando em Direito Empresarial
princípios” in MALDONADO, Viviane Nóbrega, pelo Insper – Instituto de Ensino e
BLUM, Renato Ópice (coord.). “Comentários ao Pesquisa, formado em Novo Código
de Processo Civil pela Escola Paulista
GDPR: Regulamento Geral de Proteção de Dados
de Direito, em Direito dos Negócios da
da União Europeia” – São Paulo: Thomson Reu-
Internet pela Fundação Getúlio Vargas,
ters Brasil, 2018. e em Proteção de Dados e Privacidade
pelo Insper – Instituto de Ensino e
Superior Tribunal de Justiça – Recurso Espe-
Pesquisa. Atua em Direito Empresarial,
cial: 1630889 DF 2016/0263665-1, Relator: Mi-
com ênfase em temas de tecnologia,
nistra NANCY ANDRIGHI, Data de Julgamento: inovação, Proteção de Dados e mercado
11/09/2018, T3 - TERCEIRA TURMA, Data de Pu- de Venture Capital. É membro do Grupo
blicação: DJe 21/09/2018. de Estudos de Proteção de Dados e
Privacidade da Associação Nacional
de Hospitais Privados (“ANAHP”) e
do Grupo de Trabalho de Proteção de
Dados e Privacidade da Associação
Brasileira de Medicina Diagnóstica
(“ABRAMED”).

43
LGPD e o Tratamento de Dados na Saúde

1. Introdução

O
crescimento do uso da internet, das gran-
des redes e dos sistemas de informação
tem mudado a forma como as mais diver-
sas atividades humanas são realizadas. Um dos
grandes fatores que justificam essa revolução é o
crescimento exponencial no tratamento e com-
partilhamento de dados.
O intercâmbio de dados é realizado para as mais
diversas finalidades, como no caso de empresas
privadas que adquirem grande quantidade
de banco de dados pessoais para estudar a
assertividade no lançamento de um novo produto
ou serviço, com base no perfil dos indivíduos que
a empresa tem interesse em prospectar.
Na área da saúde não é diferente, especial-
mente nas grandes estruturas, com coleta de
dados em proporções elevadas, que viabilizam
a comparação de dados de saúde de indivíduos
nas mais diversas localidades e revisões do trata-
mento assistencial proposto.
Pode-se dizer que a coleta de dados na saúde
e sua comparabilidade fomentará uma revisão
constante de protocolos clínicos e dos tratamen-
tos propostos, conforme a faixa etária, o sexo, a
idade e demais características que se considere
relevante.
A congregação de resultados de exames de
imagens, por exemplo, tem permitido diagnósti-
cos mais corretos do que aqueles realizados por
profissionais médicos experientes, incapazes de
processar milhares de resultados de exames em
um mesmo momento.
Se a captação e tratamento de dados em ou- Como será demonstrado neste artigo, a Ad-
tros setores proporciona melhoria dos resultados ministração Pública é, sem sombra de dúvidas,
e eficiência, no setor da saúde não é diferente, a maior detentora de dados sensíveis dos usuá-
mas há sempre a sensibilidade do enfoque pois rios dos serviços, seja no âmbito do SUS, seja na
a atuação é sempre orientada pelo direito à vida. Saúde Suplementar. Esse, certamente, é o pon-
Paralelamente, temos o direito à privacidade do to mais crítico para os integrantes da cadeia da
paciente, da escolha e participação no melhor saúde, pois em caso de vazamento poderão ser
tratamento. chamados a dar explicações, mesmo que este
Esses aspectos fazem com que o setor da saú- decorra de falha do próprio Poder Público.
de seja revestido de peculiaridades no que se
Neste trabalho, apresentamos as hipóteses em
refere à coleta e tratamento de dados. Poderão,
os agentes do Sistema Único de Saúde (“SUS”), que os dados pessoais dos titulares poderão ser
coletar esses dados, anomizá-los e utilizá-los tratados, trazemos uma pequena amostra das nor-
na adequação da política pública de saúde? O mas em vigor e que serão afetadas pela Lei Geral
Conjunto Mínimo de Dados, instituído em 2016 de Proteção de Dados (“LGPD”), além dos desafios
pela Comissão Intergestores Tripartite, poderá enfrentados pelos agentes da cadeia da saúde na
continuar sendo aplicado da mesma forma? As implementação das obrigações dispostas.
Operadoras de Planos Privados de Assistência à
Saúde (“OPS”), prestadores de serviços e ANS Desta maneira, este artigo é o ponto de parti-
poderão continuar trocando dados? da de discussões acerca do tema, tendo em vis-

46
LGPD e o Tratamento de Dados na Saúde

de saúde vigentes no país: o SUS, a Saúde Suple-


mentar e a Saúde Privada.

A seguir, analisamos as principais normativas


vigentes com relação ao tema no âmbito do Mi-
nistério da Saúde (“MS”), da Agência Nacional de
Saúde Suplementar (“ANS”) e do Conselho Fe-
deral de Medicina (“CFM”).

2.1. Ministério da Saúde (“MS”)

2.1.1. Operacionalização e Implementação


dos Padrões de Informação no âmbito do
SUS
De acordo com a Lei Federal nº 8.080/19901, o
SUS é o conjunto de ações e serviços de saúde,
prestados por órgãos e instituições públicas fe-
derais, estaduais e municipais, da Administração
direta e indireta.

A Lei preceitua que a assistência à saúde é livre à


iniciativa privada, que poderá participar do SUS em
caráter complementar, mediante contrato ou con-
vênio, observadas as normas de direito público2.

Desta maneira, para padronizar a troca de in-


formações tanto pela Administração Pública,
quanto pelas entidades privadas, de modo a as-
segurar o acesso universal e igualitário às ações
e aos serviços de saúde, o Ministério da Saúde

1 Lei nº 8.080, de 19 ade setembro de 1990.


Art. 4º O conjunto de ações e serviços de saúde, prestados
ta o grande desconhecimento da legislação em por órgãos e instituições públicas federais, estaduais e mu-
causa e as divergências interpretativas quanto às nicipais, da Administração direta e indireta e das fundações
mantidas pelo Poder Público, constitui o Sistema Único de
muitas questões e dispositivos.
Saúde (SUS).
§ 1º Estão incluídas no disposto neste artigo as instituições

2. Normativas existentes públicas federais, estaduais e municipais de controle de qua-


lidade, pesquisa e produção de insumos, medicamentos, in-
acerca da proteção e clusive de sangue e hemoderivados, e de equipamentos para

compartilhamento de dados saúde.


§ 2º A iniciativa privada poderá participar do Sistema Único
pessoais de Saúde (SUS), em caráter complementar.

2 Lei nº 8.080, de 19 ade setembro de 1990.


O compartilhamento de dados em saúde é es- Art. 21. A assistência à saúde é livre à iniciativa privada.
sencial para reduzir os custos assistenciais, seja (...)
ao disponibilizar dados mínimos do paciente aos Art. 24. Quando as suas disponibilidades forem insuficientes
que integram a cadeia de assistência à saúde, para garantir a cobertura assistencial à população de uma
determinada área, o Sistema Único de Saúde (SUS) poderá
seja para viabilizar um tratamento mais assertivo.
recorrer aos serviços ofertados pela iniciativa privada.
Diante desse cenário, ao longo dos anos foram
Parágrafo único. A participação complementar dos serviços
editadas normas e instituídos critérios técnicos privados será formalizada mediante contrato ou convênio,
para o compartilhamento de dados nos sistemas observadas, a respeito, as normas de direito público.

47
LGPD e o Tratamento de Dados na Saúde

instituiu regras para os Sistemas de Informação, ca do SUS (“DATASUS”) será o responsável pela
sendo que grande parte de suas disposições po- publicação de possível alteração no padrão de
dem ser encontradas na Portaria de Consolida- segurança acima indicado.
ção nº 01, de 28 de setembro de 2017 (“Portaria”).

Na referida Portaria, há um capítulo específico 2.1.2. Sistemas de Informação da Atenção à


regulamentando o uso de padrões, informações Saúde
em saúde e de interoperabilidade entre os siste-
A Portaria estabelece que o sistema de infor-
mas de informação do SUS, nos níveis municipal,
mação que permitirá a identificação dos usuários
distrital, estadual e federal, abarcando também
das ações e serviços em todo o território nacio-
os sistemas privados e de saúde suplementar3. O
nal será realizado por meio do Sistema Cartão
objetivo é permitir o compartilhamento de infor-
Nacional de Saúde (“Sistema Cartão”)5.
mações em saúde e a cooperação de todos os
profissionais, estabelecimentos de saúde e de- Podem ser elencados diversos benefícios acer-
mais envolvidos na atenção à saúde prestada ao ca da unificação da vinculação de um usuário do
usuário do SUS. SUS ao Sistema Cartão, dentre os quais pode-
mos destacar: (i) a apuração do perfil epidemio-
Dentre os principais itens na instituição de sis-
lógico dos usuários de acordo com o seu domicí-
temas de informação, destacam-se: (i) a criação
lio residencial, (ii) a possibilidade de o usuário ter
e padronização de codificação de dados, de for-
acesso aos seus dados de forma unificada e, (iii)
ma a tornar célere o acesso a informações rele-
a garantia de que os dados pessoais dos usuários
vantes e fidedignas ao usuário dos serviços de
sejam tratados de forma a respeitar os princípios
saúde; (ii) a estruturação de informações refe-
constitucionais da intimidade, da integralidade
rentes aos atendimentos prestados aos usuários
das informações e da confidencialidade.
do SUS, visando à implementação de um Regis-
tro Eletrônico de Saúde (“RES”) e, (iii) a definição A soma dessa vasta base de informações e da-
do conjunto de mensagens e serviços a serem dos dos usuários do SUS compõem a Base Na-
utilizados na comunicação entre os sistemas de cional de Dados dos Usuários das Ações de Ser-
informação em saúde. viços de Saúde (“Base de Dados”). Esses dados
poderão ser compartilhados entre os entes fede-
A interoperabilidade entre os sistemas é via-
rativos e demais órgãos que executem políticas
bilizada mediante a tecnologia Web Service, no
públicas, desde que as normas de segurança da
padrão Simple Object Access Protocol (“SOAP”)
informação sejam respeitadas.
1.1 ou superior. Não obstante, para garantir a se-
gurança e a integridade no compartilhamento O DATASUS é o responsável por administrar
dos dados, será adotado o padrão Web Servi- a Base de Dados e disponibilizar os mecanismos
ce-Security para criptografia e assinatura digital automatizados de interoperabilidade do Sistema
das informações4. O Departamento de Informáti- Cartão, ou seja, está encarregado de proporcio-
nar um sistema que possibilite a transferência de
3 Portaria de Consolidação nº 1, de 28 de setembro de 2017 informações para outros sistemas utilizados pelo
Art. 230. Este Capítulo regulamenta o uso de padrões de in- poder público, privado contratado e de saúde
formação em saúde e de interoperabilidade entre os sistemas suplementar.
de informação do SUS, nos níveis municipal, distrital, estadual
e federal, e para os sistemas privados e de saúde suplemen- Por sua vez, os níveis de segurança e as regras
tar. (Origem: PRT MS/GM 2073/2011, Art. 1º) técnicas para o compartilhamento dos dados é
Parágrafo Único. Os padrões de interoperabilidade e de infor-
mação em saúde são o conjunto mínimo de premissas, políti-
5 Portaria de Consolidação nº 1, de 28 de setembro de 2017
cas e especificações técnicas que disciplinam o intercâmbio
Art. 255. Esta Seção regulamenta o Sistema Cartão Nacio-
de informações entre os sistemas de saúde municipais, dis-
nal de Saúde (Sistema Cartão), no âmbito das ações e ser-
trital, estaduais e federal, estabelecendo condições de inte-
viços de saúde no território nacional. (Origem: PRT MS/GM
ração com os entes federativos e a sociedade. (Origem: PRT
940/2011, Art. 1º)
MS/GM 2073/2011, Art. 1º, Parágrafo Único)
Art. 256. O Sistema Cartão é um sistema de informação de
4 Portaria de Consolidação nº 1, de 28 de setembro de 2017 base nacional que permite a identificação unívoca dos usuá-
ANEXO II - CATÁLOGO DE SERVIÇOS E CATÁLOGO DE PA- rios das ações e serviços de saúde, com atribuição de um
DRÕES DE INFORMAÇÃO (Origem: PRT MS/GM 2073/2011, número único válido em todo o território nacional. (Origem:
Anexo 1) PRT MS/GM 940/2011, Art. 2º)

48
LGPD e o Tratamento de Dados na Saúde

definido pela Comissão Intergestores Tripartite A Portaria de Consolidação nº 01/2017, previu


(“CIT”), que é o foro de negociação e pactuação uma série de critérios e requisitos que deverão ser
entre gestores quanto os aspectos operacionais, cumpridos por todos os envolvidos na cadeia. A
financeiros e administrativos do SUS, de acordo título exemplificativo, citamos o nível de seguran-
com a redação da Lei Federal nº 8.080/906. ça mínimo que deverá ser observado para possi-
bilitar a transmissão de dados de saúde, o órgão
Tendo em vista o caráter sensível dados cons- responsável pelo armazenamento e a necessida-
tantes na Base de Dados, os dados pessoais cap- de de individualização da responsabilização do
tados através do Sistema Cartão somente podem agente público ou privado que teve acesso aos
ser compartilhados se observados os critérios de dados, no caso de uma possível infração.
segurança devidamente definidos.
Portanto, em que pese as normas e princípios
Os gestores do SUS, os prestadores de servi- do SUS terem sido editados anteriormente a
ços contratados, conveniados e as pessoas jurí- LGPD, é imperioso afirmar que tais normativas
dicas de direito privado que operam planos de deverão se coadunar com a LGPD, especialmen-
assistência à saúde, serão responsabilizados pela te no que se refere ao processamento das infor-
guarda, segurança e confidencialidade dos da- mações, pois, de um modo geral, já há garantia à
dos gerados e tratados7. privacidade dos dados dos usuários.
Para garantir a responsabilização por possíveis
vazamentos de dados, bem como identificar o 2.2. Agência Nacional de Saúde
profissional que disponibiliza incorretamente as Suplementar (“ANS”)
informações que lhe foram transmitidas, a Por-
taria vincula o acesso aos dados individualizados
dos usuários do SUS à identificação obrigatória A ANS, instituída pela Lei nº 9.961/2000, é a
do profissional, trabalhador ou agente, inclusive agência reguladora responsável pela regulação da
com indicação de horário, data e local de acesso8. saúde suplementar. Essa autarquia especial nor-
matiza, controla e fiscaliza as atividades das Ope-
radoras de Planos Privados de Assistência à Saú-
6 Lei nº 8.080, de 19 ade setembro de 1990. de e tem campo de atuação mais restrito quando
Art. 14-A. As Comissões Intergestores Bipartite e Tripartite
se trata de prestadores de serviços de saúde.
são reconhecidas como foros de negociação e pactuação en-
tre gestores, quanto aos aspectos operacionais do Sistema É de competência da ANS, o estabelecimento
Único de Saúde (SUS). Parágrafo único. A atuação das Co-
de critérios, responsabilidades, obrigações e nor-
missões Intergestores Bipartite e Tripartite terá por objetivo:
mas de procedimento para a garantia dos direi-
I - decidir sobre os aspectos operacionais, financeiros e admi-
nistrativos da gestão compartilhada do SUS, em conformida-
tos dos beneficiários.
de com a definição da política consubstanciada em planos de
No tocante ao armazenamento de dados e ao
saúde, aprovados pelos conselhos de saúde;
compartilhamento de informações, são atribui-
II - definir diretrizes, de âmbito nacional, regional e intermu-
nicipal, a respeito da organização das redes de ações e ser-
ções da ANS:
viços de saúde, principalmente no tocante à sua governança
 proceder à integração de informações com os
institucional e à integração das ações e serviços dos entes
federados;
bancos de dados do SUS;
III - fixar diretrizes sobre as regiões de saúde, distrito sanitá-
 requisitar o fornecimento de informações às
rio, integração de territórios, referência e contrarreferência e
operadoras de planos privados de assistên-
demais aspectos vinculados à integração das ações e servi-
ços de saúde entre os entes federados.
cia à saúde, bem como da rede prestadora de
serviços a elas credenciadas.
7 Portaria de Consolidação nº 1, de 28 de setembro de
2017Art. 283, da Portaria de Consolidação SUS nº 01/2017 Assim como no SUS, o compartilhamento de
8 Portaria de Consolidação nº 1, de 28 de setembro de 2017 informações é indispensável para que os serviços
Art. 287. O acesso aos dados individualizados dos usuários
do SUS deverá ser controlado mediante o atendimento de to-
dos os seguintes requisitos: (Origem: PRT MS/GM 940/2011, 940/2011, Art. 34, I)
Art. 34) II - local, data e horário do acesso realizado, ou de sua tentati-
I - identificação obrigatória do profissional, trabalhador ou va, mesmo que sem sucesso. (Origem: PRT MS/GM 940/2011,
agente de saúde que o acessar; e (Origem: PRT MS/GM Art. 34, II)

49
LGPD e o Tratamento de Dados na Saúde

 subsidiar as ações da ANS de avaliação e


acompanhamento econômico, financeiro e
assistencial das OPS;

 compor o registro eletrônico dos dados de


atenção à saúde entre as OPS, prestadores de
serviço de saúde, o beneficiário de plano pri-
vado de assistência à saúde e a própria ANS.

