Академический Документы
Профессиональный Документы
Культура Документы
Expediente
Coordenadora editorial
Teresa de Souza Dias Gutierrez | Machado Nunes
CONSELHO EDITORIAL
Renato Nunes | Machado Nunes
Rafael Younis Marques | Machado Nunes
REDAÇÃO
Renata Soller
Marcio Martins
COLABORAÇÃO
Emílio Bartolomeu | Italtel
Guilherme Ferri | MF Marketing and Business Advisors
Lucas Macedo de Magalhães | Machado Nunes
Lucas Alves da Silva Bonafé | Machado Nunes
Luiz Felipe Costamilan | Cbexs
Ricardo Medina | MF Marketing and Business Advisors
Thanos Rammos | Taylor Wessing
DIREÇÃO DE PROJETO
Guilherme Ferri | MF Marketing and Business Advisors
PROJETO EDITORIAL
Mario Mucida
FOTOGRAFIA
Shutterstock
IMPRESSÃO
Formacerta - 1.200 unidades
Sumário
1 Introdução 4
A
Lei nº 13.709, de 14 de agosto de 2018, co-
nhecida como Lei Geral de Proteção de
Dados Pessoais (“LGPD”) foi aprovada no
Congresso Nacional de forma relativamente rápi-
da, após a entrada em vigor da legislação euro-
peia (maio/2018), a GDPR (General Data Protec-
tion Regulation).
6
Introdução
Independentemente das exceções à requisi- A LGPD veio consolidar muitas garantias e di-
ção de consentimento, há um evidente empode- reitos que eram anteriormente tratados de forma
ramento do titular dos dados, pois ele poderá, esparsa, o que muito positivo e certamente traz
por exemplo, requerer informações aos contro- segurança jurídica ao país.
ladores sobre seu uso, além de, em certas situa-
ções, solicitar a exclusão da base do controlador. Há dois paralelos que podemos traçar entre a
LGPD e o setor da saúde: a segurança da infor-
Ao colher o dado de usuários, todo e qualquer mação e o empoderamento do usuário.
estabelecimento deve ponderar se há a neces-
sidade de solicitação daquela informação para Para o setor da saúde, a privacidade de dados
viabilizar a oferta do produto ou serviços aos e o direito ao sigilo não são novidades. Há muitos
usuários. Não se pode, por exemplo, exigir que anos os atores dessa cadeia promovem (ou ao
uma pessoa informe sempre o seu CPF quando menos deveriam promover!) ações para garantir
for adquirir um medicamento em uma drogaria. a segurança das informações que coletam. Afi-
nal, o sigilo na saúde é um norte orientador de
Por sua vez, é extremamente razoável que um
todos os envolvidos.
hospital questione o paciente sobre o seu tipo
sanguíneo, pois a informação é extremamente O empoderamento do paciente e o reconheci-
relevante à adequada prestação dos serviços. mento de sua participação no processo da assis-
Antes mesmo da edição da LGPD, já tínha- tência à saúde também tem sido cada vez mais
mos dispositivos que garantiam a privacidade difundidos nos estabelecimentos de saúde do
de dados dos usuários. A título exemplificativo, país. Nos últimos anos, verificamos um aumento
citamos a Lei nº 12.965, de 23 de abril de 2014, significativo da utilização de Termos de Consen-
mais conhecida como “Marco Civil da Internet”, timento, por meio dos quais os pacientes ou seus
que dispõe sobre as garantias, direitos e deveres responsáveis formalizam sua concordância com
para o uso da internet no Brasil. o tratamento proposto e tomam conhecimento
dos riscos envolvidos.
O Marco Civil da Internet assegura ao usuário:
a inviolabilidade e sigilo de dados, além do aces- Assim como ocorre na LGPD, esse consenti-
so a informações claras e completas e o direito mento também pode ser revogado a qualquer
ao consentimento. momento.
7
Introdução
Na saúde, o legislador houve por bem garan- O tratamento de dados na saúde tem um futuro
tir que os serviços de saúde figurem dentre as promissor, com gigantesco potencial de sucesso.
exceções para o consentimento. De fato, não há
sentido algum em se exigir a requisição de auto- No dia de fechamento desta edição, ainda
rização de um paciente para a coleta de um dado aguardamos a tramitação da Medida Provisória
nº 869/2018, que certamente consolidará mui-
que é essencial à própria prestação do serviço.
tas perspectivas, inclusive relacionadas à cons-
Independentemente disso, se o estabeleci- tituição da Autoridade Nacional de Proteção de
mento optar por utilizar o dado para outro fim Dados (“ANPD”), órgão de extrema importância
que não apenas o atendimento do paciente, es- que norteará a atuação das empresas.
