LGPD para

Laboratórios
de Análises Clínicas
Um guia completo para te ajudar a adequar o seu
Laboratório à Lei Geral de Proteção de Dados.
 03 O Q U E É LG PD

Q U E M D E V E S E AD E Q U AR À
03
LG PD

04 O Q U E SÃO D AD O S PE SSO AIS

05 O Q U E SÃO D AD O S SE N SÍV E IS

D AD O S D E CRIAN ÇAS E
06
AD O LE S CE N T E S

07 PRIN CÍPIO S D A LG PD

Q U AIS SÃO O S D IR E IT O S D O S
09
S E U S PACIE N T E S
OIRÁMUS

11 AS S AN ÇÕ E S
As sanções administrativas da LGPD só
12
começarão a valer a partir de agosto de 2021?

13 IN CID E N T E S D E V AZ AM E N T O D E
D AD O S
Medidas de segurança que o seu Laboratório
14
deve adotar

AD E Q U AN D O O S E U
15
LAB O RAT Ó RIO À LG PD

S O BRE O CARD O SO FRE IRE

17
CO N SU LT O RIA
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

O que é a LGPD
É a Lei 13.709, de 14 de agosto de 2018, ou Lei Geral de
Proteção de Dados. Tem como objetivo regulamentar o
tratamento de dados pessoais, no Brasil.

Tratamento - é tudo que pode

A norma vem para garantir não só o direito à privacidade ser feito com um dado pessoal.
do titular de dados, como também - e sobretudo - o direito Por exemplo: coleta, análise,
compartilhamento, descarte,
à autodeterminação informativa. anonimização, etc.

Dados pessoais - são

Trata-se do direito do titular de ser esclarecido sobre o que informações que identificam ou,
quando em conjunto, podem
pode ser feito com seus dados e, em algumas identificar uma pessoa natural,
circunstâncias, poder decidir se consente ou não o viva e localizada no Brasil.

tratamento.

Quem deve se
adequar à LGPD
A LGPD se aplica à todas as pessoas jurídicas, sejam elas
privadas ou públicas, bem como à todas as pessoas físicas,
independentemente do meio, o país de sua sede ou do
país onde estão localizados os dados, desde que:

O tratamento seja realizado em território nacional;

O tratamento tenha por objetivo a oferta ou o

fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no Brasil; ou

Os dados pessoais objeto do tratamento tenham sido

coletados em território nacional.

Diante dessas condições, o seu Laboratório de Análises

Clínicas deverá, sim, se adequar à LGPD.

3
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

O que são dados

pessoais
Dados pessoais são qualquer informação relativa à uma
pessoa física, viva e localizada no Brasil que a identifique
ou que possa identificá-la, quando em conjunto com
outros dados.

São exemplos de dados pessoais:

Nome Data de nascimento

CPF Filiação
RG Dados bancários
Endereço Profissão
E-mail Redes sociais
Telefone Localização
Estado Civil Histórico de compras

4
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

O que são dados

sensíveis
É uma espécie de dados pessoais que, quando vinculados
ao titular, podem desencadear situações discriminatórias.
E é exatamente por isso que a LGPD exige que dados
sensíveis sejam extremamente protegidos.

Para a lei, são considerados dados sensíveis:

Origem Racial ou étnica

Convicções religiosas ou filosóficas

Opiniões Políticas

Filiação sindical

Dados genéticos

Dados biométricos

Dados relacionados à saúde

Dados sobre vida sexual ou orientação sexual

O seu Laboratório de Análises Clínicas é especialmente

impactado pela LGPD, porque a análise de material
biológico - que contém dados genéticos e biométricos - e
a emissão de laudos laboratoriais - que contém dados
relacionados à saúde - são tratamentos de dados
sensíveis.

Nesse sentido, a única atividade do seu Laboratório lida

diretamente com a espécie de dados pessoais mais
protegidos pela lei.

5
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Dados de Crianças e
Adolescentes
Assim como no caso de dados sensíveis, a LGPD dedica
uma atenção especial para dados de crianças e
adolescentes.
Criança e Adolescente -
segundo o Estatuto da Criança e
Nesse sentido, o tratamento de qualquer dado desse do Adolescente - ECA -
grupo só é possível mediante consentimento expresso e considera-se criança a pessoa
até doze anos de idade
em destaque por pelo menos um dos pais ou pelo incompletos e adolescente
aquela entre doze e dezoito
responsável legal. anos de idade.