A troca de informações na Saúde Suplemen-


tar é realizada de forma eletrônica. Assim, a ANS
preceitua que um dos componentes do TISS é a
segurança e a privacidade de modo a estabele-
cer os requisitos de proteção dos dados de aten-
ção à saúde.

Para que haja padronização nessa transmis-


são de dados e, em especial, na terminologia que
será utilizada pelos controladores, a ANS precei-
tua que o conjunto de termos para identificar os
itens assistenciais na saúde suplementar serão
consolidados na Terminologia Unificada da Saú-
de Suplementar (“TUSS”).

Pelo exposto, verificamos que antes mesmo


da edição da LGPD o setor da saúde suplemen-
tar já era pautado pelos princípios constitucio-
nais de privacidade e intimidade, inclusive tra-
tando de níveis de segurança da informação e
a regulamentação de ferramentas de tecnologia
ofertados pelas Operadoras de Planos Privados da informação.
de Assistência à Saúde possam ser prestados a
seus beneficiários. Obviamente o setor será fortemente impacta-
do com as obrigações dispostas na LGPD, prin-
Nesse sentido, para facilitar a operacionaliza- cipalmente no tocante ao direito de o usuário do
ção desta intensa troca de informações entre sistema ter informações sobre o uso de seus da-
Operadoras e os prestadores de assistência à
dos. Em que pese tal circunstância, com relação
saúde de maneira ampla, a ANS, por meio da Re-
solução Normativa nº 305/2012 (“RN 305/2012”) ao nível de segurança e a padronização de infor-
estabeleceu parâmetros para a Troca de Infor- mações o setor, com certeza, já há diretrizes e
mações na Saúde Suplementar (“TISS”). sistemas definidos e amplamente difundidos.

O TISS é o padrão obrigatório para as trocas


eletrônicas de dados de atenção à saúde dos be- 2.3. Conselho Federal de Medicina
neficiários de planos, entre os agentes da Saúde (“CFM”)
Suplementar.
Dentre as finalidades do TISS9, destacamos: O CFM é um órgão com atribuições de fisca-
 a padronização das ações administrativas de lização e normatização da prática médica, es-
verificação, solicitação, autorização, cobrança pecialmente no que se refere à ética profissio-
demonstrativos de pagamento e recursos de nal10. Mais recentemente, com e edição da Lei nº
glosa;

10 Lei nº 3.268, de 30 de setembro de 1957, art . 5º São atri-


buições do Conselho Federal:
9 Artigo 3º da Resolução Normativa nº 305, de 09 de outu- (...)
bro de 2012. d) votar e alterar o Código de Deontologia Médica, ouvidos
os Conselhos Regionais;

50
LGPD e o Tratamento de Dados na Saúde

12.842/2013, mais conhecida como “Lei do Ato matizar o prontuário eletrônico do paciente, em
Médico”, também foi conferida ao CFM a compe- especial os níveis de segurança que deveriam ser
tência para “para definir o caráter experimental observados para o armazenamento e a transmis-
de procedimentos em Medicina, autorizando ou são de informações, de modo a preservar a pri-
vedando a sua prática pelos médicos”. vacidade do paciente e o sigilo profissional.

A despeito da evidente limitação da atuação A Resolução CFM nº 1.821/2007 autorizou que


normativa do CFM, muitas normas da autarquia os prontuários fossem digitalizados, eliminando
tratam de questões operacionais, inclusive o Ní- a obrigatoriedade do registro em papel, desde
vel de Segurança a ser ofertado no ambiente de que o armazenamento dos documentos obede-
prontuários eletrônicos. cesse a requisitos específicos e fosse constan-
temente avaliado pela Comissão de Revisão de
De fato, a garantia do sigilo das informações Prontuários.
do paciente é uma orientação de natureza ética e
está, obviamente, dentro das atribuições confe- Esses arquivos digitais oriundos da digitaliza-
ridas pelo legislador ao CFM. Contudo, ao esmiu- ção dos documentos do prontuário dos pacientes
çar detalhes técnicos, entendemos que há uma devem ser controlados por sistema especializa-
extrapolação das atribuições conferidas pelo le- do de gerenciamento eletrônico de documentos,
gislador ordinário. que tenha, minimamente, as seguintes caracte-
rísticas12:
Por muitos anos, outros órgãos da Adminis-
tração Pública não editaram normas sobre esses
aspectos, de modo que as resoluções expedidas 12 da Resolução CFM nº 1.821/2007: Art. 2ºAutorizar a
pelo CFM acabaram, ao menos em um primeiro digitalização dos prontuários dos pacientes, desde
momento, servindo de base para a orientação ao que o modo de armazenamento dos documentos di-
sigilo das informações. gitalizados obedeça a norma específica de digitalização
contida nos parágrafos abaixoe, após análise obrigató-
É o que ocorre, por exemplo, com a Resolução ria da Comissão de Revisão de Prontuários, as normas
CFM nº 1.821/200711. Na época da publicação da da Comissão Permanente de Avaliação de Documentos
da unidade médico-hospitalar geradora do arquivo. § 1ºOs
referida Resolução, a intenção do CFM era nor-
métodos de digitalização devem reproduzir todasas infor-
mações dos documentos originais. § 2ºOs arquivos digitais
oriundos da digitalização dos documentos do prontuário
11 Resolução CFM nº 1.821/2007 – Publicada no Diário Oficial dos pacientes deverão ser controlados por sistema es-
da União em 23 de novembro de 2007. pecializado (Gerenciamento eletrônico de documentos

51
LGPD e o Tratamento de Dados na Saúde

 Capacidade de utilizar base de dados adequa-


da para o armazenamento dos arquivos digi-
talizados;
 Método de indexação que permita criar um
arquivamento organizado, possibilitando a
pesquisa de maneira simples e eficiente;
 Obediência aos requisitos do “Nível de garan-
tia de segurança 2 (“NGS2”)
A Resolução CFM nº 1.821/2007 impõe a guar-
da permanente do prontuário do paciente, no
caso de o documento ter sido gerado de forma
eletrônica, ou, ainda, na hipótese de o prontuário
em papel ter sido microfilmado. Por sua vez, os
prontuários em papel deverão ser mantidos pelo
prazo de 20 (vinte) anos.
O CFM, há mais de dez anos, já prevê a
necessidade de utilização de níveis mínimos sensível, sendo o primeiro compreendido como a
de segurança para o armazenamento e informação relacionada à pessoa natural identifi-
compartilhamento de dados de saúde, em cada ou identificável e o segundo, como o “dado
especial, os prontuários médicos. A despeito da pessoal sobre origem racial ou étnica, convicção
boa intenção do referido Conselho, entendemos religiosa, opinião política, filiação a sindicato ou
que há clara extrapolação de sua competência a organização de caráter religioso, filosófico ou
de reger a ética médica. político, dado referente à saúde ou à vida sexual,
Novamente é possível vislumbrar que a ausên- dado genético ou biométrico, quando vinculado
cia de uma legislação geral sobre proteção de a uma pessoa natural”13
dados fez com que os Órgãos normatizassem a
matéria de maneira setorizada, antes da a entra- De acordo com a definição acima, o dado
da em vigor da LGPD. pessoal referente à saúde deve ser classificado
como dado sensível, sendo suas hipóteses de
tratamento de dados distintas.
3. Análise da Lei Geral de
Proteção de Dados (“LGDP”) Entende-se por tratamento de dados toda a
operação realizada com dados pessoais, tais
no tocante ao setor da como: coleta, produção, classificação, arquiva-
saúde. mento, eliminação14. Podemos verificar, portanto,
que a LGPD trouxe um entendimento amplo na
conceituação de tratamento de dados pessoais,
3.1. Hipóteses de Tratamento Dados
pois parte da coleta e termina em seu descarte,
Sensíveis
englobando todas as possibilidades de manipu-
lação dos dados, independentemente do meio
De início, conforme indicado no Capítulo I, a utilizado.
LGPD diferenciou dado pessoal e dado pessoal

13 Artigo 5º, II, da Lei Federal nº 13.709, de 14 agosto de 2018


-GED), que possua, minimamente, as seguintes característi-
cas: a) Capacidade de utilizar base de dados adequada 14 Art. 5º, X, da Lei Federal nº 13.709, de 14 agosto de 2018:
para o armazenamento dos arquivos digitalizados; b) Mé- tratamento: toda operação realizada com dados pessoais,
todo de indexação que permita criar um arquivamento como as que se referem a coleta, produção, recepção, clas-
organizado, possibilitando a pesquisa demaneira simples e sificação, utilização, acesso, reprodução, transmissão, distri-
eficiente; c) Obediência aos requisitos do “Nível de garantia buição, processamento, arquivamento, armazenamento, eli-
de segurança 2 (NGS2)”, estabelecidos no Manual de Certifi- minação, avaliação ou controle da informação, modificação,
cação para Sistemas de Registro Eletrônico e em Saúde comunicação, transferência, difusão ou extração;

52
LGPD e o Tratamento de Dados na Saúde

“Caso haja a necessidade de se obter o


consentimento do titular para realizar o tratamento
de dados pessoais sensíveis, a LGPD dispõe que
este consentimento deverá ser uma manifestação
livre, informada e inequívoca”

No tocante às hipóteses de tratamento de da- Nessa linha, o titular dos dados deverá ter
dos pessoais sensíveis, a LGPD em seu artigo 11 acesso a um conjunto mínimo de informações
preceitua que poderá ocorrer de duas formas: acerca do tratamento que será aplicado pelo
(i) com o consentimento do titular; ou (ii) sem controlador dos dados, dentre os quais podemos
o fornecimento do consentimento do titular, nas destacar16:
hipóteses listadas de forma exaustiva.
 Finalidade do tratamento;
3.2. Consentimento
 Forma e duração do tratamento, preservados
os segredos comercial e industrial;
Tendo em vista o caráter protetivo da Lei, e os
fundamentos prescritos no artigo 2º, em especial  Identificação do controlador;
o respeito à privacidade e a autodeterminação
informativa, que se constitui no poder do indiví-  Informações referentes ao uso compartilhado
duo determinar e controlar a utilização de seus pelo controlador e sua finalidade;
dados pessoais, a LGPD prevê que o consenti-
mento do titular dos dados sensíveis não poderá Fica evidente que o tratamento de dados sen-
ser realizado de forma genérica ou para finalida- síveis mediante o consentimento do titular deve
des não especificadas. Trata-se, como podemos ser realizado com extrema cautela, pois há, ne-
verificar, de disposição mais restritiva do que o cessariamente, a obrigatoriedade de se descre-
tratamento de dados pessoais. ver todas finalidades, de forma específica e des-
Deste modo, caso haja a necessidade de se tacada, que embasarão o uso dos dados.
obter o consentimento do titular para realizar o
tratamento de dados pessoais sensíveis, a LGPD De forma a efetivar a proteção dos dados pes-
dispõe que este consentimento deverá ser uma soais, a LGPD preceitua que, no caso de possível
manifestação livre, informada e inequívoca pela questionamento, fiscalização ou mera consul-
qual o titular concorda com o tratamento de ta, caberá ao controlador dos dados pessoais a
seus dados pessoais para uma finalidade deter-
minada15.
16 Lei Federal nº 13.709, de 14 agosto de 2018, Art. 8º O con-
sentimento previsto no inciso I do art. 7º desta Lei deverá
15 Lei Federal nº 13.709, de 14 agosto de 2018: Art. 5º Para os ser fornecido por escrito ou por outro meio que demonstre a
fins desta Lei, considera-se: manifestação de vontade do titular.
XII - consentimento: manifestação livre, informada e inequí- § 4º O consentimento deverá referir-se a finalidades deter-
voca pela qual o titular concorda com o tratamento de seus minadas, e as autorizações genéricas para o tratamento de
dados pessoais para uma finalidade determinada; dados pessoais serão nulas.

53
LGPD e o Tratamento de Dados na Saúde

comprovação de que o consentimento do titular


foi obtido de forma regular, respeitando os pre-
ceitos dispostos na Lei17

Outro ponto que merece primordial atenção


de quem pretenda tratar dados mediante o con-
sentimento do titular é de que o consentimento
conferido poderá ser revogado por este último
a qualquer momento, por meio de manifestação
expressa, procedimento este que deverá ser gra-
tuito e facilitado18.

Além disso, de modo a conferir maior seguran-


ça com relação aos tratamentos realizados, bem
como quais as informações que o controlador
possui em seu banco de dados, o titular poderá
requerer uma cópia eletrônica integral de seus
dados pessoais19

Pelo exposto, o tratamento de dados pessoais


mediante o consentimento do titular dos da-
dos ou seu responsável deve ser utilizado com
parcimônia, pois, além de o controlador ter que
demonstrar de forma destacada todos os trata-
mentos que os dados serão submetidos de forma
clara e inequívoca, o titular, a qualquer momento,

17 Lei Federal nº 13.709, de 14 agosto de 2018


Art. 8º O consentimento previsto no inciso I do art. 7º desta
Lei deverá ser fornecido por escrito ou por outro meio que
demonstre a manifestação de vontade do titular.
§ 2º Cabe ao controlador o ônus da prova de que o consenti-
mento foi obtido em conformidade com o disposto nesta Lei.

18 Lei Federal nº 13.709, de 14 agosto de 2018


Art. 8º O consentimento previsto no inciso I do art. 7º desta
Lei deverá ser fornecido por escrito ou por outro meio que
demonstre a manifestação de vontade do titular.
5º O consentimento pode ser revogado a qualquer momento
mediante manifestação expressa do titular, por procedimen-
to gratuito e facilitado, ratificados os tratamentos realizados
sob amparo do consentimento anteriormente manifestado
enquanto não houver requerimento de eliminação, nos ter-
mos do inciso VI do caput do art. 18 desta Lei.

19 Lei Federal nº 13.709, de 14 agosto de 2018


Art. 19. A confirmação de existência ou o acesso a dados pes-
soais serão providenciados, mediante requisição do titular:
§ 3º Quando o tratamento tiver origem no consentimento do
titular ou em contrato, o titular poderá solicitar cópia eletrôni-
ca integral de seus dados pessoais, observados os segredos
comercial e industrial, nos termos de regulamentação da au-
toridade nacional, em formato que permita a sua utilização
subsequente, inclusive em outras operações de tratamento.

54
LGPD e o Tratamento de Dados na Saúde

poderá revogar o consentimento outorgado, im-  tratamento compartilhado de dados necessá-


pondo ao controlador a imediata suspensão do rios à execução, pela administração pública,
tratamento. de políticas públicas previstas em leis ou re-
gulamentos
Diante desse cenário, recomendamos que os
controladores de dados pessoais deem preferên-  realização de estudos por órgão de pesquisa,
cia às hipóteses de tratamento de dados que não garantida, sempre que possível, a anonimiza-
dependam do consentimento do titular do dado, ção dos dados pessoais sensíveis
pois essas alternativas não ficam sujeitas à von-
tade do titular do dado e não estão, portanto,  exercício regular de direitos, inclusive em
sujeitas à revogação. contrato e em processo judicial, administra-
tivo e arbitral, este último nos termos da Lei
nº 9.307, de 23 de setembro de 1996 (Lei de
3.3. Hipóteses em que o Arbitragem);
Consentimento é Dispensável
 proteção da vida ou da incolumidade física do
titular ou de terceiro;
Consoante salientado, tendo em vista as pe-
culiaridades dos dados sensíveis, em especial  tutela da saúde, exclusivamente, em procedi-
os dados de saúde, a LGPD previu uma relação mento realizado por profissionais de saúde,
de hipóteses em que estes poderão ser tratados serviços de saúde ou autoridade sanitária; ou
sem o fornecimento de consentimento do titular,
quais sejam20:  garantia da prevenção à fraude e à seguran-
ça do titular, nos processos de identificação
 cumprimento de obrigação legal ou regulató- e autenticação de cadastro em sistemas ele-
ria pelo controlador; trônicos;

A seguir, analisamos cada uma das hipóteses


20 Lei Federal nº 13.709, de 14 agosto de 2018, art. 11. O trata-
acima elencadas com enfoque no setor da saúde.
mento de dados pessoais sensíveis somente poderá ocorrer
nas seguintes hipóteses:
3.3.1. Cumprimento de obrigação legal ou
II - sem fornecimento de consentimento do titular, nas hipó-
teses em que for indispensável para:
regulatória
a) cumprimento de obrigação legal ou regulatória pelo con-
A LGPD preceitua que o tratamento de dados
trolador;
b) tratamento compartilhado de dados necessários à execu- pessoais sensíveis poderá ser realizado sem o
ção, pela administração pública, de políticas públicas previs- consentimento do titular dos dados ou seu res-
tas em leis ou regulamentos; ponsável legal para cumprimento de obrigação
c) realização de estudos por órgão de pesquisa, garantida, legal ou regulatória21.
sempre que possível, a anonimização dos dados pessoais
sensíveis;
Como indicado anteriormente, são diversos os
d) exercício regular de direitos, inclusive em contrato e em
processo judicial, administrativo e arbitral, este último nos dispositivos legais que obrigam os atores da ca-
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de deia da saúde a coletarem dados e remeterem a
Arbitragem) ; terceiros.
e) proteção da vida ou da incolumidade física do titular ou
de terceiro;
f) tutela da saúde, em procedimento realizado por profissio-
nais da área da saúde ou por entidades sanitárias; ou 21 Lei Federal nº 13.709, de 14 agosto de 2018, art. 11. O trata-
g) garantia da prevenção à fraude e à segurança do titular, mento de dados pessoais sensíveis somente poderá ocorrer
nos processos de identificação e autenticação de cadastro nas seguintes hipóteses:
em sistemas eletrônicos, resguardados os direitos menciona- II - sem fornecimento de consentimento do titular, nas hipó-
dos no art. 9º desta Lei e exceto no caso de prevalecerem teses em que for indispensável para:
direitos e liberdades fundamentais do titular que exijam a a) cumprimento de obrigação legal ou regulatória pelo con-
proteção dos dados pessoais. trolador;

55
LGPD e o Tratamento de Dados na Saúde

Certamente, o setor da saúde é um dos mais Portanto, por determinação do Ministério da


impactos com essa previsão, pois a esfera de Saúde, no caso de profissionais de saúde se de-
atuação do Poder Público é enorme, seja na Saú- pararem com um caso previsto na lista, o envio
de Suplementar, seja no SUS. dessas informações à autoridade de saúde deve
ser efetuado, mesmo sem o consentimento do ti-
A título exemplificativo, tomamos o caso das tular dos dados, pois decorre de obrigação legal
notificações compulsórias: a depender do even- ou regulatória.
to de saúde registrado, cabe ao serviço de saú-
de notifica-lo à Vigilância Sanitária, a fim de ga- Outra hipótese de tratamento de dados que se
rantir um sistema de controle epidemiológico22. enquadra nessa hipótese é o do Ressarcimento
ao SUS. Nesse caso, o serviço de saúde, públi-
A notificação compulsória é obrigatória para co ou privado, presta atendimento em regime de
os médicos, demais profissionais de saúde res- complementariedade ao SUS e colhe os dados
ponsáveis pelos serviços públicos e privados, do paciente. O SUS e a ANS trocam esses dados,
quando houver suspeita ou a confirmação de a fim de verificar se, dentre esses pacientes, há
doença ou agravo previsto na relação publicada beneficiários de Planos Privados de Assistência
pelo Ministério da Saúde. à Saúde23.

