São Paulo, 17 de maio de 2021

Kelson Michel Aoki

POS1014 TEORIA GERAL DO DIREITO DIGITAL PG1657211

Estudo de caso "Saúde Plena”

A Saúde Plena, uma empresa que oferece planos de saúde, decide mediante o surgimento
da pandemia desenvolver um aplicativo para oferecer consultas remotas após inserir dados
cadastrais contendo identificação e dados como peso, altura, esportes que pratica, profissão,
histórico médico comuns em uma anamnese.
Preocupados com a possível responsabilização penal por qualquer incidente gerado através
disso, consultam assistência jurídica com uma advogada. Esta, como devolutiva, questiona quem
será o delegado para manipular estes dados bem como garantir a segurança e confidencialidade das
informações.

A advogada se encarrega então de elaborar um documento inicial contendo as

responsabilidades bem definidas.
Baseado na LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 segue abaixo as considerações
mais importantes a serem observadas.

Em relação aos dados coletados

O Art. 5º da LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 classifica em relação aos coletados,

dado pessoal: “informação relacionada a pessoa natural identificada ou identificável”
e dado pessoal sensível como “dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural” e titular: “pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento”.
Essas informações para serem coletadas conforme com o Art. 7, I precisam de consentimento do
titular previamente. Onde este consentimento no Art 7,XII é explicado como “manifestação livre,
informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para
uma finalidade determinada”. Ou seja, o titular deve ter ciência da finalidade do uso de suas
informações.

Sobre o tratamento das informações

O Art. 7, VIII prevê a legalidade para tratamento dos dados para serviços de saúde, logo no caso em
questão, empresa se assegura que o uso dos dados informados estão em conformidade com a lei.
“O tratamento de dados pessoais somente poderá ser realizado nas seguintes
hipóteses:
VIII - Para a tutela da saúde , exclusivamente, em procedimento realizado por profissionais de
saúde, serviços de saúde ou autoridade sanitária;”

Caso ocorra mudança na finalidade do uso das informações, de acordo com o Art. 9, VII, § 2º, o
titular precisa ser notificado e caso esteja em desacordo, esta ação poderá ser revogada. Como
exemplo, a empresa poderia coletar os dados do cliente(paciente) para fins de identificação e
diagnóstico e posteriormente essa mesma empresa também utilizar para fins de divulgação de
produtos para um determinado público alvo consumidor de determinado medicamento.

Agentes envolvidos
 O Art 5, VI define como controlador: “pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais;”. Segundo o Art 41, Este
será responsável por indicar quem será encarregado pelo tratamento dos dados pessoais. A
identidade deste, deve ser divulgada publicamente de forma clara e objetiva de preferência no
site(portal) do controlador.

Já o operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o

tratamento de dados pessoais em nome do controlador;” será encarregado de prover a autoridade
nacional se requisitado (Art. 38) um relatório de impacto à proteção de dados pessoais e dados
sensíveis em relação às suas operações de tratamento de dados.

Ele será responsável por garantir a segurança da informação e sua salvaguarda.

Penalidades

O Art. 42 atribui que “O controlador ou o operador que, em razão do exercício de atividade de

tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em
violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”
E no Art. 43 explica que eles serão responsabilizados quando provarem que não realizaram o devido
tratamento dos dados.

Também pode ser aplicado sansões administrativas conforme o Art. 52:

“Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta
Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
(Vigência)
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado,
grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a
R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;”

Conclusão

Em concordância dos artigos 46 ao 51, a mitigação dos riscos da segurança da informação bem
como a aplicação de boas práticas de governança, levarão a empresa a se manter em conformidade
com a lei e ofertar seus serviços aos seus clientes de forma confiável e segura.

Bibliografia:
Disponivel em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm acessado em
17/05/2021