tará sim obrigado a requerer seu consentimento,
Esperamos que a ANPD convoque os outros
que poderá ser revogado a qualquer tempo.
agentes reguladores do setor da saúde (Agência
O que o setor da saúde terá que fazer, nesse Nacional de Saúde Suplementar, Agência Nacio-
caso, é, além de empoderar o paciente na esco- nal de Vigilância Sanitária, Ministério da Saúde
lha do melhor tratamento de saúde, também ga- etc.) para tratar da utilização dos dados com um
rantir que ele tenha plena ciência e concorde, se enfoque principal: o próprio paciente.
e quando requerido, com a utilização dos dados. Esta obra foi redigida por muitas mãos: advo-
O uso e análise de dados em saúde certamen- gados, técnicos em informação e assessores de
te colaborarão para uma melhoria constante de negócios. Nos dois primeiros capítulos, elabora-
dos pelos advogados Lucas Magalhães e Lucas
protocolos clínicos e comparabilidade de casos.
Bonafé, respectivamente, são abordados os prin-
Assim, ainda que o tratamento de dados para
cipais aspectos da LGPD. No primeiro é feita uma
prestação da assistência à saúde propriamente
abordagem geral da LGPD, no segundo, o enfo-
dita não dependa do consentimento do paciente,
que é totalmente voltado ao setor da saúde. O
a longo prazo, vislumbramos uma utilização cada
terceiro capítulo, em inglês, é elaborado por ad-
vez maior de informações para inovação e revi-
vogado especialista em GDPR, Thanos Rammos,
são de procedimentos.
com análise bem prática da legislação europeia,
Há, ainda, a perspectiva de implementação de fonte da legislação brasileira.
um sistema de compartilhamento de dados de Os três últimos capítulos foram elaborados
saúde mínimo. Por esse sistema, um estabeleci- por profissionais que atuam no setor da saúde
mento terá acesso a um histórico básico do pa- há muitos anos. O artigo do Luiz Felipe Costa-
ciente e ao último atendimento realizado. A pers- milan, Diretor Executivo do Colégio Brasileiro de
pectiva é que o acesso a esses dados reduza os Executivos em Saúde, analisa a LGPD sob a visão
custos da assistência à saúde, mas também au- do gestor, reconhecendo que há um novo cená-
mente consideravelmente a importância de uma rio pela frente. Assim, tal como ocorre no setor
cultura de segurança da informação, pois mais da saúde, em que a assistência é praticamente
portas de comunicação estarão abertas. uma extensão do próprio paciente, os dados
8
Introdução
9
O Sistema de Proteção de Dados no Brasil
Isso porque, o próprio conceito de privacida- Acompanhando tais modificações sociais tra-
de vem sofrendo alterações, que acompanham zidas especialmente pela tecnologia, tanto os
o desenvolvimento tecnológico e social. Em sua poderes legislativo e judiciário9 passaram a apre-
concepção inicial, este era entendido por seu
viés negativo de “direito de ser deixado só”, por
4 SAUAIA, Hugo Moreira Lima. A proteção dos dados pes-
meio do qual o indivíduo poderia exigir do Esta- soais no Brasil – Rio de Janeiro: Lumen Juris, 2019. Não pa-
do e dos demais particulares a abstenção de sua ginado.
vida privada. Entretanto, por força do avanço
tecnológico exponencial ocorrido no século XX, 5 Constituição Federal do Brasil: “Art. 5º (...), inciso X - são
invioláveis a intimidade, a vida privada, a honra e a imagem
verificou-se a mutação do ideal de privacidade,
das pessoas, assegurado o direito a indenização pelo dano
surgindo assim um viés positivo de controle das
material ou moral decorrente de sua violação;”
informações pelo próprio indivíduo titular delas2.
6 Constituição Federal do Brasil: “Art. 5º (...), inciso XI - é
Esta evolução prosseguiu para o que seria cha- inviolável o sigilo da correspondência e das comunicações
mado de “sociedade da informação”, fomentada telegráficas, de dados e das comunicações telefônicas, salvo,
especialmente pelo advento da internet e pela no último caso, por ordem judicial, nas hipóteses e na forma
massiva produção de conteúdo decorrente de que a lei estabelecer para fins de investigação criminal ou
interações e transações realizadas entre os usuá- instrução processual penal”;
rios do ambiente virtual. Estudos preveem que 7 Constituição Federal do Brasil: “Art. 5º (...), inciso XIV - é
no ano de 2025 serão produzidos 175 zetabytes, assegurado a todos o acesso à informação e resguardado o
ou seja 175 trilhões de gigabytes. Se pudéssemos sigilo da fonte, quando necessário ao exercício profissional;”;
colocar esses dados de DVDs, seriam discos o 8 Na data de edição desta obra, tramita no Congresso Nacio-
suficiente para 222 voltas em nosso planeta3. nal o Projeto de Emenda à Constituição Federal nº 17/2019,
que propõe incluir no Art. 5º da Constituição o inciso “XII-A
– é assegurado, nos termos da lei, o direito à proteção de
1 Lei Federal nº 13.709/2018: “Art. 5º Para os fins desta Lei,
dados pessoais, inclusive nos meios digitais”.