Conforme a doença ou o agravo verificado, Feita a consolidação dessas informações, a


deverá ser observado o prazo de até 24 (vinte ANS remete às Operadoras de Planos Privados
e quatro) horas para que a autoridade de saú- de Assistência à Saúde um Aviso de Beneficiário
de responsável seja informada, de modo que, na Identificado (“ABI”), que avaliam os tratamentos
posse dessas informações, promova a divulga- prestados ao beneficiário e apresentam defesa,
ção dos dados públicos para os profissionais de se for o caso.
saúde, órgãos de controle social e para a popu-
Note-se que o Ressarcimento ao SUS englo-
lação em geral.
ba uma troca de dados de saúde relevante, o
que possibilita, inclusive, que a Operadora tenha
Dentre a extensa lista e doenças e agravos,
acesso ao prontuário do paciente para impugnar
citamos a obrigatoriedade de notificação com-
tecnicamente o pedido de ressarcimento formu-
pulsória nos casos de: a) doenças com suspei-
lado pela ANS, independentemente de qualquer
ta de disseminação intencional (antraz pneu-
consentimento.
mônico, tularemia, varíola); b) doenças febris
hemorrágicas emergentes/reemergentes; c) Outra hipótese de compartilhamento de da-
doenças exantemáticas (sarampo e rubéola) dos na Saúde Suplementar é o Sistema de In-
e; d) casos de violência sexual e tentativa de
suicídio.
23 Resolução Normativa nº 358, de 27 de novembro de 2014
Art. 3° A identificação é procedimento administrativo, de
22 Portaria de Consolidação SUS nº 04, de 28 de setembro competência da ANS, que verifica a ocorrência da obrigação
de 2017 legal de ressarcir ao SUS por meio da constatação de aten-
Anexo V - Sistema Nacional de Vigilância Epidemiológica dimento no SUS a beneficiário de plano privado de saúde,
(SNVE) (Origem: PRT MS/GM 204/2016) do cálculo do montante devido e da determinação da OPS
CAPÍTULO I - DA LISTA NACIONAL DE NOTIFICAÇÃO COM- devedora.
PULSÓRIA DE DOENÇAS, AGRAVOS E EVENTOS DE SAÚ- Art. 4º A identificação será realizada mediante cruzamento
DE PÚBLICA de bancos de dados relativos aos atendimentos realizados
Seção I DAS DISPOSIÇÕES INICIAIS (Origem: PRT MS/GM nas unidades prestadoras de serviços vinculadas ao SUS com
204/2016, CAPÍTULO I) as informações cadastrais das OPS constantes do banco de
Art. 1º Este Anexo define a Lista Nacional de Notificação dados da ANS, nos termos do artigo 20 da Lei 9.656, de 3 de
Compulsória de doenças, agravos e eventos de saúde pública junho de 1998, e da regulamentação da ANS.
nos serviços de saúde públicos e privados em todo o territó- § 1° O serviço de atendimento à saúde cuja continuidade tiver
rio nacional, nos termos do Anexo 1 do Anexo V . (Origem: demandado a emissão de mais de um documento de autori-
PRT MS/GM 204/2016, Art. 1º) zação ou registro emitido.

56
LGPD e o Tratamento de Dados na Saúde

formações de Beneficiários24 mantido pela ANS, 3.3.2. Execução de Políticas Públicas


por meio do qual as Operadoras informam os
dados cadastrais dos beneficiários, migração A segunda hipótese que a LGPD prevê que
de planos etc. Com essas informações, a ANS os dados pessoais sensíveis poderão ser trata-
avalia a situação do mercado. O fornecimento dos sem o consentimento do titular é o de exe-
dessa informação pela Operadora à ANS tam- cução de políticas públicas pela Administração
bém independente de qualquer consentimento Pública26.
do beneficiário.
De acordo com a redação constante na Lei,
Um último exemplo de disponibilização de in- verifica-se que o legislador conferiu ampla pos-
formações em cumprimento de obrigação legal sibilidade à Administração Pública tratar dados
ou regulatória no setor da saúde é o caso do Ca- sensíveis sem o consentimento do titular, desde
dastro Nacional de Estabelecimento de Saúde que em cumprimento de política pública.
(“CNES”). Nessa hipótese, estabelecimentos de
É fato que o maior coletor de dados pessoais
saúde disponibilizam à Administração Pública
é Poder Público, seja realizando a coleta de for-
uma série de informações relacionadas ao esta-
ma direta, como hospitais, cartórios eleitorais,
belecimento propriamente e de seus colabora-
seja de forma indireta, por meio de agências
dores: enfermeiros, médicos etc.
reguladoras e empresas com parcerias públicos
Nesse caso, por determinação da Administra- -privados.
ção Pública25, o estabelecimento de saúde dispo-
Não há uma definição legal do que pode ou
nibiliza dados dos colaboradores habilitados nos
não ser enquadrado como uma política pública.
Conselhos Profissionais competentes, informa-
Aliás, não é incomum a conclusão de que to-
ções que, posteriormente, são disponibilizadas
das as ações da Administração Pública podem
pelo Ministério da Saúde na internet. Novamen-
ser enquadras como políticas públicas. No caso
te, estamos diante de uma situação que isenta o
da saúde, é evidente que a regulação da Saúde
estabelecimento de requerer qualquer consenti-
Suplementar promovida pela ANS, a assistência
mento prévio.
ofertada pelo SUS, as parcerias de desenvolvi-
Como é possível observar, no tocante ao setor mento para oferta de medicamentos, dentre ou-
da saúde, há diversas hipóteses de tratamento tras ações, constituem políticas públicas.
de dados sensíveis sem o consentimento do titu-
Especificamente no que se refere à assistên-
lar para o cumprimento de obrigação legal ou re-
cia prestada no SUS, verificou-se, ao longo dos
gulatória, tendo em vista o caráter ímpar dessas
anos, a necessidade de a Administração Pública
informações à sociedade como um todo.
obter informações integradas sobre a atividade
assistencial desenvolvida pela rede de atenção à
24 Resolução Normativa nº 295, de 09 de maio de 2012. saúde pública, suplementar e privada no territó-
rio nacional, subsidiando a gestão, planejamento,
25 Portaria de Consolidação nº 01, de 28 de setembro de
avaliação dos serviços de saúde e investigação
2017.
CAPÍTULO IV - DO CADASTRO NACIONAL DE ESTABELE- clínica.
CIMENTOS DE SAÚDE (CNES)
Seção I - Das Disposições Gerais (Origem: PRT MS/GM
1646/2015, CAPÍTULO I)
Art. 358. Fica instituído o Cadastro Nacional de Estabeleci- 26 Lei Federal nº 13.709/2018, art. 11. O tratamento de dados
mentos de Saúde (CNES). (Origem: PRT MS/GM 1646/2015, pessoais sensíveis somente poderá ocorrer nas seguintes hi-
Art. 1º) póteses:
Art. 359. O CNES se constitui como documento público e sis- II - sem fornecimento de consentimento do titular, nas hipó-
tema de informação oficial de cadastramento de informações teses em que for indispensável para:
de todos os estabelecimentos de saúde no País, independen- b) tratamento compartilhado de dados necessários à execu-
temente da natureza jurídica ou de integrarem o SUS, e pos- ção, pela administração pública, de políticas públicas previs-
sui as seguintes finalidades: (Origem: PRT MS/GM 1646/2015, tas em leis ou regulamentos;
Art. 2º)

57
LGPD e o Tratamento de Dados na Saúde

A Comissão Intergestores Tripartite, instituiu o de estudos por órgãos de pesquisa, garantindo,


Conjunto Mínimo de Dados (“CMD”) da Atenção sempre que possível, a anonimização dos dados
à Saúde27, com o objetivo de subsidiar a formula- pessoais sensíveis.
ção, o monitoramento e a avaliação das políticas
de saúde, viabilizando, inclusive, as informações Cabe-nos relembrar dois conceitos necessá-
do SUS e da Saúde Suplementar. rios para melhor compreender a hipótese em
análise. Primeiramente, de acordo com a defi-
De acordo com a normativa, compõem o CMD: nição prevista na Lei, somente podem ser en-
(i) dados administrativos, relacionados com a quadrados como órgãos de pesquisa,órgão ou
gestão de recursos dos estabelecimentos de entidade da administração pública direta ou in-
saúde; (ii) dados clínico-adminitrativos, referen- direta ou pessoa jurídica de direito privado sem
tes à gestão dos pacientes, e (iii) dados clínicos, fins lucrativos legalmente constituída sob as leis
relacionados ao estado de saúde ou doença dos brasileiras, com sede e foro no País, que inclua
indivíduos, expressos em diagnósticos, procedi- em sua missão institucional ou em seu objetivo
mentos e tratamentos realizados. social ou estatutário a pesquisa básica ou aplica-
da de caráter histórico, científico, tecnológico ou
Enfim, um verdadeiro sonho para qualquer estatístico29.
gestor que deseje implementar uma política de
saúde baseada em dados. A anonimização é verificada quando o contro-
lador dos dados utiliza meios técnicos razoáveis
Isto posto, tendo em vista essa ampla capa- e disponíveis, por meio dos quais o dado perde a
cidade de tratamento de dados sensíveis sem oportunidade de ser associado direta ou indire-
o consentimento do titular pela Administração tamente a um indivíduo30.
Pública conferida pela LGPD, entendemos que
a ANPD deverá expedir orientação e normati- Deste modo, partindo do pressuposto de que
va acerca do alcance que a hipótese poderá ser após o processo de anonimização não é possível
utilizada. identificar o titular dos dados pessoais, a LGPD
preceitua que os dados anonimizados não serão
Inclusive, julgamos que essa orientação deve, considerados dados pessoais, salvo quando o
preliminarmente, contar com a colaboração processo em causa for revertido31.
dos atores da saúde, em especial dos órgãos e
entidades que compõem o setor público.
29 Lei Federal nº 13.709/2018, art. 5º Para os fins desta Lei,
considera-se:
Por sua vez, considerando que é dever do Es- XVIII - órgão de pesquisa: órgão ou entidade da administra-
tado garantir a saúde, por meio de formulação e ção pública direta ou indireta ou pessoa jurídica de direito
execução de políticas públicas28, julgamos que, privado sem fins lucrativos legalmente constituída sob as leis
respeitados os princípios previstos na LGPD, a brasileiras, com sede e foro no País, que inclua em sua mis-
são institucional ou em seu objetivo social ou estatutário a
Administração Pública poderá realizar o trata-
pesquisa básica ou aplicada de caráter histórico, científico,
mento de dados de forma ampla, de modo a as- tecnológico ou estatístico; e (Redação dada pela Lei
segurar o acesso universal e igualitário às ações Medida Provisória nº 869, de 2018)
e aos serviços de saúde.
30 Lei Federal nº 13.709/2018, art. 5º Para os fins desta Lei,
considera-se:
3.3.3. Realização de Estudos por Órgão de XI - anonimização: utilização de meios técnicos razoáveis e
disponíveis no momento do tratamento, por meio dos quais
Pesquisa
um dado perde a possibilidade de associação, direta ou indi-
reta, a um indivíduo;
A LGPD também traz exceção ao consen-
timento do titular dos dados para a realização 31 Lei Federal nº 13.709/2018, art. 12. Os dados anonimizados
não serão considerados dados pessoais para os fins desta
Lei, salvo quando o processo de anonimização ao qual foram
submetidos for revertido, utilizando exclusivamente meios
27 Resolução nº 06, de 25 de agosto de 2016
próprios, ou quando, com esforços razoáveis, puder ser re-
28 Lei Federal nº 8.080, de 19 de setembro de 1990 vertido.

58
LGPD e o Tratamento de Dados na Saúde

Da leitura da Lei, verificamos que o legislador é incomum a Administração Pública contratar


teve por objetivo restringir a caracterização de terceiros para produzir essas pesquisas.
pesquisa a estudos em saúde pública32. A restri-
ção, do nosso ponto de vista, é indevida, pois não Não por menos que na tramitação da MP nº
869/2018, foram propostas Emendas que visa-
32 Lei nº 13.709, de 14 de agosto de 2018.
vam excluir a definição “sem fins lucrativos” da
Art. 13. Na realização de estudos em saúde pública, os órgãos redação, justamente para autorizar que qual-
de pesquisa poderão ter acesso a bases de dados pessoais, quer pessoa jurídica possa ser enquadrada
que serão tratados exclusivamente dentro do órgão e estri- como órgão de pesquisa, quando atestada sua
tamente para a finalidade de realização de estudos e pesqui- capacidade técnica e cumpridos os requisitos
sas e mantidos em ambiente controlado e seguro, conforme
legais aplicáveis.
práticas de segurança previstas em regulamento específico e
que incluam, sempre que possível, a anonimização ou pseu-
Por oportuno, registramos que, com a manu-
donimização dos dados, bem como considerem os devidos
padrões éticos relacionados a estudos e pesquisas.
tenção da definição de órgão de pesquisa, pela
§ 1º A divulgação dos resultados ou de qualquer excerto do publicação da Lei Federal nº 13.853/201933, em
estudo ou da pesquisa de que trata o caput deste artigo em nosso entendimento, a restrição trazida pela
nenhuma hipótese poderá revelar dados pessoais. LGPD não abrange as pesquisas clínicas e tam-
§ 2º O órgão de pesquisa será o responsável pela segurança pouco modifica os conceitos preceituados pela
da informação prevista no caput deste artigo, não permitida,
Resolução nº 466, de 12 de dezembro de 2012,
em circunstância alguma, a transferência dos dados a tercei-
ro. expedida pelo Conselho Nacional de Saúde
§ 3º O acesso aos dados de que trata este artigo será objeto (“CNS”), que aprova as diretrizes e normas re-
de regulamentação por parte da autoridade nacional e das gulamentadoras de pesquisas envolvendo seres
autoridades da área de saúde e sanitárias, no âmbito de suas humanos.
competências.
§ 4º Para os efeitos deste artigo, a pseudonimização é o tra- Aliás, a título de comparação, registramos que
tamento por meio do qual um dado perde a possibilidade de
a referida Resolução traz alguns conceitos e di-
associação, direta ou indireta, a um indivíduo, senão pelo uso
de informação adicional mantida separadamente pelo con-
trolador em ambiente controlado e seguro. 33 Lei Federal nº 13.853, de 8 de julho de 2019.

59
LGPD e o Tratamento de Dados na Saúde

retrizes também verificados na LGPD. É o caso, estipuladas, não haverá a necessidade de con-
por exemplo, da obrigatoriedade de as pesquisas sentimento por parte do titular dos dados.
envolvendo seres humanos serem precedidas
de consentimento livre e esclarecido do partici- A título exemplificativo, na hipótese de o titu-
pante da pesquisa e/ou representante legal, por lar dos dados pessoais realizar um exame em um
meio do detalhamento dos métodos que serão laboratório de análise clínicas, não haveria, ne-
utilizados e os riscos decorrentes da participa- cessariamente, a obrigatoriedade de o titular dos
ção na pesquisa. dados consentir de forma expressa que seus da-
dos sejam transferidos à uma empresa de trans-
Similarmente ao consentimento previsto na porte terceirizada que realiza o deslocamento do
LGPD, na pesquisa clínica, haverá a identificação material coletado.
do pesquisador responsável, além da necessida-
de de que este profissional ateste estar em con- O mesmo raciocínio poderá ser aplicado aos
sonância com os preceitos legais aplicáveis. Hospitais e demais prestadores de serviços en-
volvidos na cadeia.
Outro conceito previsto na Resolução CNS nº
466/2012 é a garantia de que o sigilo e a pri- Obviamente, salientamos que este comparti-
vacidade dos participantes (titulares dos dados lhamento de dados deverá respeitar os princípios
pessoais sensíveis) serão mantidos durante to- da LGPD, em especial o princípio da finalidade e
das as fases de pesquisa, garantida em suas fa- da necessidade, que estabelecem que os dados
ses, a anonimização dos participantes, excluin- serão tratados para fins legítimos e específicos,
do, assim, a incidência da LGPD nas pesquisas com a limitação ao mínimo de tratamento neces-
clínicas. sário para a realização de suas finalidades35.