Para essa regra, todavia, existem duas exceções:

Quando o objetivo for contatar os pais ou responsável,

desde que esses dados sejam utilizados uma única vez
e não sejam armazenados;

Para a proteção da criança ou do adolescente.

Nos dois casos os dados jamais poderão ser

compartilhados com terceiros sem o consentimento dos
pais ou responsáveis.

6
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Princípios da LGPD
A LGPD apresenta 10 princípios, ou seja, 10 fundamentos,
10 premissas, que deverão reger qualquer tratamento de
dados no seu Laboratório de Análises Clínicas. Nesta
sessão, descreveremos cada um deles:

1
Finalidade: o objetivo do tratamento de dados deve
ser legítimo, específico e informado ao titular. Além
disso, o dado não poderá ser tratado, no futuro, de
forma incompatível com essa finalidade.

2
Adequação: a forma que os dados serão tratados
deve ser compatível com a finalidade informada ao
titular.

3
Necessidade: o tratamento dos dados deve ser
limitado ao mínimo necessário para atingir a
finalidade informada ao titular.

4
Livre Acesso: garantia, aos titulares, de consulta
facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus
dados pessoais.

5
Qualidade dos Dados: garantia, aos titulares, de
exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o
cumprimento da finalidade de seu tratamento.

6
Transparência: garantia, aos titulares, de
informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento de seus dados,
observados os segredos comercial e industrial.

7
Segurança: utilização de medidas técnicas e
administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão.
7
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

8
Prevenção: adoção de medidas para prevenir a
ocorrência de dados em virtude do tratamento de
dados pessoais.

9
Não discriminação: impossibilidade de realização
do tratamento de dados para fins discriminatórios
ilícitos ou abusivos.

10
Responsabilização e Prestação de Contas:
demonstração, pelo seu Laboratório, de adoção de
medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de
proteção de dados pessoais e, inclusive, da eficácia
dessas medidas.

Além desses princípios, o tratamento de dados pessoais

pelo seu Laboratório de Análises Clínicas deverá, sempre,
observar o princípio da boa fé, segundo o qual o seu
Laboratório tem o dever de agir com ética, honestidade e
lealdade enquanto agente de tratamento de dados
Agente de Tratamento - aquele
pessoais.
que realiza a atividade de
tratamento de dados pessoais.

8
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Quais são os direitos

dos seus pacientes
A LGPD garantiu uma série de direitos para os titulares de
dados. Nesse sentido, o seu Laboratório de Análises
Clínicas tem o dever de assegurar que não só os
pacientes, como também os funcionários e qualquer outra
pessoa cujos dados sejam tratados pela empresa, tenham
acesso às seguintes prerrogativas:

Confirmação: o paciente tem o direito de

confirmar se seus dados pessoais são tratados
pelo Laboratório.

Acesso: o paciente tem o direito de acessar, de

maneira fácil e gratuita, os dados pessoais que,
por ventura, o Laboratório trate.

Correção: o paciente tem o direito de corrigir,

completar e atualizar os dados pessoais que,
por ventura, o Laboratório trate.

Anonimização: em caso de tratamento de

dados excessivos, desnecessários ou em
desconformidade com a LGPD, o paciente
pode solicitar a anonimização dos dados
pessoais, de forma que eles nunca mais
poderão ser relacionados com o seu titular.

Bloqueio: o paciente pode solicitar a

suspensão do tratamento de dados
desnecessários, excessivos ou tratados em
desconformidade com a LGPD.

9
LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Eliminação: o paciente tem o direito de solicitar

a eliminação de seus dados pessoais quando (i)
eles forem considerados desnecessários,
excessivos ou em desacordo com a LGPD ou (ii)
o seu Laboratório estiver tratando os dados
pessoais sob a base legal do consentimento,
desde que a empresa não tenha obrigação
legal de mantê-los.
Portabilidade: o paciente tem o direito de
solicitar que o Laboratório compartilhe seus
dados pessoais com outros fornecedores,
Base legal do consentimento -
é uma das hipóteses, previstas
na LGPD, que autoriza o seu
Laboratório a tratar dados. De
acordo com a base legal do
consentimento, o tratamento de
dados só é possível mediante
autorização livre, inequívoca e
informada do titular de dados.

desde que o compartilhamento esteja em

conformidade com a regulamentação da
autoridade nacional e que não viole segredos
comerciais e industriais.