Deste modo, de acordo com as diretrizes e os


3.3.4. Exercício Regular de Direitos princípios da LGPD, a Lei não objetiva inviabilizar
De acordo com a LGPD, não há a necessidade a execução de contratos e a prestação de servi-
de consentimento do titular dos dados pessoais, ços, porém, os agentes de tratamento deverão
caso o tratamento de dados se torne indispensá- sempre agir com boa-fé e adotar medidas para
vel para o exercício regular de direitos, inclusive prevenir a ocorrência de danos em virtude do
em contrato e em processo judicial, administrati- tratamento de dados pessoais.
vo e arbitral.34

Dessa forma, os controladores dos dados pes- 3.3.5. Proteção da Vida ou da Incolumidade
soais poderão compartilhar dados sensíveis para Física
regular prestação dos seus serviços e caso seja
A LGPD prevê que o tratamento de dados sen-
essencial para subsidiar a representação numa
síveis poderá ser realizado sem o consentimento
das esferas que mencionamos acima.
do titular dos dados pessoais nas hipóteses em
Assim sendo, vislumbramos que, na hipótese
de um prestador de serviços compartilhar dados
para a execução de atividades contratualmente 35 Art. 6º, I e III, Lei Federal nº 13.709/2018
Art. 6º As atividades de tratamento de dados pessoais deve-
rão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos le-
34 Lei Federal nº 13.709/2018, art. 11. O tratamento de dados gítimos, específicos, explícitos e informados ao titular, sem
pessoais sensíveis somente poderá ocorrer nas seguintes hi- possibilidade de tratamento posterior de forma incompatível
póteses: com essas finalidades;
II - sem fornecimento de consentimento do titular, nas hipó- (...)
teses em que for indispensável para: III - necessidade: limitação do tratamento ao mínimo neces-
b) tratamento compartilhado de dados necessários à execu- sário para a realização de suas finalidades, com abrangência
ção, pela administração pública, de políticas públicas previs- dos dados pertinentes, proporcionais e não excessivos em
tas em leis ou regulamentos; relação às finalidades do tratamento de dados;

60
LGPD e o Tratamento de Dados na Saúde

que for indispensável para a proteção da vida ou Inicialmente, com a redação inicial da Lei
da incolumidade física36. 13.709/2018, alguns defendiam que o conceito
somente abarcaria os casos de urgência e emer-
A legislação nacional não traz o conceito do
gência, ou seja, nos quais o titular dos dados
que poderia ser compreendido como “proteção
apresenta risco eminente de vida e, assim, não
da vida”. Por sua vez, utilizando dos conceitos
haveria a possibilidade de se obter o consenti-
previstos na GDPR, entendemos que, de uma
mento em tais casos.
maneira ampla, o conceito está adstrito à prote-
ção da vida e à segurança pública.
Todavia, após grande empenho legislativo e,
Deste modo, a necessidade de tratamento de principalmente, elucidativo realizado pelos agen-
dados pessoais sensíveis se torna evidente quan- tes envolvidos na cadeia de saúde, a LGPD foi
do estamos diante de uma situação que deman- alterada. Agora, não restam mais dúvidas que os
de a atuação imediata da Administração Pública profissionais de saúde, os prestadores de servi-
para salvar vidas como, por exemplo, nas catás- ços e a Autoridade Sanitária podem realizar tra-
trofes naturais. tamento de dados sem o consentimento do titu-
lar, quando a finalidade for a tutela da saúde.
Outro exemplo que possibilita o tratamento
de dados com base na proteção da vida, é a uti- Porém, a LGPD não trouxe a definição de “tu-
lização destas informações para a prevenção, a tela da saúde”, deste modo, em que pese a nova
investigação e a repressão de infrações penais definição ter acertadamente ampliado os agen-
pelos agentes públicos responsáveis. tes que poderão realizar o tratamento de dados
sensíveis sem consentimento, entendemos que
No mesmo sentido, a GDPR preceitua que não a Autoridade Nacional de Proteção de Dados
será necessário o consentimento do titular nos (“ANPD”) deverá expedir norma definindo o con-
casos de prevenção de ameaças à segurança pú- ceito, de modo a pacificar o tema e, assim, trazer
blica ou violações da deontologia de profissões maior segurança jurídica.
regulamentadas, como no caso de médicos que
estão submetidos aos preceitos éticos dispostos Pelo exposto, julgamos que a alteração legis-
no Código de Ética Médica. lativa realizada foi extremamente benéfica ao
setor, conforme demonstrado pelas entidades
3.3.6. Tutela da Saúde representativas nas discussões e na votação da
Medida Provisória nº 869/2018.
Conforme já explanado, o setor da saúde é
repleto de peculiaridades e, em virtude dessas
características, a LGPD prevê que não será ne- 4. Do Compartilhamento de
cessário o consentimento do titular dos dados
pessoais sensíveis para nas hipóteses em que,
Dados Referentes à Saúde
o tratamento, for indispensável para a tutela da com Fins Lucrativos
saúde, em procedimento realizado por profissio-
nais de saúde, serviços de saúde ou autoridade Quando a LGPD foi publicada, havia vedação
sanitária.37 expressa de comunicação e compartilhamento
de dados sensíveis referentes à saúde com obje-
36 Art.11, II, “e”, Lei Federal nº 13.709/2018
tivo de obter vantagem econômica.

37 Art. 11, II, “f”, Lei Federal nº 13.709/2018 Em nosso entendimento, a restrição teve por
Art. 11. O tratamento de dados pessoais sensíveis somente
poderá ocorrer nas seguintes hipóteses: objetivo vedar a obtenção de vantagem econô-
II - sem fornecimento de consentimento do titular, nas hipó- mica com a venda de dados propriamente dita.
teses em que for indispensável para: Vale lembrar que poucos dias antes da edição
f) tutela da saúde, exclusivamente, em procedimento realiza-
do por profissionais de saúde, serviços de saúde ou autori- da LGPD foram divulgados casos de venda de
dade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) dados por drogarias.

61
LGPD e o Tratamento de Dados na Saúde

O compartilhamento de dados previsto no com objetivo de obter vantagem econômica,


SUS e na Saúde Suplementar, necessários para estará sempre atrelado ao interesse do titular.
viabilizar o faturamento, por exemplo, não esta- Deste modo, os agentes de tratamento sempre
riam, do nosso ponto de vista, abrangidos pela deverão verificar o objetivo do compartilha-
vedação. mento, com o intuito de apurar se, de fato, o
titular dos dados está sendo beneficiado de al-
Neste sentido, após a votação da MP nº guma maneira.
869/2018, a LGPD foi novamente alterada, com
o intuito de permitir o compartilhamento de da- Por fim, como também apontado no material
dos de saúde com objetivo de obter vantagem anteriormente veiculado, tendo em vista o re-
econômica, nas hipóteses relativas a prestação ceio do legislador pátrio em resguardar e pro-
de serviços de saúde, de assistência farmacêu- teger o titular dos dados de possível interação
tica e de assistência à saúde, recepcionando, entre farmácias, Operadoras e Seguros privados
inclusive, os serviços auxiliares de diagnose e de assistência à saúde, foi incluída a impossibi-
terapia38. lidade de tratamento de dados para a prática
de seleção de riscos na contratação de qualquer
Assim sendo, novamente julgamos que a alte- modalidade39.
ração legislativa foi extremamente benéfica ao
setor, pois, a nova redação elimina possíveis dú- Ao nosso ver, em que pese a previsão ser am-
vidas na possibilidade de compartilhamento de plamente favorável aos beneficiários e, conse-
dados, entre Operadoras, prestadores de servi- quentemente, aos titulares dos dados, a inclusão
ços e Gestores do SUS, com fins lucrativos, por foi desnecessária, pois, a utilização de seleção
exemplo. de risco em qualquer tipo de contratação já era
vedada pela Súmula nº 27/2015 da ANS40.
Conforme salientado na primeira edição do
presente material, a impossibilidade de com- Portanto, entendemos que após a demons-
partilhamento de dados de saúde com fins eco- tração da indispensabilidade de compartilha-
nômicos, caminhava contrariamente a todos os mento de dados entre os agentes envolvidos na
estudos e entendimentos já consolidados no se- cadeia de saúde, a alteração legislativa foi imen-
tor da saúde, onde é sabido que, a transferên- samente assertiva, uma vez que possibilitou a
cia de informações e o uso de dados é pratica comunicação e o compartilhamento de dados
necessária e indispensável para os agentes com fins lucrativos, sem, contudo, negligenciar
envolvidos na cadeia. os direitos e os princípios dos titulares dos da-
dos pessoais sensíveis.
Não obstante, ressaltamos que a Lei foi ex-
pressa ao afirmar que o compartilhamento de
dados pessoais sensíveis referentes à saúde, Referências
38 Lei Federal nº 13.709/2018, art. 11. O tratamento de dados Brasil, Constituição Federal do Brasil. Disponível
pessoais sensíveis somente poderá ocorrer nas seguintes hi- em http://www.planalto.gov.br/ccivil_03/Cons-
póteses: tituicao/Constituicao.htm - acesso em 15 de mar-
§ 4º É vedada a comunicação ou o uso compartilhado en- ço de 2019.
tre controladores de dados pessoais sensíveis referentes à
saúde com objetivo de obter vantagem econômica, exceto
nas hipóteses relativas a prestação de serviços de saúde, de
assistência farmacêutica e de assistência à saúde, desde que
39 Art. 11. O tratamento de dados pessoais sensíveis somente
observado o § 5º deste artigo, incluídos os serviços auxiliares
poderá ocorrer nas seguintes hipóteses:
de diagnose e terapia, em benefício dos interesses dos titula-
§ 5º É vedado às operadoras de planos privados de assistên-
res de dados, e para permitir:
cia à saúde o tratamento de dados de saúde para a prática
I - a portabilidade de dados quando solicitada pelo titular; ou
de seleção de riscos na contratação de qualquer modalidade,
II - as transações financeiras e administrativas resultantes do
assim como na contratação e exclusão de beneficiários.
uso e da prestação dos serviços de que trata este parágrafo.
(Incluído pela Lei nº 13.853, de 2019) 40 Súmula Normativa nº 27, de 10 de junho de 2015.

62
LGPD e o Tratamento de Dados na Saúde

Brasil, Lei Federal nº 13.709, de 14 de agosto de Brasil, Resolução do Conselho Federal de Medi-
2018. Disponível em http://www.planalto.gov.br/ cina nº 2.217/2018, de 01 de novembro de 2018.
ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Disponível em https://sistemas.cfm.org.br/nor-
Acesso em 22 de março de 2019. mas/visualizar/resolucoes/BR/2018/2217 - aces-
so em 15 de março de 2019.
Brasil, Lei Federal nº 8.080, de 19 de setembro
de 1990. Disponível em http://www.planalto.gov. Brasil, Resolução do Conselho Federal de Medi-
br/ccivil_03/leis/L8080.htm - acesso em 20 de cina nº 1.821/2007, de 23 de novembro de 2007.
março de 2019. Disponível em https://sistemas.cfm.org.br/nor-
mas/visualizar/resolucoes/BR/2007/1821 - aces-
Brasil, Ministério da Saúde, Portaria de Consoli- so em 15 de março de 2019
dação nº 01, de 28 de setembro de 2017. Disponí-
Brasil, Ministério da Saúde, Portaria de Consolida-
vel em http://bvsms.saude.gov.br/bvs/saudele-
ção nº 04, de 28 de setembro de 2017. Disponível
gis/gm/2017/prc0001_03_10_2017.html - acesso
em http://bvsms.saude.gov.br/bvs/saudelegis/
em 18 de março de 2019
gm/2017/prc0004_03_10_2017.html- acesso em
18 de março de 2019
Brasil, Lei Federal nº 9.961, de 28 de janeiro de
2000. Disponível em http://www.planalto.gov. Brasil, Ministério da Saúde, Resolução nº 466, de
br/ccivil_03/LEIS/L9961.htm - acesso em 14 de 12 de dezembro de 2012. Disponível em http://
março de 2019 bvsms.saude.gov.br/bvs/saudelegis/cns/2013/
res0466_12_12_2012.html - acesso em 15 de mar-
Brasil, Agência Nacional de Saúde Suplementar,
ço de 2019.
Resolução Normativa nº 305, de 9 de outubro
de 2012. Disponível em http://www.ans.gov.br/ Brasil, Lei Federal nº 13.853, de 08 de julho de
component/legislacao/?view=legislacao&task=- 2019. Disponível em http://www.planalto.gov.br/
TextoLei&format=raw&id=MjI2OA== - acesso ccivil_03/_Ato2019-2022/2019/Lei/L13853.ht-
em 15 de março de 2019 m#art.Acesso em 22 de julho de 2019.

Sobre o autor
Lucas Alves da Silva Bonafé é advogado formado pela Universidade presbiteriana Mackenzie, pós-
graduado em Controle Social de Políticas Públicas pelo Tribunal de Contas do Município de São Pau-
lo e formado em Proteção de Dados e Privacidade pelo Insper – Instituto de Ensino e Pesquisa. Atua
na área da saúde para clientes de toda a cadeia de prestação de serviços, por meio de elaboração de
pareceres e análise de contratos com foco em questões regulatórias e proteção de dados na aera da
saúde, além de defesas administrativas perante a ANS, ANVISA e órgãos de representação de clas-
se, como o CFM. É membro do Comitê Jurídico do Instituto Brasileiro das Organizações Sociais de
Saúde (“IBROSS”), do Grupo de Estudos de Proteção de Dados e Privacidade da Associação Nacio-
nal de Hospitais Privados (“ANAHP”) e do Grupo de Trabalho de Proteção de Dados e Privacidade
da Associação Brasileira de Medicina Diagnóstica (“ABRAMED”)

63
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades

S
ince 25 May 2018, the General Data Protec- erally prohibited but there are a few exception to
tion Regulation (“GDPR”) is in effect in the the prohibition, such as the data subject has giv-
EU. It applies also to companies that have en his consent to the processing of his personal
no place of business in the EU but which offer data or for the purpose of medical diagnosis. In
services in the EU or otherwise collected data general, it can be said that companies may need
there. The GDPR has increased the requirements to consider the implications early on and before
for compliance for data protection and data se-
implementing new processes or introducing new
curity significantly. Non-compliance could result
software and spend some thought on the legal
in fines of considerable amounts. In the life scien-
ce and healthcare sector the consequences of basis for which they will process the data. As the
the GDPR are manifold and pose new challenges European Data Protection Board (EDPB), the
for companies, whether Big Pharma, HealthTech EU’s independent data protection authority, puts
startups or Healthcare providers. The reason is it: “Though the innovative principles introduced
that everyone is dependent on the processing of by the GDPR (privacy by design or the prohibi-
identifiable information about health. And, such tion of discriminatory profiling) remain relevant
data has a special protection under the GDPR. and applicable to health data as well, specific
safeguards for personal health data and for a de-
GDPR and Health Data finitive interpretation of the rules that allows an
effective and comprehensive protection of such
data have now been addressed by the GDPR.”
The GDPR classifies personally identifiable in- As a result, companies in the Life Science and
formation about health as a special category of Healthcare sector have to comply with a number
data. In addition, the GDPR defines biometric and of requirements. These are both formal and ma-
genetic data. The processing of such data is gen- terial. Some examples:

66
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades

Consent and Patients where the processing is necessary for the pur-
poses of medical diagnosis or healthcare.

Consent under the GDPR must be freely given, One thing to remember is that a patient’s con-
specific, informed and unambiguous, and involve sent for treatment or to share healthcare records
a clear affirmative action (an opt-in). If a com- is not necessarily the same as consent for the
pany wants to rely on consent it must be able to processing of personal data under the GDPR. In
demonstrate that it obtained consent and the in- particular, patient information collected from a
dividual must be able to withdraw consent easily. medical practitioner is subject to a duty of con-
For a public authority or another organisation in fidence. As the UK’s Supervisory Authority, the
a position of power over the individual it may be Information Commissioner (ICO), states: “Any
difficult for you to be able to show that the con- requirement to get consent to the medical treat-
sent has been freely given. ment itself does not mean that there is a require-
ment to get GDPR consent to associated pro-
Consent is not necessarily the only legal basis cessing of personal data, and other lawful bases
for processing personal health data, in particular are likely to be more appropriate. In the health-
those of patients, under the GDPR. A valid lawful care context consent is often not the appropriate
basis in order to process personal data is always lawful basis under the GPDR.” Besides, the ICO
required but consent is only one of the lawful points out that “assumed implied consent would
bases. There are various bases available - no sin- not meet the standard of a clear affirmative act
gle basis is ’better’ or more important than the – or qualify as explicit consent for special cat-
others. Which basis is most appropriate to use egory data, which includes health data. Instead,
will depend on the type of processing, the pur- healthcare providers should identify another law-
pose at hand and relationship with the individual. ful basis (for example the public task basis may
There are 10 of these in the GDPR itself, including be appropriate).”

67
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades

The rights of patients under the GDPR pliance and will be required to assist with audits.
Aside from that, the GDPR provides for a prior
written consent obligation, placing the control
There are numerous data subject rights un- over processor sub-contracting firmly with the
der the GDPR. For example, patients are entitled data controller.
to have personal data rectified if it is inaccurate
or incomplete. In addition, if personal data was For healthcare companies this means that the
transferred to third parties, that third party must relationships with the numerous services providers
be informed of the rectification where possib- need to be reviewed and agreements amended.
le. Aside from that, a company shall also inform Before doing so, however, healthcare companies
the patients about the third parties to whom the should have a closer look at the role and rela-
data was disclosed where appropriate. tionship with each of their business partners. There
may be good reason to qualify an agreement as
With regard to medical opinions, something else a data processing. The Article 29 Data Protection
may apply. As the ICO describes: “It is often im- Working Party, the predecessor of the EDPB, ex-
possible to conclude with certainty, perhaps until plained in its Opinion 1/2010 the concepts of “con-
time has passed or tests have been done, whether troller” and “processor” and mentioned that there
a patient is suffering from a particular condition. may be various situations when data controllers are
An initial diagnosis (or informed opinion) may acting together. This may lead in some circumstan-
prove to be incorrect after more extensive exami- ces to joint and several liabilities, but this is not ne-
nation or further tests. Individuals may want the cessarily a rule. Nonetheless, the concept of joint
initial diagnosis to be deleted on the grounds that controllers under the GDPR, in contrast to a dis-
it was, or proved to be, inaccurate. However, if the tinction between controllers and processors, has
patient’s records accurately reflect the doctor’s not been seen thus far as particularly controversial
diagnosis at the time, the records are not inaccu- nor widely discussed. The European Court of Jus-
rate, because they accurately reflect a particular tice (CJEU) ruled recently in the Facebook Fanpa-
doctor’s opinion at a particular time. Moreover, ges case about the criteria for joint controllers. The
the record of the doctor’s initial diagnosis may findings of that rulings will have effect also outsi-
help those treating the patient later.” de the AdTech space. Recent regulatory guidance
for the health sector issued in some member sta-
Another right of patients is have their perso- tes points to the supervisory authorities’ view that
nal data deleted. However, this right applies only some relationships are rather qualified as separate
when there is no reason for its continued proces- or joint controllership, and not processors. Health-
sing. In the healthcare sector, this means that de- Tech companies will need to pay attention to the
letion requests will have to be assessed on their developments in this regard.
own merits. This being said, healthcare providers,
for example, will likely have a very good reason
for processing much of the personal data they Transfers outside the EU
hold for the purposes of providing medical care.

If data is being transferred to countries outsi-


GDPR and the role of processors vs. de the European Union (EU) which are conside-
controllers red “third countries”, additional measures must
in principle be taken to guarantee a comparably
high level of data protection. The GDPR provides
One focus of the GDPR is placing more em- for a number of options. From a practical pers-
phasis on the role and responsibilities of data pective, the most common is the execution of the
processors. Under the GDPR, processors are so-called standard contract clauses, a template
subject to new compliance requirements and to agreement issued by the European Commission
sanctions for non-compliance. Processor have (a.k.a. EC Model Clauses). This template shall not
more responsibilities. For example, a processor be modified and can usually be attached to ano-
has to assist the controller in determining which ther agreement. It is a relatively easy way of safe-
security measures are appropriate. In addition, a guarding third country data transfers. Currently,
processor needs to provide information to the however, the EC Model Clauses are under revi-
controller necessary for demonstrating com- sion and will also be securitized by the CJEU due

68
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades

to a pending case that involves their application a group of public authorities or bodies, taking into
to EU-US data transfer. account their organisational structure and size.

Data Protection Impact Assessment GDPR, Enforcement and Fines

An essential requirement of the GPDR is the ins- A lot of discussion has been around the enfor-
trument of the so-called Data Protection Impact cement of the GDPR and related fines. The GDPR
Assessment (DPIA). The DPIA is a new concept imposes stiff fines on data controllers and pro-
of the “risk-based approach” under data protec- cessors for non-compliance. The lower level is at
tion laws. Especially in the case of processing of fines of up to €10 million, or 2% of the worldwide
personal data where there is a high risk for the annual revenue of the prior financial year, whi-
data subjects, a DPIA should ensure that measu- chever is higher, while the higher level is at fines
res have been implemented which mitigate this of up to €20 million, or 4% of the worldwide an-
risk. As the Data Protection Authority of Bavaria nual revenue of the prior financial year, whiche-
for the Private Sector explains: “The risk-based ver is higher. The higher level shall be issued for
approach of the GDPR provides a selection of
infringements of, inter alia, the basic principles
the “correct” (i.e. effective and suitable) technical
for processing, including conditions for consent
and organizational measures for the protection
of personal data. In everyday life, this means that or data subjects’ rights. This means that it can ea-
entities responsible can reduce or contain risks sily happen to result in a non-compliance which
for the rights and freedoms of individual persons qualifies for the higher level.
(e.g. customers, users, employees) by selecting
Fines are issued by individual member state
suitable measures. The necessity of a technical
supervisory authorities and are subject to 10 cri-
or organisational measure thus depends on the
“risk level”, i.e. on the amount of possible damage teria to determine the amount of the fine on a
to the person in question if the risk occurs during non-compliant company:
the processing of personal data.”  Nature of infringement: number of people af-
fected, damaged they suffered, duration of in-
Appointment of a DPO fringement, and purpose of processing;

 Intention: whether the infringement is inten-


Under the GDPR, a company must appoint a tional or negligent;
Data Protection Officer (DPO) if:  Mitigation: actions taken to mitigate damage
 it is a public authority (except for courts ac- to data subjects;
ting in their judicial capacity);  Preventative measures: how much technical
 the core activities include large scale regular and organizational preparation the firm had
and systematic monitoring of individuals; or previously implemented to prevent non-com-
pliance;
 the core activities include large scale proces-
sing of special categories of data (which in-  History: past relevant infringements, which
cludes information relating to an individual’s may be interpreted to include infringements
health). under the Data Protection Directive and not
just the GDPR, and past administrative correc-
This means organisations such as general or tive actions under the GDPR, from warnings
special medical practitioners and dental prac- to bans on processing and fines;
tices, other health practitioners and pharma-
cies, and particularly those that carry out public  Cooperation: how cooperative the firm has
healthcare work, will probably need to appoint been with the supervisory authority to reme-
a DPO. Furthermore, specific national legislation dy the infringement;
may impose further appointment requirements.  Data type: what types of data the infringe-
Companies from the healthcare sector may ment impacts; see special categories of per-
appoint a single data protection officer to act for sonal data;

69
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades

 Notification: whether the infringement was At the end of the day, companies from the
proactively reported to the supervisory au- healthcare and life science sector should also be
thority by the firm itself or a third party; aware of the reputational damage and bad PR
that any enforcement, even one without fines,
 Certification: whether the firm had qualified has. Currently, the media attention of GDPR en-
under approved certifications or adhered to forcement against companies is high. Patients
approved codes of conduct; and who feel that their data is not being treated with
diligence will turn away from providers that have
 Other: other aggravating or mitigating factors a bad reputation.
may include financial impact on the firm from
the infringement.
GDPR, Artificial Intelligence and
This means that there is some level of dis-
cretion for the supervisory authorities. So far, it
Healthcare
can be said that the practice amongst supervi-
sory authorities differs significantly. For example,
Data accuracy, security and integrity are cru-
France’s Commission Nationale de l’Informatique
cial for patient outcomes, and a legal obligation
et des Libertés (CNIL) delivered the highest fine
under the GDPR. The latter in particular may not
when it levied against Google a sanction of USD
57 million for allegedly not having conformed always be compatible with the accelerated ad-
properly to various GDPR requirements. The vancement of medicine. Or rather, the challen-
German Supervisory Authorities have issued a ge is to make it so. If practitioners, patients and
total of 41 fines but the highest reported fine was researchers are to benefit from the dividends of
only EUR 80.000. health data, then safe and stable spaces need to
be developed in which this work can take place.
The highest fine for a company from the heal- The question is: Is there a conflict between data
thcare sector was issued in Portugal against the protection regulations on the one hand and Big
Centro Hospitalar Barreiro Montijo and resulted in Data and Artificial Intelligence (AI) on the other,
EUR 400.000. The Supervisory Authority, the Co- given that software based on such algorithms is
missão Nacional de Protecção de Dados (CNPD), making its way into the health care sector?
found that there were three violations of the GDPR.
The violation of the data minimization principle,
by allowing indiscriminate access to an excessive The application of AI in the
number of users, and the basic principles, as well healthcare sector
as the violation of the integrity and confidentiali-
ty as a result of non-application of technical and
organizational measures to prevent unlawful ac- AI, machine learning (an application of AI), and
cess to personal data were subject to a fine of EUR big data, are used in a wide range of applications
150.000. For the incapacity of the hospital to ensu- in hospitals. For example, cognitive computer
re the continued confidentiality, integrity, availabili- systems are used to facilitate repetitive proces-
ty and resilience of treatment systems and services ses and to create sample analyses in the context
as well as the non-implementation of the technical of radiological diagnostics. Where a learning or
and organizational measures to ensure a level of
predictive function is added, then we are into the
security adequate to the risk were subject to a fine
realms of AI.
of EUR 100.000 by the CNPD.
Other examples are the Deep Learning Model
Not all GDPR infringements lead to fines. Su-
pervisory authorities have the scope to take a of Stanford University and Google Brain. These
range of other actions, such as: tools are used to determine the most probable
time of death of seriously ill patients and the best
 Issuing warnings and reprimands; treatments as a result, including enabling patien-
ts to be transferred to palliative care in good time
 Imposing a temporary or permanent ban on in order to give them a dignified farewell.
data processing;
Surgical robots or other robotic-based sys-
 Ordering the rectification, restriction or erasu- tems are another field of application. Some belie-
re of data; and
ve that medical robots will be indispensable for
 Suspending data transfers to third countries. high-precision surgical treatments in the future.

70
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades

They have the potential to improve post-opera- in question here. Data collected for a specific
tive rehabilitation and to provide highly efficient purpose can generally only be used for this pur-
logistical support in clinics. There is no doubt pose. However, if a software solution is suppo-
that as machine learning and AI become more sed to make predictions for the future based on
sophisticated, the use of robots in the context of self-learning functions and derives further steps
treatment will only increase. from them, data could conceivably end up used
for a different purpose to the one for which it was
The use of AI (which for ease, we will take to originally collected. Steps must be taken to ensu-
include machine leaning) in the healthcare sector re this does not happen before the individual has
is the cause of some alarm among patients who given consent unless there are other grounds for
are concerned about privacy and accuracy. Sof- processing the data or the new purpose is com-
tware-based treatment options in which the un- patible with the original purpose.
derlying assessment is only partially made by a
doctor, are a particular focus of scepticism. This
is hardly surprising, as on the one hand very sen- Right of access
sitive data is processed and, on the other, machi-
nes are entering into an area that was previously
only occupied by humans. The right of access by individuals to their per-
sonal data under the GDPR may be asserted at
At least on the privacy side, patients should any time. For hospitals using AI solutions, this
find comfort in the fact data protection law not means that they must be able to provide infor-
only places specific requirements on software mation about the patient’s personal data at any
-based systems in hospitals, it also lays down ge- time upon request. A data management system
neral guidelines, which must be observed in the to enable prompt response to subject access re-
context of big data and AI. Particularly relevant quests will be essential.
(but not exhaustive) aspects include:
Withdrawal of consent
Right to erasure
In order to be a valid GDPR consent, the data
Another principle of data protection law is subject must be able to withdraw it at any time
that personal data must be deleted once it is without detriment. The Article 29 Working Party
no longer required for the purposes for which it (now the European Data Protection Board) no-
was collected, unless it is subject to special re- ted specifically in its consent guidelines that this
tention obligations. The GDPR places a focus on makes the use of consent as a lawful basis unsui-
the retention issue by giving individuals the ri- table in circumstances where, for example, data
ght to have their data erased under a variety of is being used for medical research.
circumstances (including where consent is with-
drawn – see below). With big data applications,
this right can lead to complications, since the
very purpose of data analysis is to access a large
amount of information in order to derive corres-
ponding results on this basis. An optimal solution
would be to anonymise the data but this is not
Sobre o autor
always possible. Whatever decision is taken, it
must be possible for a data controller of AI-ge- Thanos Rammos has worked as a
nerated health personal data, to be able to give lawyer for Taylor Wessing since 2011
effect to any lawful erasure requests. and specialises on data protection law.
He advises particularly HealthTech
companies from the Life Science and
Purpose limitation
Healthcare industry. He frequently deals
with the implementation of GDPR and
Purpose limitation is another important as- with a number of other topics such as
pect that poses challenges for the applications negotiating IT agreements, advising on A.I.
related topics and working with in-house
Legal and Business Teams of clients to
achieve practicable solutions.“
71
O Gestor de Saúde e a Mudança

T
eseu é o herói e um dos mitos-fundadores
da Atenas clássica. Nascido há quase três
milênios, rei, guerreiro, conquistador até
contra seres mitológicos, a história de Teseu
pode parecer, talvez, o ponto de partida mais
distante possível para abordar desafios de um
gestor da saúde frente à nova Lei Geral de Pro-
teção de Dados Pessoais (LGPD). Um olhar para
o futuro, porém, é sempre especulativo e o pas- “Ninguém se banha no
sado pode nos trazer lições valiosas para enten-
dermos o que há por vir. mesmo rio duas vezes.”
Conta-se, portanto, que o povo ateniense Heráclito de Éfeso
preservou o navio no qual Teseu voltou de Cre-
ta após um de seus feitos heroicos - derrotar o
Minotauro. Os atenienses tinham prometido ao
deus Apolo uma cerimônia anual em sua home-
nagem se a missão de Teseu fosse um sucesso,
e passaram a usar o navio do heroico rei para
navegar até o santuário na ilha de Delos, todos
os anos, para cumprir a promessa.

O navio precisava, portanto, ser mantido em


estado navegável ao longo dos séculos. O sol e e big data viraram linguagem corrente entre os
o mar, porém, apodreciam a madeira, e as peças executivos da saúde e ocupam uma parte signi-
do navio precisavam ser periodicamente troca- ficativa de suas atividades ao longo de cada dia.
das. Assim, tábua a tábua, remo a remo, cada pe-
daço do navio foi gradativamente substituído, de Da mesma forma que o navio de Teseu pre-
forma que não restou nenhuma parte que fosse cisou de peças novas para continuar a navegar,
pertencente ao navio original. O fato é que essa para continuarem a ser capazes de gerir institui-
renovação constante é fundamental para manter ções que atendem os pacientes de forma ade-
o navio flutuando. O navio que não trocasse as quada, gestores de saúde precisam se renovar –
suas peças deixaria, em algum momento, de ser e ainda que a atividade futura tenha muito pouco
navio e viraria naufrágio. a ver com a passada, é a finalidade da atuação
do gestor que deve definir as ferramentas que
Surge, então, a pergunta: aquele ainda é o na- são utilizadas e não as ferramentas à mão que
vio de Teseu? Se não sobrou nada do navio origi- devem ditar a finalidade. Para o gestor da saúde,
nal, ainda pode ser considerado o mesmo navio? a finalidade é quase sempre a mesma – oferecer
E se guardarmos as peças antigas à medida em a assistência pertinente, com a melhor qualida-
que são retiradas, e reconstruirmos o navio com de, da forma mais eficiente possível, com a me-
elas – qual dos dois navios resultantes será o na- lhor experiência de cuidado tanto para pacientes
vio de Teseu? quanto para colaboradores. As ferramentas, po-
Quem atua em um setor com mudanças tão rém, mudam radicalmente com o tempo.
constantes quanto a saúde pode passar por re- Nada mais natural. À medida em que as neces-
flexões semelhantes. Qual é, de fato, a essência sidades dos pacientes se transformam e à medi-
de um gestor da saúde? O gestor da saúde viu da em que as capacidades do setor de saúde de
as suas atribuições paulatinamente serem muda- cuidar adequadamente desses pacientes aumen-
das ao longo dos anos – por outras novas e mais tam, a natureza da atividade de gestão também
complexas. Termos que, há duas ou três déca- se altera. Mas executivos não são navios e adqui-
das, eram absolutamente desconhecidos no se- rir novas competências requer um esforço maior
tor, como compliance, lean management, hackers do que simplesmente trocar uma peça.