Informação sobre compartilhamento: o

paciente tem o direito de saber com quem o
Laboratório compartilha seus dados pessoais.

Informação sobre a possibilidade de não

consentir: o Laboratório sempre deverá
informar ao paciente sobre a possibilidade e as
consequências de não consentir o tratamento
de dados, quando a base legal para o
tratamento for o consentimento.

Revogação do consentimento: o paciente tem

o direito de revogar o consentimento, quando o
Laboratório estiver tratando dados pessoais
sob esta base legal, mantida a legalidade de
qualquer tratamento realizado anteriormente.

Oposição: o Laboratório deve oferecer meios

para que o paciente possa demonstrar sua
oposição ao tratamento de seus dados
pessoais, caso assim entenda.

10
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

As sanções
Caso aconteça algum incidente de vazamento de dados
no seu Laboratório, as seguintes sanções administrativas
poderão ser aplicadas:

Advertência, com indicação de prazo para adoção

de medidas corretivas;

Multa simples de até 2% do faturamento da empresa

no último exercício, excluídos os tributos, limitada,
no total, a R$50 milhões por infração.

Multa diária, observando o limite de até 2% do

faturamento, podendo chegar a R$50 milhões;

Publicização da infração, após o devido apuramento

e a sua confirmação;

Bloqueio dos dados pessoais a que se refere a

infração até a sua regularização;

Eliminação dos dados pessoais a que se refere a

infração;

Suspensão parcial do funcionamento do banco de

dados a que se refere a infração pelo período
máximo de 6 meses, prorrogável por igual período,
até a regularização da atividade de tratamento;

Proibição parcial ou total do exercício de atividades

relacionadas a tratamento de dados.

11
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

As sanções administrativas da LGPD só

começarão a valer a partir de agosto de
2021?

Sim, as sanções administrativas previstas na Lei Geral de

Proteção de Dados entrarão em vigor a partir de 1º de
agosto de 2021.

Mas atenção! Isso não significa que o seu Laboratório está

isento de penalidades.

Acontece que o tratamento inadequado de dados

pessoais podem acarretar sanções previstas em outras
leis, além da LGPD, como por exemplo o Código de Defesa
do Consumidor e o Marco Civil da Internet.

Baseando-se nessas leis, já em vigor, o seu Laboratório

pode sofrer multas aplicadas pelo Procon e pelo Ministério
Público, bem como pode ser processado por pacientes e
funcionários.

Abaixo, separamos três casos em que empresas foram

multadas por tratamento indevido de dados. Algumas
dessas sanções foram aplicadas antes mesmo da entrada
em vigor da LGPD.

Para acessar a notícia, basta clicar no título:

Cirela é multada em R$10 mil por infração à Lei

Geral de Proteção de Dados.

Drogaria Araújo é multada em mais de R$7 milhões

por condicionar descontos a fornecimento de CPF.

Netshoes terá que pagar R$500 mil por vazamento

de dados de 2 milhões de clientes.

12
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Incidentes de
vazamento de dados
Ao contrário do que muitas pessoas pensam, incidentes de
vazamento de dados não acontecem apenas em
ambientes virtuais.

Na verdade, falhas na segurança dos dados podem

acontecer, também, em ambientes físicos.

Além disso, segundo relatório publicado pela Kaspersky,

33% dos incidentes de vazamento de dados, no seu
Laboratório, ocorrem por erros dos funcionários. Para ler
mais sobre essa pesquisa, clique aqui.

Veja, a seguir, algumas hipóteses de vazamento de dados

que podem acontecer no seu Laboratório:

Entrega de exames trocados;

Compartilhamento de dados com terceiros não

autorizados pelo paciente;

Soroteca desprotegida;

Compartilhamento de laudos
com planos de saúde;

Compartilhamento de laudos com

médico, quando não autorizado
expressamente pelo paciente;

Compartilhamento de laudos de
empregados com as empresas
nas quais trabalham;

Arquivos físicos desprotegidos;

13
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Medidas de segurança que o seu

Laboratório deve adotar

Para proteger os dados pessoais que o seu Laboratório

trata e não sofrer multas ou outras sanções
administrativas, é necessário adotar boas práticas em
proteção de dados, como, por exemplo:

Segmentação e controle de acessos ao banco de

dados;
Bloqueio de equipamentos, quando não estiverem em
uso;
Utilizar senhas seguras e diferentes para cada acesso;
Não enviar informações confidenciais por WhatsApp
ou redes sociais; prefira sempre utilizar o e-mail
institucional, nessas situações;
Fazer download de softwares ou aplicativo, sempre,
pelos canais oficiais dos desenvolvedores;
Usar antivírus confiável e com suporte para
navegadores e celulares para proteção avançada;
Evitar navegação de uso pessoal em redes
corporativas;

O principal, contudo, é que a cultura da

empresa esteja, sempre, voltada para a
valorização da proteção de dados. Para
isso, é necessário o desenvolvimento de
um Programa de Adequação à LGPD.