74
O Gestor de Saúde e a Mudança

É preciso, em primeiro lugar, conscientizar- compliance legal. Embora, como em quase toda
se das novas realidades que se apresentam. No Lei, haja pontos controversos na LGPD, é indis-
caso específico da LGPD, esta realidade é que cutível que a utilização responsável dos dados é
os dados dos pacientes são uma extensão dele uma demanda cada vez mais presente na socie-
próprio, e merecem tanto respeito e cuidado no dade e que esta demanda apenas viu-se refletida
trato quanto o paciente em si. Essa mudança de na Lei. A LGPD não nasceu de um capricho le-
perspectiva é fundamental para o gestor priori- gislativo, nem é um documento completamente
zar a estrutura de tecnologia de informação e as alheio à realidade social, mas uma efetiva e cres-
atividades de gestão de processos, de capaci- cente demanda dos cidadãos e pacientes em um
tação da equipe e de segurança da informação momento histórico em que os dados pessoais
que são necessárias a uma gestão adequada dos começam a ser coletados em grande volume e
dados em uma instituição. Assim como nenhum utilizados para fins cada vez mais diversos.
gestor da saúde assistiria impassível o desenrolar
de um processo que potencialmente ameaça a Assim, a proteção adequada dos dados do pa-
segurança do paciente, tampouco deve ele ter ciente torna-se mais do que uma demanda ex-
uma postura passiva em relação a ameaças à se- clusivamente de compliance, mas torna-se uma
gurança de dados do paciente. obrigação ética, uma chance de estabelecer, des-
de o começo, uma relação de confiança e trans-
A Lei e as suas penalidades, afinal, impõem parência com os clientes e, especialmente, uma
sérios riscos às instituições de saúde, e as orga- oportunidade para repensar o fluxo de informa-
nizações que não tomarem as atitudes necessá- ções dentro das instituições, para além da estrita
rias para a adequação certamente sofrerão sé- proteção aos dados pessoais dos pacientes.
rias consequências tanto em termos financeiros
quanto em termos de imagem. Garantir que os tomadores de decisão em uma
organização tenham à sua disposição as infor-
A conscientização do gestor sobre a nova im- mações de que precisam, no momento em que
portância que os dados dos pacientes adquiri- precisam é fundamental, assim como garantir
ram, sob uma perspectiva de gestão, porém, não que informações desnecessárias não cheguem
pode ocorrer apenas sob um ponto de vista de onde não precisam estar – para não correr o ris-

75
O Gestor de Saúde e a Mudança

co de o ruído das informações supérfluas tornar- preparadas e empoderadas para proteger da-
se mais alto do que a música das informações dos pessoais também podem ser preparadas
importantes. para uma atuação transversal nas organizações
de saúde, reunindo capacidades técnicas e ge-
Em momentos como o atual, de demandas renciais que lhes permitam facilitar e otimizar a
instantâneas e diversas sobre a atenção do ges- comunicação com os pacientes e entre os profis-
tor, a discussão sobre a LGPD permite ao gestor sionais da própria instituição.
uma oportunidade de refletir sobre quem, quan-
do, onde e em que condições deve ter acesso a A Joint Commission estima que falhas na co-
quais informações em uma instituição – e como municação, especialmente entre as diferentes
essa informação entra e sai da instituição. equipes assistenciais em trocas de turno, con-
tribuem para 80% dos casos de erros médicos
De nada adianta conscientizar-se, porém, se o graves. Assim, uma visão estratégica do gestor
gestor não se munir das ferramentas de que pre- sobre o tema da gestão de informações pode ter
cisa para cuidar adequadamente dos dados do profundos impactos em outros aspectos, tanto
paciente. E cabe aqui, ao gestor, uma generosa clínicos quanto administrativos.
dose de humildade. Embora a consciência sobre
a importância do tema de proteção de dados seja A LGPD é, portanto, nada mais do que um dos
um dever do gestor, aqueles que lidam com a indícios de uma transformação digital mais pro-
saúde sabem da imensa complexidade das insti- funda que está chegando à saúde. Essa transfor-
tuições desse setor. Adicionar ao já amplo escopo mação é baseada em dados – nas capacidades
de deveres do gestor da saúde a obrigação de de coleta, armazenamento, análise e ação com
conhecer os meandros legais da LGPD, e detalhes base nesses dados, em uma escala inteiramen-
técnicos chaves públicas e privadas de criptogra- te nova, com apoio de uma infinidade de dispo-
fia, blockchains, firewalls, certificados digitais e sitivos e sensores distribuídos e integrados em
tantas outras tecnologias relacionadas à proteção redes de comunicação (a internet das coisas) e
de dados, seria uma impossibilidade prática. de inteligência artificial capaz de fazer sentido
dessa imensa massa de informação. O uso res-
As ferramentas adequadas, portanto, neces-
ponsável desses dados é só o primeiro passo no
sariamente virão de terceiros – colaboradores
preparo para esses novos tempos.
e fornecedores que serão responsáveis pela es-
truturação da proteção dos dados dentro das Para os gestores da saúde que ainda não en-
organizações. Se as atividades destes terceiros traram plenamente nessa jornada, a adequação à
ganham nova importância e se podem trazer Lei pode ser o ponto de partida para o desenho
consequências mais gravosas às instituições, é de uma estratégia digital efetiva para a sua ins-
responsabilidade do gestor compreender que tituição. O fato é que a mudança é inexorável e
o cuidado na seleção e capacitação desses pro- necessária. A transformação digital será tão pro-
fissionais e parceiros precisa ser aumentado. As funda que alterará fundamentalmente a forma
boas práticas de governança necessariamente pela qual os serviços de saúde serão prestados.
impõem que o poder deve ser distribuído nas
instituições de acordo com as responsabilidades. Boa parte da atividade da atenção à saúde so-
De pouco adianta reconhecer a importância da frerá disrupção e terá o destino das lojas de re-
proteção dos dados pessoais e não empoderar velação de filme fotográfico, da indústria de dis-
as pessoas responsáveis por protegê-los. cos e das assistências técnicas de máquinas de
escrever. Para o gestor da saúde, é fundamental
Cada vez mais, na saúde, departamentos de TI saber de onde essa disrupção virá, e poder orien-
e atividades correlatas saem da posição de mera tar a sua estratégia de negócio de acordo.
atividade de apoio e passam a ser fundamentais
na estratégia organizacional e na própria sus- Mesmo a parte que não sofrer disrupção, po-
tentabilidade de longo prazo das organizações rém, será profundamente afetada. Medicina de
de saúde. E, também aí, novas oportunidades precisão e personalizada transformarão as enti-
podem ser encontradas. Estruturas e equipes dades de saúde em instituições cada vez mais

76
O Gestor de Saúde e a Mudança

eficazes e seguras – e cada vez mais capazes de


transpor os próprios muros e de levar atenção
aos pacientes antes que um caso agudo acon-
teça, bem como, se acontecer, mais capazes de
acompanhá-lo depois do fato. Mais dados tam-
bém vão aumentar a transparência e tornar cada
vez mais possível aos pacientes a comparação
entre diferentes instituições, empresas e profis-
sionais.

Cabe aos gestores a assumir a liderança des-


se processo nas suas instituições. De fato, quem
não liderar a transformação digital, será liderado
por ela. Toda transformação, porém, gera resis-
tências e afeta interesses estabelecidos. Na com-
plexidade da saúde, isto é ainda mais visível. São
14 as profissões regulamentadas no setor – e to-
das elas precisam trabalhar juntas em prol do pa-
ciente, muitas vezes todas na mesma instituição.
A gestão da mudança costuma ser um dos maio-
res desafios para qualquer gestor: junto com as
hard skills da gestão de projetos e financeira – e
do conhecimento transformação digital, o gestor
precisará cada vez mais das soft skills – persua-
são, diplomacia, comunicação e habilidades polí-
ticas para liderar esse processo.

As restrições para o avanço, mais frequente-


mente, não são restrições tecnológicas. Todas
as tecnologias para uma adequação à LGPD, por
exemplo, existem há anos. Neste sentido, são as Sobre o autor
competências dos gestores e sua capacidade
de priorizar adequadamente o tema nas institui- Luiz Felipe Costamilan é formado em
ções; de escolher, capacitar e engajar pessoas da administração pela PUC-Rio e, desde
forma correta e de estruturar a governança de abril de 2018 é CEO do CBEXs. Antes,
forma a empoderá-las a serem resolutivas que foi Diretor de Relações Institucionais
efetivamente diferenciará os gestores e as insti- da Associação Nacional de Hospitais
tuições de saúde. Privados - Anahp, onde participou
ativamente das discussões sobre
E desta maneira, pouco a pouco, as institui- qualidade e modelos de assistência e
ções de saúde vão se transformando. Da mesma remuneração no âmbito das Agências
maneira que aqueles que entram em um hospital Reguladoras e do Poder Legislativo e
de hoje pouco veem em comum com as “casas conduziu o projeto sobre mensuração
de bem-morrer” da idade média, o gestor de saú- de desfechos assistenciais em parceria
de de hoje pouco terá em comum com aquele com o ICHOM. Luiz Felipe foi também
do futuro. O destino do gestor de saúde, porém, conselheiro do Conselho Nacional
lembra a frase do romance de Tomasi de Lampe- de Saúde e é profissional certificado
dusa, em “O Leopardo”: “Se queremos que tudo em auditoria interna pela norma ISO
permaneça como está, é preciso que tudo mude”. 9001:2015 e em Compliance na Saúde
Se o gestor de saúde quer permanecer relevante pelo CBEXs. É, também, membro do
e permanecer capaz de ajudar os seus pacientes, ComSaúde da Federação das Indústrias
é preciso mudar com os novos tempos. do Estado de São Paulo - FIESP.

77
Os impactos da LGPD na experiência do cliente

A
partir de agosto de 2020, empresas de O consumidor de hoje exige experiências mais
todos os portes e segmentos precisarão autênticas e muitas empresas estão atentas à
garantir que seus stakeholders estejam essa tendência. A Document Strategy, por exem-
cientes de maneira formal a forma e as finali- plo, mapeou que 64% dos provedores globais de
dades da coleta de suas informações pessoais. serviços veem as comunicações com os clientes
As companhias também devem garantir a essas e a experiência do consumidor associada a co-
pessoas o direito de saber quem terá acesso aos municações personalizadas como uma das mais
dados, como eles serão armazenados e se have- importantes tendências de negócios na atualida-
rá compartilhamento das informações. A exigên- de. Além disso, 84% das organizações que traba-
cia passa a vigorar em virtude da nova Lei Geral lham ativamente para melhorar a experiência do
de Proteção de Dados, também conhecida pela cliente, criam relacionamentos individuais me-
sigla LGPD.
lhores e registram crescimento de receita.
Embora haja muito alarde em torno deste
As táticas de comunicação com o cliente po-
tema, acreditamos que as organizações podem
dem ser divididas em duas categorias. A primei-
se beneficiar da nova regulamentação, que tra-
ra é a estratégia de push (empurrar), realizada
rá mais segurança aos cidadãos, padronizando
por meio de envio de e-mail, SMS ou correspon-
processos e impondo penalidades a quem des-
cumprir as regras. Ao nosso ver, ainda que seja dência física. A segunda, conhecida como pull
de uma forma impositiva, a conformidade cria (puxar), refere-se à ação de motivar os clientes
oportunidade para que as empresas passem a a buscarem as marcas por conta própria, uma
ter dados mais qualitativos, tendo em vista que tendência que, curiosamente, pode ter a LGPD
a base será composta apenas por pessoas que como uma catalisadora. Isso se explica pelo fato
efetivamente demonstraram interesse em man- de que, olhando para o segundo semestre de
ter relacionamento com a organização. Com isso, 2020, as instituições precisarão adotar novos
será possível engajar e fidelizar clientes por meio métodos de personalização nas comunicações
de contatos mais transparentes, personalizados para encorajar novos clientes e os existentes a
e eficazes, otimizando a experiência do cliente dar seu consentimento para o uso de suas infor-
no contato com a marca. mações e preferências.

80
Os impactos da LGPD na experiência do cliente

De acordo com material divulgado pela Qui- A LGPD determina que as empresas informem
cksprout, 78% dos clientes têm mais probabili- o prazo e a finalidade para manipulação dessas
dade de se envolver com uma empresa quando informações. Também possibilita que o titular
sabem que terão o controle sobre como a orga- expresse o desejo de não querer mais que seus
nização se comunica com ele. Dessa forma, não dados sejam tratados ou que a autoridade na-
é difícil de concluir que incentivar a confiança do cional determine o encerramento do processo.
consumidor por meio de ações de atração é uma
Por outro lado, a lei prevê também algumas ex-
tática muito eficaz para escalonar as comunica-
ções. Com o limite para opt-ins e personalização ceções para que as empresas possam continuar
em ascensão na Era da LGPD, as empresas pre- o tratamento de dados por prazo indeterminado.
cisarão repensar toda a forma de abordagem. São quatro os casos: quando o controlador pre-
Como resultado, veremos as táticas de atração cisa cumprir alguma obrigação legal e, para tal,
à frente das estruturas de comunicação das em- precise tratar esses dados; no caso de estudos
presas. Graças a esse desejo do cliente de ter por órgão de pesquisa que garanta a anonimiza-
maior controle sobre como as empresas se co- ção das informações; em caso de transferência a
municam com ele, as organizações podem en- terceiros; e para o uso exclusivo do controlador,
tender a LGPD como um impulso para elevar a desde que os dados sejam anonimizados.
confiança e o engajamento do cliente.
Também é importante destacar que a Lei Geral
de Proteção de Dados se baseia em 10 princípios:
Overview da LGPD
1. Finalidade - Dados coletados só podem ser
As regras da LGPD são válidas para todos tratados para fins legítimos e especificados aos
aqueles que utilizam dados pessoais e sensíveis titulares, ou seja, as empresas não podem coletar
de pessoas naturais coletados no território na- informações e, depois, usá-las para outros fins.
cional, tratados no território nacional, ou tenham Por exemplo, o hospital diz que vai utilizar um
como objeto o fornecimento de bens ou serviços dado para fins de internação do paciente e de-
no território nacional, no ambiente online ou of- pois utiliza a informação para compor uma pes-
fline, realizadas por pessoas físicas ou jurídicas, quisa que será divulgada na imprensa.
de direito público ou privado. Do grupo de infor-
2. Adequação - O tratamento dos dados deve
mações a serem fiscalizados, fazem parte todas
ser compatível com a finalidade que foi informada
aquelas que permitam, de alguma forma, identifi-
para o usuário. Ou seja, a empresa não pode usar
car a qual pessoa os dados se referem. Isso quer
os dados dos clientes para qualquer fim que não
dizer que é improvável descobrir o nome de um
tenha sido previamente informado. Por exemplo,
indivíduo pela cor do cabelo, mas ao fazer o cru-
se o paciente manifestou o desejo de ser acessa-
zamento da característica com o endereço ou a
do apenas por e-mail, ele não pode receber liga-
filiação, é possível chegar à identidade da pessoa
ções ou mensagens de texto da instituição.
ou bem próximo a ela. A LGPD estará atenta a
esses casos. 3. Necessidade - Os dados devem ter o uso li-
mitado ao necessário para o alcance de objetivos
Pela lei, os envolvidos dividem-se em três gru-
pré-estabelecidos. Ou seja, as empresas devem
pos: os controladores, que são as empresas de- coletar apenas aquelas informações estritamente
tentoras dos dados e a quem compete as deci- necessárias para prestação dos seus serviços. Por
sões de como as informações serão tratadas; os exemplo, caso o objetivo seja disparar e-mails, é
operadores, organizações responsáveis por pro- desnecessário solicitar o número do telefone ou
cessar e tratar os dados em nome do controlador; endereço do paciente.
e os titulares, que são os indivíduos a quem as
informações pertencem. A fiscalização será em 4. Livre acesso - Os titulares dos dados devem
torno de dados, como nome, data de nascimen- sempre ter acesso fácil e gratuito às suas infor-
to, profissão, localização, identificação digital, mações, além de serem informados sobre como
nacionalidade, preferências, interesses, hábitos essas informações serão utilizadas e qual será a
de consumo, origem racial ou étnica, orientação duração desse processo. Por exemplo, um pa-
religiosa, política e filosófica e dados de saúde, ciente cadastrado em uma base de dados há seis
genético ou biométrico, login via redes sociais, meses, pode decidir revisar as informações ou
RG, CPF, número do cartão de crédito, senhas, excluir dados que não queira mais compartilhar
endereço, e-mail e telefones, entre outros. com a organização.

81
Os impactos da LGPD na experiência do cliente

5. Qualidade dos dados - Princípio que ga- Não tenha dúvida sobre a
rante aos titulares que seus dados serão exatos, importância da LGPD
terão informações claras, relevantes e atualiza-
das para tratamento. Por exemplo, se o pacien-
te, cadastrado em uma base de dados há algum Quando uma empresa estabelece contato com
tempo, notou que as informações estão desa- diferentes stakeholders, essas pessoas fornecem
tualizadas, poderá solicitar alteração a qualquer seus dados pessoais. Então, preserve essa rela-
momento. ção de confiança. O vazamento dos dados ou
uso inadequados deles podem, em alguns casos,
6. Transparência - Garante aos usuários infor- gerar danos irreparáveis aos envolvidos. Somen-
mações claras e de fácil acesso sobre o tratamen- te isso já é um forte argumento para se tornar um
to de seus dados e quem são os responsáveis adepto da LGPD.
por tratá-los. Por exemplo, ao receber um SMS
de um hospital falando sobre uma nova unidade A nova lei dará segurança jurídica às pessoas,
de atendimento na região onde mora, o paciente enquanto gradativamente irá extinguir as prá-
pode questionar o motivo para que tenha recebi- ticas ilegais com relação ao uso de dados dos
cidadãos, como o cookie pool e a venda de lista
do essa mensagem e qual critério utilizaram para
de dados. A ideia é que, com o tempo, o Brasil
selecioná-lo.
possa ser visto como referência na segurança de
7. Segurança - As empresas que tratam de da- dados e, assim, atrair parcerias internacionais de
dos devem adotar medidas para proteger as in- países que também prezam pelas boas práticas
relacionadas aos dados dos cidadãos.
formações de acessos não autorizados, eventos
acidentais, alteração, perda, comunicação ou com-
partilhamento irregular. Por exemplo, o paciente Não adquira qualquer dado sem
informou o número do seu CPF ou Seguro de Saú- consentimento ou sem a correta
de para realizar um procedimento. É responsabili-
dade da empresa proteger esses dados para que
relação entre coleta e finalidade
esse usuário não seja prejudicado por fraudes.

8. Prevenção - É importante adotar medidas A LGPD exige que o consentimento para o


para prevenir a ocorrência de danos no trata- uso de dados pessoais ou recebimento de con-
mento das informações. Em caso de invasão ao teúdos, promoções e informações seja fornecido
sistema em que os dados estão armazenados, por meio de formulário físico ou eletrônico, que
por exemplo, a empresa detentora de dados de pode ser um canal de opt-in, check-box ou outro
cidadãos brasileiros será responsabilizada por da preferência da companhia. Mas, é fundamen-
qualquer uso indevido das informações que es- tal poder comprovar esse “ok” em caso de fis-
tavam em seu poder. calização. Vale ressaltar, que é considerada falta
grave ações que induzam a pessoa ao consenti-
9. Não discriminação - Os dados não podem mento ou que sejam caracterizadas como coa-
ser utilizados para a promoção de ações ilícitas, ção. Deve-se prezar pelo livre direito de escolha
discriminatórias ou abusivas. Por exemplo, o ta- do cidadão.
belamento do mesmo serviço por preços dife-
As organizações devem ficar atentas, também
rentes, considerando a região de residência do
para não cometer outras três falhas:
cliente, que foi identificada no banco de dados, é
uma prática considerada inadequada.  Formulário de consentimento com frases ge-
néricas - Não será aceita pela LGPD frases
10. Responsabilização e prestação de con- que digam algo, como “autorizo o livre uso de
tas - As organizações são responsáveis pelos da- meus dados de saúde para fins de pesquisa”.
dos que detém e, por essa razão, têm o dever de É preciso informar qual será a pesquisa, a que
informar quando terceiriza o tratamento das in- se destina, a quem beneficiará, quais pessoas
formações, bem como identificar o encarregado terão acesso aos dados, quando e como será
pela tarefa, além de apresentar relatórios de im- divulgada, entre outros detalhes.
pacto de privacidade quando solicitado pela Au-
toridade Nacional de Proteção de Dados. Dessa  Impedir que o cliente peça a exclusão de seus
forma, a empresa deve a possuir documentação dados da lista - Opte por criar um mecanis-
que comprove a regularidade do processo, em mo que facilite o descadastramento do cliente
concordância com a lei. da base de dados, em uma ação simples, sem

82
Os impactos da LGPD na experiência do cliente

burocracias e com a garantia de atendimento Setor de saúde, um dos mais


imediato à solicitação.
sensíveis
 Ocultar do cliente informações sobre mu-
danças nos processos - É direito do cliente
ser informado sobre qualquer mudança nos Em geral, a área mais sensível da vida das pes-
processos de coleta, tratamento ou armaze- soas é a saúde. Isso faz com que, nas instalações
namento dos dados. Inclusive, neste caso, é de clínicas, hospitais e laboratórios, qualquer ex-
importante reforçar a ele a possibilidade de posição de informações sobre os pacientes se-
solicitar o descadastro da base de dados, jam cuidadosamente planejadas. Esse cuidado
caso não concorde com algo da nova política. deve ser redobrado com a chegada da LGPD. A
Dessa forma, dedique atenção para estrutu- orientação diz respeito, por exemplo, a placas de
rar as práticas de adequação à LGPD e, para identificação na porta do quarto ou na cabecei-
evitar ferir as normas da lei, só faça alterações ra e pés do leito. Há também a necessidade de
nos processos caso elas sejam fundamentais maior fiscalização quanto a dados do prontuário
para o negócio. físicos ou virtuais para que não haja ações que
caracterizem vazamento de dados. Algumas me-
Atenção especial aos dados de didas preventivas são importantes:
jovens  Só exponha ou utilize informações do pacien-
te nas instalações da organização caso tenha
No contato com crianças e adolescentes (me- autorização formal dele;
nores de 18 anos), a LGPD exige um cuidado ex-
 Treine a equipe com relação à deveres, direi-
tra com relação à manipulação dos dados. As
tos e punições relacionadas à LGPD;
informações de membros desse público só po-
dem ser coletadas mediante a autorização dos  Mapeie, categorize e monitore as informações
respectivos responsáveis legais. É importante de pessoas que circulam na instituição;
lembrar, também, que a forma de comunicação
com o cliente deve considerar o perfil do público.  Invista em soluções de segurança dos dados
Isso quer dizer que, ao falar com uma criança ou coletados; e
jovem, não é permitido usar termos jurídicos ou
qualquer outra linguagem de difícil interpretação  Mantenha o constante monitoramento das
e compreensão. ações e revisão dos processos.

83
Os impactos da LGPD na experiência do cliente

Impactos em marketing e na A lei trará oportunidades. Entenda porquê:


experiência do cliente 1. Consentimento real - Com a LGPD, em al-
guns casos, mas não em todos, será preciso o
consentimento explícito para usar os dados de
Em virtude das exigências da LGPD, recomen-
um indivíduo. Além disso, os clientes também
damos que os profissionais de marketing e ex-
poderão questionar que tipo de informação a
periência do cliente fiquem atentos a três ações empresa detém sobre eles, com quem são com-
que certamente irão impactar na experiência do partilhadas e o propósito para o qual foram co-
cliente: letadas. Neste caso, a oportunidade está no fato
de que, no lugar de apenas perguntar se o cliente
1. Permissão de dados - Como a empresa ge-
quer ou não manter contato com a marca, a em-
rencia os opt-ins de e-mail? Não será mais permi-
presa poderá mapear mais dados da preferência
tido simplesmente supor que os clientes querem dele, como, por exemplo, meio e frequência de
ser acessados pela empresa. Com a LGPD, essas contato e conteúdo de interesse. Dessa forma,
pessoas precisarão expressar o consentimento além de estar em acordo com a LGPD, a organi-
de uma forma “livremente dada, específica, in- zação poderá segmentar e personalizar as ações
formada e inequívoca”, que é reforçada por uma de comunicação, melhorando a experiência do
“ação afirmativa clara”. Na prática, isso significa cliente.
que os leads, clientes e parceiros precisam regis-
trar o interesse de se relacionar com a empresa. 2. Direito de ser esquecido - Pela LGPD, cada
indivíduo tem o que é chamado de “direito de
Um ponto a ser observado é que a tática de op-
ser esquecido”. Se solicitado por um cliente, a
ções pré-marcadas nos formulários online para
empresa precisará remover todos os dados que
recebimento de newsletter, por exemplo, será
detiver dessa pessoa específica, em todos os ar-
considerada ilegal. quivos da organização. Caso mantenha os dados
2. Acesso de dados - A LGPD, além de oferecer armazenados em lugares diferentes para finali-
dades distintas, isso pode ser um problema. A
aos clientes a opção de obter mais controle so-
solução, neste caso, é ter uma única plataforma
bre como seus dados são coletados e utilizados,
de hospedagem. Centralizar os dados, como em
também dão a eles o poder de acessar e remover
um sistema de CRM – Customer Relationship Ma-
as informações quando desejarem. E, cabe aos nagement, ajudará a organização a acompanhar
profissionais responsáveis pela interação com o todas as permissões e garantir a conformidade
cliente facilitar essa ação. Uma alternativa mui- com a LGPD. Além disso, será possível oferecer
to eficaz é incluir, no e-mail marketing, um link aos clientes a oportunidade de ativar e desativar
de acesso ao perfil do usuário que está na base o consentimento, para fins diferentes. Isso, por
de dados da empresa. Assim, ele terá autonomia sua vez, garante a oportunidade de aprender
para gerenciar as próprias preferências. mais sobre o consumidor e, novamente, segmen-
tar as comunicações com assuntos relevantes.
3. Foco nos dados - A LGPD determina que
as organizações justifiquem legalmente a neces- 3. Transparência - Em geral, pessoas optam
sidade da coleta de cada dado, item a item. Por por fazer negócios com outros indivíduos ou or-
essa razão, visando otimizar tempo e trabalho, ganizações que conhecem, gostam e confiam. E,
priorize coletar apenas dados que serão efetiva- essa construção da confiança se fortalece quan-
mente utilizados. do há transparência na relação. Então, conside-
rando estes princípios, a recomendação é que as
empresas sejam claras ao dizerem quem são e
Oportunidade para os profissionais o que fazem. Especificamente com relação aos
de marketing e experiência do dados dos cidadãos, as organizações devem
cliente evidenciar a preocupação com o zelo pelas in-
formações. Um estudo realizado pela Harris Inte-
ractive revelou que 93% dos compradores online
Não pense que a LGPD causará um impacto citam a segurança de seus dados pessoais como
negativo na maneira como se faz negócios hoje. uma preocupação.

84
Os impactos da LGPD na experiência do cliente

Quem é mais afetado pela LGPD em disso, pesquisas mostram que a preocupação
marketing? com o uso de dados não é em vão. Veja:

 92% dos clientes online citam a segurança e


a privacidade dos dados como uma preocu-
Todos os membros das organizações devem
estar cientes sobre os direitos, deveres e penali- pação (fonte: Privacidade do Consumidor da
dades relacionadas à LGPD. Porém, em um depar- TRUSTe / NCSA);
tamento de marketing três profissionais precisa-
rão redobrar a atenção nas ações diárias. São eles:  57% dos consumidores não acreditam que as
marcas usem seus dados com responsabilida-
 Profissionais de marketing - Não compre mai- de (fonte: Chartered Institute of Marketing);
lings, ainda que os e-mails sejam vitais para
a área. Prefira sempre garantir que o cliente  90% das empresas acreditam que é muito
tenha real interesse em interagir com a or- difícil excluir os dados dos clientes, enquan-
ganização e está confortável quanto ao fato to 60% delas não possuem um sistema para
de que ela detém dados pessoais e sensíveis ajudá-los a fazê-lo (fonte: State of European
dele. Não caia na tentação de inflar o mailing
Privacy Report da Symantec).
com todos os endereços que receber e excluí
-los apenas quando for notificado pelo clien-
te. Qualidade de dados é sempre melhor que Direitos do cidadão: nunca é
quantidade.
demais relembrar
 Especialistas em automação de marketing
- A automação de marketing é uma solução
muito útil, mas, caso queira continuar utilizan- A promessa do Governo é de que não haja fle-
do-a, após a implementação da LGPD, tenha xibilidade quanto ao não cumprimento das dire-
certeza de que a ferramenta estará configu- trizes da Lei Geral de Proteção de Dados. Vamos
rada de forma que não envie mensagens para relembrar alguns direitos dos clientes que aces-
um cliente que acabou de pedir o descadas-
tramento da base de dados da empresa. Pro- sam um site e têm seus dados coletados:
cure formas de centralizar os dados para que  Serem informados de que a empresa vai cole-
a companhia não seja penalizada.
tar, armazenar e utilizar os dados;
 Profissionais de relações públicas - Jornalis-
tas também precisarão formalizar seus con-  Ter acesso às informações coletadas;
sentimentos para receber informações das
empresas. Novamente, a recomendação é op-  Saber sobre a intenção da empresa de com-
tar pelo mailing que preza a qualidade e não partilhar as informações com outras organiza-
quantidade. Mantenha o foco na oportunida- ções;
de de investir mais no relacionamento estreito
e transparente, sempre entendendo a neces-  Solicitar a exclusão de seus dados da base a
sidade de abordá-los com informações que qualquer momento, com garantia de que o
façam sentido para o veículo e o público que pedido seja atendido, sempre que a coleta se
consome informações por meio dele. Com deu com base no consentimento;
profissionais de comunicação, o consentimen-
to também pode ser concedido por meio de  Caso haja alguma tomada de decisão de ma-
plataformas online. neira automatizadas, com base em seus da-
dos, o proprietário das informações poderá
solicitar detalhes do processo, respeitando os
Preocupação que se justifica
sigilos comerciais e industriais da organização
em questão;
No mundo, nunca houve tanta oferta de da-
 Ser informado sobre as mudanças de regras
dos, sejam os pessoais ou os relacionados aos
na coleta, armazenamento e uso dos dados;
sites acessados, as chamadas telefônicas realiza-
das, aos lugares visitados e as fotos registradas.  Corrigir dados incompletos ou desatualiza-
Tudo se tornou possível de ser mapeado. Porém, dos; e
na mesma proporção em as informações são va-
liosas, elas estão cada vez mais vulneráveis. Além  Solicitar anonimização das informações.

85
Os impactos da LGPD na experiência do cliente

10 passos para estar em 6. Insira o CRM na rotina da equipe - O ar-


mazenamento de dados em arquivos do Google
compliance com a LGPD ou em planilhas do Excel não é eficiente. Consi-
dere centralizar a coleta de dados pessoais dos
O The Economist classifica os dados pessoais clientes em um sistema de CRM, sempre certifi-
de um cidadão como “o recurso mais valioso do cando-se de que os usuários possam acessar as
mundo”, antes mesmo do petróleo. A questão é informações, revisar os documentos e fazer as
que os consumidores não estão convencidos de alterações necessárias.
que as empresas estão fazendo o suficiente para
proteger as informações, uma percepção eviden- 7. Entenda os detalhes dos dados coleta-
ciada pelo estudo de Privacidade do Consumidor dos - Todas as informações coletadas dos clien-
da TRUSTe/ NCSA, que descobriu que 92% dos tes são úteis para o negócio ou existem dados
clientes online citam a segurança e a privacidade que não são necessários? Para os profissionais
dos dados como uma preocupação. Para auxiliar de marketing B2B, por exemplo, é suficiente ter
as organizações a cumprirem com a LGPD, com- apenas o nome completo do contato, o endereço
partilho uma lista com 10 práticas importantes de e-mail e o nome da empresa que ele repre-
para estar em compliance com a Lei: senta.

8. Tente usar notificações push - Os profis-


1. Audite o mailing - A empresa só deve ter na
sionais de marketing podem usar notificações
lista dados de pessoas que formalizaram o inte-
por push para enviar uma mensagem aos assi-
resse de nela estar. Em caso de contatos antigos,
nantes a qualquer momento. No entanto, ao con-
a orientação é enviar um e-mail solicitando essa
trário das campanhas de marketing por e-mail,
confirmação.
elas não processam dados pessoais e os usuários
precisam dar consentimento explícito para rece-
2. Analise o processo de coleta de dados bê-las.
pessoais - Não compre mailings. Em se tratan-
do de LGPD, o melhor caminho é ter uma lista 9. Reveja a declaração de privacidade da
menor, porém qualificada, com todos os clientes companhia - O texto deve ser de fácil leitura
cientes do que está sendo feito com seus dados. e compreensão, assim como determina a LGPD.

3. Crie conteúdos personalizados para os 10. Revise os processos - A empresa deve pro-
clientes - Invista em uma estratégia de brand cessar apenas os dados dos clientes que fazem
content (marketing de conteúdo) relevantes sentido para o negócio da empresa. Além disso,
para os clientes e distribua-os em forma de white como dito anteriormente, é importante armaze-
papers, guias e eBooks. A ideia é que eles façam nar as informações em um formato que facilite a
download dos materiais em troca do comparti- anonimização, melhorar a transparência, autori-
lhamento das próprias informações de contato. zar que os visitantes controlem o processamento
desses dados, buscar parceiros em conformidade
4. Convide os visitantes a se cadastrarem com a Lei, melhorar continuamente a segurança
na lista de contatos - A sugestão é que a em- no armazenamento e na transferência de dados,
presa mantenha uma lista de e-mails segmenta- usar Relatório de Impacto à Proteção de Dados
da criando pop-ups específicos para notícias so- Pessoais e definir uma pessoa, física ou jurídica,
bre produtos e serviços da organização, além de para ser responsável pelos dados dos clientes.
postagens em blogs e notícias gerais da compa-
nhia. É importante lembrar que toda ação deve Por tempo ilimitado? Nem pensar!
estar vinculada à política de privacidade.

5. Eduque a equipe de vendas - É fundamen- Ao descrever detalhes sobre o uso dos dados
tal investir na estratégia de social marketing, fa- dos cidadãos, a LGPD exige que a empresa infor-
zendo com que os representantes de vendas se me data para início e término do uso das infor-
conectem com os clientes em potencial por meio mações, ou quando a finalidade do uso do dado
das mídias sociais, compartilhando conteúdos é efetivamente atingida, encerrando-se assim
relevantes para eles. Essa ação tende a render seu uso. A regra se deve ao fato de garantir que
mais resultados que a prospecção por e-mail. a ação seja encerrada assim que a organização

86
Os impactos da LGPD na experiência do cliente

atingir o objetivo proposto, conforme concor- sa, limitado a R$ 50 milhões por infração. Além
dância do proprietário dos dados. Porém, exis- disso, também poderão ter os dados irregulares
tem casos específicos que permitirão o uso das bloqueados para o uso ou a infração amplamen-
informações por tempo indeterminado. São eles: te divulgada.
 Quando o controlador precisa cumprir algu- Em tempos de desejo de retomada da econo-
ma obrigação legal; mia, não é inteligente perder dinheiro, clientes ou
 No caso de estudos por órgão de pesquisa, a credibilidade. Sairão na frente as organizações
desde que haja a garantia de anonimização que aproveitarem os próximos meses para se
dos dados; adequarem, seja buscando o apoio de especia-
listas ou aderindo a ferramentas que facilitem o
 Em situações que haja a necessidade de trans- processo.
ferência de informações a terceiros; e

 Quando as informações são de uso exclusivo Confiança: um valor que ampliará o


do controlador, porém, neste caso, os dados diferencial competitivo
devem ser anonimizados.