E é sobre isso que trataremos na

próxima seção.

14
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Adequando seu
Laboratório à LGPD
O Programa de Compliance em Proteção de Dados
desenvolvido pelo Cardoso Freire Consultoria conta com
sete fases:

1 Criação do Comitê de Proteção de Dados

O Comitê de Proteção de Dados é composto por

um grupo de cooperadores destacados de
setores estratégicos do Laboratório. Esse grupo
participará ativamente do Projeto de Adequação,
tendo como principal função auxiliar a direção
do Laboratório na tomada de decisões.

2 Treinamento da equipe

Vários treinamentos deverão ser ministrados

junto à equipe do Laboratório. Contudo, este é o
principal. Trata-se de um momento no qual os
colaboradores entenderão a importância, para
eles e para a empresa, do desenvolvimento do
Programa de Adequação, assim como serão
apresentados à Lei Geral de Proteção de Dados.

3 Mapeamento de Dados

O objetivo dessa fase é inventariar todos os

dados que o Laboratório trata, bem como
entender como se dá esse tratamento.

15
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

4 Desenvolvimento do Gap Analysis

A partir do mapeamento de dados, será

desenvolvido um relatório chamado Gap
Analysis, cujo objetivo é analisar os pontos de
vulnerabilidade em proteção de dados do
Laboratório.

5 Planejamento

Uma vez que todos os tratamento de dados

foram mapeados e analisados, chegou a hora de
planejar como e quais ações serão
desenvolvidas para sanar os pontos de
vulnerabilidade em proteção de dados.

6 Implementação

É nesta fase que a LGPD, efetivamente, será

implementada no Laboratório. Aqui, todo o
planejamento desenvolvido na fase anterior será
executado.

7 Monitoramento

Após a implementação da LGPD, é necessário o

monitoramento constante do Laboratório, a fim
de mantê-lo, sempre, em conformidade. Esse
monitoramento deverá ser realizado pelo DPO
do Laboratório.
DPO - Data Protection Officer ou
Encarregado de Proteção de
Dados, é quem responde pelo
seu Laboratório, quando o
assunto é proteção de dados
pessoais.

16
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Sobre o Cardoso
Freire Consultoria
O Cardoso Freire Consultoria é o primeiro e o único
escritório do Brasil especializado em proteção de dados
laboratoriais.

Nós somos uma equipe multidisciplinar que atua,

exclusivamente, junto à Laboratórios de Análises Clínicas,
visando oferecer serviços e experiências personalizadas
em proteção de dados.

Valorizamos o tempo, de nossos clientes e nosso. Por isso

trabalhamos para desenvolver soluções claras, práticas e
que colaborem para o crescimento de nossos clientes.

Desejamos construir relações comerciais saudáveis, com

nossos clientes e parceiros, baseadas na honestidade e no
jogo limpo.

Estela Cardoso
CEO e Consultora em Proteção de Dados
Mestre em Direito, especialista em
Proteção de Dados Laboratoriais,
Professora na Universidade Federal de
Lavras, Advogada.

Flávia Jorge
Consultora em Proteção de Dados
Advogada especialista em Direito Civil,
empresarial e na Lei Geral de Proteção de
Dados.

17
 LGPD PARA LABORATÓRIOS DE ANÁLISES CLÍNICAS
Guia Completo

Marcos Alvim
Engenheiro de Software
Engenheiro especializado em segurança
da informação no contexto de softwares e
rede de computadores.

Adriane Siqueira
Estagiária
Acadêmica de Direito na Universidade
Federal de Lavras.

Estamos prontos pra proteger os dados do seu Laboratório

de Análises Clínicas, para que você continue cuidando da
saúde de seus pacientes.

18
Estela Cardoso Freire Consultoria LTDA
CNPJ 39.995.248/0001-75
https://cardosofreire.adv.br
© Todos os direitos reservados