Punição que prejudica o bolso Cumprir os requisitos de conformidade cria


oportunidades para as organizações mostra-
rem o cuidado e respeito que dedica aos clien-
As empresas que não respeitarem as diretri- tes, construindo um relacionamento baseado na
zes da LGPD estarão sujeitas a multas simples confiança, que tende a reverter em fidelidade e
ou diárias de até 2% do faturamento da empre- engajamento.

Sobre os autores

Guilherme Ferri Ricardo Medina

Estrategista em marketing de Com histórico de mais de 20


serviços, Guilherme Ferri é graduado anos de trabalho na gestão de
em Propaganda e Marketing, com projetos no setor de saúde, Ricardo
MBA na Fundação Getúlio Vargas Medina possui MBA em MKT na
e especializações na Pennsylvania COPPEAD UFRJ e MBA em MKT/
University, Copenhagen Business Gestão no Ibmec e especializações
School, IE Business School, Rotterdam em instituições como Singularity
School of Management. Sócio-diretor University e  Kellogg Management -
da MF Marketing & Business Advisors, Northwestern University.  Sócio-diretor
atua em empresas nacionais e da MF Marketing & Business Advisors,
internacionais, auxiliando nos desafios conta com sua em expertise em
de posicionamento de marcas e Gestão de Marketing, Planejamento de
conectando empresas a soluções Negócios, Planejamento de Mercado,
que operem em sincronia com novos Digital, Customer Relationship
contextos empresariais, competências Management (CRM), Customer
operacionais e direções estratégicas Experience, Branding e Eventos para
inovadoras. auxiliar clientes e prospects em seus
desafios de negócios e corporativos.

87
A importância da Cybersegurança sobre aspectos de Privacidade de dados

C
om o avanço dos meios de comunicação,
tecnologias e a transformação digital as
quais as Organizações estão sendo sub-
metidas, discussões sobre os aspectos de Pri-
vacidade de Dados ganham relevância afetando
diretamente as relações sociais, econômicas e
corporativas.

Na mesma velocidade em que surgem novas


tecnologias e que consequentemente ocorre
uma transformação do modelo de negócios das
empresas, vemos o avanço no desenvolvimento
de novas técnicas de fraude digital, invasão de
sistemas computacionais e o desenvolvimento
de ameaças e códigos maliciosos pelos crimino-
sos cibernéticos, causando interrupção de servi-
ços críticos, vazamento de dados entre outros
crimes digitais.

Como consequência imediata, o assunto tem


se tornado pauta prioritária dos principais exe-
cutivos das Organizações que estão investindo
cada vez mais em soluções e medidas de segu-
rança da informação para se protegerem dessas
ameaças. Em meio a essa conjuntura de fatos, a
relevância dos programas de privacidade de da-
dos se torna eminente e, garantir aos titulares
(donos dos dados) a proteção e transparência
sobre como seus dados tem sido tratados pelas
Organizações tem se tornado foco em países,
principalmente da União Europeia, onde a Lei de
proteção de dados a GDPR (General Data Pro-
tection Regulation) já vigora e incentiva outros
países a adotarem práticas e mecanismos de
proteção de dados similares em suas respectivas
geografias.

Já no Brasil, a Lei Geral de Proteção de Da-


dos (Lei nº 13.709/2018) que passará a vigorar a
partir de Agosto de 2020, está movimentando
as Organizações brasileiras na adequação as exi-
gências legais e técnicas para atendimento aos
princípios e requisitos da lei. Passaremos a discu-
tir neste artigo a importante da Cyber Segurança
para a privacidade de dados, de acordo com a
Lei Brasileira.

Antes de prosseguirmos, é bom entendermos


o conceito de dado pessoal e dado sensível.

Os dados pessoais são todos aqueles que po-


dem identificar uma determinada pessoa como
por exemplo nome, CPF, RG, dados genéticos,
etc. Dados sensíveis são aqueles que não so-
mente possuem informações que você não gos-
taria que fossem compartilhadas, mas também

90
A importância da Cybersegurança sobre aspectos de Privacidade de dados

àqueles que podem gerar exposição tanto na 2. Mapeamento do ciclo de vida do


vida social e profissional das pessoas, como por dado
exemplo dados médicos, orientação sexual, pre-
ferências políticas, religiosas, etc. Nesse ponto, a atividade de entendimento do
ciclo de vida do dado é fundamental. Essa ati-
Toda essa preocupação globalizada tem im- vidade deve ser realizada individualmente em
pulsionado o mercado de Cyber Segurança, cada área da Organização junto aos respectivos
o qual tem crescido nos últimos anos e criado pontos focais, pois as formas de coleta, trans-
uma grande variedade grande de soluções, para missão, uso, armazenamento e descarte dos da-
oferecer gestão de segurança em sistemas e dos podem ser completamente diferentes, com
ambientes computacionais complexos para as complexidades próprias envolvendo ativos tec-
Organizações. Diante dessa expansão de merca- nológicos distintos. A complexidade da atividade
do, junto com o surgimento de consultorias es- dependerá de fatores como quantidade de áreas
pecializadas, fabricantes de soluções e produtos e unidades de negócio envolvidas e as caracte-
de segurança da informação, preocupações re- rísticas próprias do ambiente tecnológico da Or-
levantes e questionamentos surgem à alta admi- ganização.
nistração das Organizações, tais como:
Essa etapa servirá de insumo para as demais
- Por onde devemos começar? O que deve- etapas do projeto, que em posse dos fluxos do
mos avaliar? O que devemos priorizar? Quais são ciclo de vida dos dados pessoais e sensíveis, po-
nossas fragilidades e riscos relacionados a priva- de-se identificar as vulnerabilidades de seguran-
cidade dos dados pessoais? ça dos respectivos ativos tecnológicos que ar-
mazenam, transmitem e processam esses dados.
Em resposta a esses questionamentos, apre-
sentamos a seguir alguns passos (não exaus- As atividades de mapeamento do ciclo de
tivos) que podem guiar as Organizações nessa vida dos dados, principalmente em ambientes
jornada que consiste em conhecer os principais tecnológicos complexos, podem demandar o
problemas, riscos e ações práticas para endere- apoio de ferramentas de mercado, específicas
çá-los corretamente. para atender questões de privacidade de dados.
Estas podem auxiliar com o discovery de fontes
de dados pessoais e sensíveis, ao mesmo tempo
O que é importante e por que permitem o input de critérios para avaliação
e classificação de riscos nas respectivas origens
onde devemos começar? de dados, trazendo agilidade e assertividade no
mapeamento das fontes de dados pessoais. São
soluções desenvolvidas especificamente para
1. Conscientização de pessoas
atender requisitos das leis de privacidade de da-
Fazer com que as pessoas nas Organizações dos, projetadas para essa finalidade.
saibam da importância do tema seja talvez, o
Finalmente, é importante lembrar que muitas
fundamento de toda sequência de atividades de
companhias provedoras de ferramentas de Data
um Programa de Privacidade de Dados.
Management apresentam suas soluções de da-
O engajamento ao programa de privacidade se dos tradicionais com uma roupagem diferente
inicia com o comprometimento das pessoas em informando que todos os seus problemas rela-
todos os níveis hierárquicos das Organizações e cionados a privacidade de dados estarão resolvi-
atividades como workshops, treinamentos e si- dos. Na verdade, essas soluções, na maioria dos
mulação de cenários reais junto aos profissionais casos, atendem parcialmente as necessidades
da Organização facilitam as etapas seguintes do em relação a privacidade dos dados, principal-
projeto. mente àquelas relacionadas ao mapeamento das
fontes de dados pessoais.
Um bom ponto de partida é uma sessão de
apresentações e workshops junto aos principais 3. Gap Assessment e Risk Assessment
executivos desdobrando as apresentações às
camadas táticas e operacionais da Organização, Após mapeamento do ciclo de vida dos dados
adequando a comunicação ao público envolvido. e suas respectivas fontes de armazenamento

91
A importância da Cybersegurança sobre aspectos de Privacidade de dados

um assessment de cyber deve ser realizado para tratamento sejam adequadamente endereçadas.
identificar vulnerabilidades cuja atividade pode Após isso, consolidam-se os pontos levantados
ser realizada em duas partes: em um Relatório de Impacto de Privacidade
(DPIA), por meio do qual será traduzido o nível
Assessment de controles e processos de Se- de maturidade da Organização nos principais
gurança - que envolvem os ativos que armaze- domínios de Privacidade de dados.
nam dados pessoais e sensíveis – essa atividade
tem o objetivo de avaliar os principais domínios
de segurança da informação da Organização,
4. Roadmap priorizado de ações e
com base em frameworks, normas e boas prá- implementação
ticas de mercado, observando maturidade de As lacunas para elevar o nível de maturidade
processos, seu nível de formalização avaliando
da Organização nos domínios de Privacidade
políticas, procedimentos e os principais papéis e
responsabilidades. dos Dados são transformadas em ações práticas,
que podem ser classificadas como estruturantes
Assessment tecnológico – essa atividade tem e quick wins. Com base nos riscos e relevância ao
o objetivo de complementar a avaliação de pro- negócio, se realiza uma priorização para imple-
cessos e controles, com a análise de vulnera- mentação das ações.
bilidades do ambiente que armazena e trafega
dados pessoais e sensíveis e que poderiam ser A implementação envolve a criação de uma
exploradas por um atacante, gerando incidentes estrutura Organizacional de Privacidade de Da-
de segurança e impactando a privacidade dos dos com política, processos, papéis e responsa-
dados, tais como o vazamento de dados no mer- bilidades formalizadas e comunicadas para tratar
cado negro, a perda ou mesmo alteração indevi- questões de privacidade permitindo interação
da desses dados. Por essa razão, nesta etapa é com outras áreas da Organização, inclusive TI
indispensável a realização de testes de intrusão e Segurança da Informação. Adicionalmente,
nos sistemas simulando um hacker tentando ob- a fase de implementação demanda a revisão e
ter acessos ao ambiente da Organização.
ajuste de contratos para questões de privacida-
Com base nas vulnerabilidades e ameaças de de dados junto aos parceiros e fornecedores,
identificadas durante as etapas de assessment, plano de resposta a incidentes de segurança e
podemos identificar e classificar os principais treinamento a todos os profissionais envolvidos
riscos envolvidos para que ações de resposta e na Organização.

92
A importância da Cybersegurança sobre aspectos de Privacidade de dados

Temas técnicos relevantes para a Privacidade dos Dados

93
A importância da Cybersegurança sobre aspectos de Privacidade de dados

Do ponto de vista tecnológico, para as Organi- fragilidades e gaps com relação a pontos rele-
zações manterem um programa de privacidade vantes afetos a privacidade dos dados.
dos dados, alguns aspectos relevantes devem
ser observados. A figura abaixo demonstra os Para esta finalidade, a norma ISO/IEC
principais temas (não exaustivos) para identifi- 29101:2018 fornece uma visão interessante des-
cação, proteção, detecção e resposta a ameaças ses componentes técnicos supracitados, organi-
cibernéticas: zados em camadas e que auxiliarão os desenvol-
vedores de software, administradores de dados
Todos esses temas devem ser observados, e analistas de infraestrutura em projetos de solu-
principalmente em ativos que armazenam, trafe- ções tecnológicas trazendo aspectos importan-
gam e processam dados pessoais. Porém, mais tes para a privacidade dos dados. São elas:
importante do que observar individualmente um
determinado tema para um determinado ativo, é Privacy Settings Layer:
se atentar ao ciclo de vida do dado pessoal des-
de sua concepção até seu descarte. Com base Aborda aspectos como comunicação e pro-
nessa premissa, um processo importante e que pósito da coleta do dado, a categorização ou
deve fazer parte da cultura de privacidade de classificação desse dado coletado e o formulá-
toda Organização, é o conceito de Privacy by rio para coleta do consentimento do titular so-
Design, cujo objetivo principal é prover medidas bre o uso e o propósito do dado. As plataformas
e controles para garantir que os requisitos de pri- tecnológicas deverão apresentar ao titular o pro-
vacidade e segurança sejam considerados desde pósito de uso do seu dado e o consentimento.
a concepção de serviços, produtos e tecnologias, O consentimento deverá ser gerenciado, uma
e se estendam ao seu monitoramento e manu- vez que o titular poderá solicitar revogação dos
tenção após estarem em funcionamento. acessos anulando o consentimento inicial.
Embora essa medida garanta que requisitos É importante lembrar que, conforme descrito
de privacidade de dados façam parte do DNA na Lei Geral de Proteção de Dados Brasileira e no
da Organização e de seus novos serviços, produ- General Data Protection Regulation Europeu, há
tos e tecnologias, ela não garante que os respec- hipóteses de tratamento de dados sem a neces-
tivos legados atendam tais requisitos. Por isso, sidade de consentimento do titular, de forma que
as soluções oferecidas pela Organização devem o gerenciamento de consentimento deverá levar
ser alvo de assessments periódicos de segurança em consideração o fundamento que originou o
e monitoramento, com o objetivo de identificar tratamento de dados no caso concreto.

94
A importância da Cybersegurança sobre aspectos de Privacidade de dados

Identity and access management PII Layer:


layer:
Essa camada provê mecanismos tecnológicos
Essa camada provê mecanismos para controle para proteção dos dados durante seu ciclo de
e gestão dos acessos aos dados sensíveis para vida (coleta, transferência, uso, armazenamento
todos os atores que recebem os dados pessoais e descarte) incluindo criptografia, anonimização,
e/ou sensíveis. Uma vez que o dado é coletado, archiving, retention, logs de auditoria etc.
o controle de quem deverá possuir acesso e qual
tipo de acesso deverá ter é fundamental para Todo desenho de novas soluções tecnológicas
manter os princípios de privacidade. deve observar tais camadas pois facilita uma vi-
são geral sobre o tipo de dado trafegado e por
Neste ponto é importante ressaltar o caso do onde trafegará facilitando a gestão do consen-
Hospital do Barreiro, em Portugal, case de uma timento e definição de ferramentas e mecanis-
das primeiras multas aplicadas com base na Ge- mos de proteção desses dados de acordo com
neral Data Protection Regulation. Com base em sua classificação. Adicionalmente, os dados, com
uma investigação originada por uma denúncia da base nos locais de armazenamento, tráfego e
Ordem dos Médicos local, a Comissão Nacional processamento, possuirão adequado controle de
de Proteção de Dados Portuguesa relatou que a acesso, criptografia nas transmissões, anonimi-
instituição possuía 985 contas ativas com aces- zação com base no propósito de uso e logs de
so a prontuários médicos, apesar de existirem auditoria habilitados.
apenas 296 médicos ativos em seu corpo clíni-
co. Além disso, foi verificado que a instituição A visão abrangente desses componentes faci-
não dispunha de regras claras para a criação de lita a vida dos profissionais técnicos que desen-
contas e para os diferentes níveis de acesso a in- volvem sistemas, gerenciam bases de dados e
formações clínicas. Como punição, o Hospital foi cuidam da infraestrutura para que o desenho das
multado em 400 mil euros1. soluções considere tais componentes e o concei-
to de Privacy by Design seja aplicado adequada-
mente conforme as necessidades tecnológicas
1 “CNPD: Hospital do Barreiro multado em 400 mil euros de cada plataforma. Adicionalmente, a gestão do
por permitir acessos indevidos a processos clínicos” Dis-
programa de privacidade de dados se torna mais
ponível em http://exameinformatica.sapo.pt/noticias/
organizada e ágil.
mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado
-em-400-mil-euros-por-permitir-acessos-indevidos-a-pro-
cessos-clinicos - acesso em 06.05.2018.

95
A importância da Cybersegurança sobre aspectos de Privacidade de dados

Conclusão
As transformações empresariais com o uso do
dado como diferencial competitivo movimenta a
economia global em todos os setores, especial-
mente os mercados relacionados a segurança da Sobre o autor
informação para manter confidencialidade, dis-
ponibilidade e integridade dos dados. Emílio Bartolomeu Neto é executivo
e especialista em temas de Cyber
Definir as estratégias corretas para implemen- Segurança, focado em estratégias de
tação de estruturas de governança de dados e segurança e gestão de riscos cibernéticos,
soluções tecnológicas que apoiem tais ativida- formado em engenharia pela Escola de
des se tornou essencial para as Organizações Engenharia de Piracicaba – EEP e em
brasileiras cujo fator motivador principal é a Lei Gestão Empresarial pela Fundação Getúlio
Geral de Proteção de Dados. Nesse cenário de Vargas. Emilio assessora clientes de
transformações, abre-se uma janela de oportuni- grande porte, nacionais e internacionais
dades a profissionais do setor de Cyber Seguran- auxiliando-os em seus desafios de
ça, principalmente os de perfil generalista que, transformação digital e na construção de
além de seus conhecimentos tecnológicos, pos- seus programas de segurança cibernética,
suem ampla visão e conhecimento de negócios, em todos tipos de indústria. Possui vasta
seus principais riscos e direcionadores de valor. experiência com Governança de Dados e
Risk Analytics, com atuação em projeto
Esse fato, aliado a força com que as leis de global de privacidade de dados em cliente
proteção de dados pessoais têm avançado no da indústria de Telecom sendo o líder na
cenário global traz, juntamente com suas trans- firma brasileira conduzindo as atividades
formações, os benefícios a um novo mercado do projeto junto a um time multidisciplinar
tecnológico que está em constante evolução e no Brasil.
principalmente para a sociedade que com toda
esta evolução, mantem seus direitos preserva-
dos em relação a privacidade de seus dados pes-
soais.

96