considera-se: I - dado pessoal: informação relacionada a pes-
soa natural identificada ou identificável; ” 9 Sobre o tema, cumpre destacar o comentário do Minis-
2 MENDES, Laura Schertel Ferreira: Privacidade, Proteção de tro do STJ Ruy Rosado em seu voto proferido no Recurso
Dados e Defesa do Consumidor – Linhas Gerais de Um novo Especial 22.337-9/RS, ocorrido realizado em 13 de fevereiro
Direito Fundamental. São Paulo: Saraiva, 2014 – Série IDP: li- de 1995: “A importância do tema cresce de ponto quando se
nha pesquisa acadêmica. Não paginado. observa o número imenso de atos da vida humana pratica-
dos através da mídia eletrônica ou registrados nos disquetes
3 REINSEL, David. GANTZ, John. RYDNING, John. IDC White
Paper: “Data Age 2025 – The Digityalization of the World. de computador. Na Alemanha, por exemplo, a questão está
November 2018”. Disponível em: https://www.seagate.com/ posta nos nível das garantias fundamentais, como o direito
files/www-content/our-story/trends/files/idc-seagate-da- de autodeterminação informacional (o cidadão é quem tem
taage-whitepaper.pdf - acesso em 19/07/2019 o direito de saber quem sabe o que sobre ele), além da insti-
12
O Sistema de Proteção de Dados no Brasil
sentar indicativos de que alterações seriam indis- Acesso à informação em bancos de dados e
pensáveis no cenário brasileiro, visando a con- cadastro de consumidores12;
cretização dos direitos constitucionais.
Necessidade de comunicação ao consumidor
A seguir, passaremos a discutir um panorama quando da abertura do cadastro, ficha regis-
geral da proteção de dados, inicialmente como tro e dados pessoais de consumo sempre que
uma forma de preservação de direitos constitu- este não o solicitar13;
cionais e, posteriormente, como uma ferramenta
de proteção ao direito autônomo sobre o Dado Direito de imediata correção em caso de ine-
Pessoal. xatidão nos dados e cadastros14;
11 MENDES, Laura Schertel Ferreira: Privacidade, Proteção de 16 Lei nº 10.406, de 10 de janeiro de 2002: “Art. 11. Com ex-
Dados e Defesa do Consumidor – Linhas Gerais de Um novo ceção dos casos previstos em lei, os direitos da personalida-
Direito Fundamental. São Paulo: Saraiva, 2014 – Série IDP: li- de são intransmissíveis e irrenunciáveis, não podendo o seu
nha pesquisa acadêmica. Não paginado. exercício sofrer limitação voluntária.”
13
O Sistema de Proteção de Dados no Brasil
da imagem da pessoa17, além impor ao poder ju- parência da administração pública21. Esta norma
diciário a tomada de providências que impeçam passa a apresentar uma indubitável aproximação
atos violadores da vida privada18. da proteção de dados pessoais, ao tratar de “in-
formações pessoais”22.
Já em 2011, foi publicada a Lei do Cadastro Po-
sitivo (Lei nº 12.414/2011), que tutela a formação Seguindo-se, em 2014, após intensas discus-
e consulta de bancos de dados com informações sões legislativas, sobreveio o Marco Civil da In-
para formação de histórico de crédito de pes- ternet (Lei nº 12.965 de 23 de abril de 2014), prin-
soas físicas e jurídicas. cipal marco regulatório sobre a internet no Brasil.
Esta foi a lei que efetivamente inaugurou a tutela
Além dos direitos já contemplados pelo Códi- de “Dados Pessoais”23, ainda que limitada ao am-
go de Defesa do Consumidor, a inovação no que biente web.
compete a tutela de dados pessoais decorre da
conceituação de “informações sensíveis”, defini- Dentre os principais pontos do Marco Civil
das como “aquelas pertinentes à origem social e da Internet estão o estabelecimento da prote-
étnica, à saúde, à informação genética, à orienta- ção à privacidade e proteção de dados pessoais
ção sexual e às convicções políticas, religiosas e como princípio da disciplina da internet no Bra-
filosóficas”19, juntamente com a proibição às ano- sil24. Dessa forma, a Lei passa a tutelar, dentro
tações de informações excessivas, o que poste- do amplo espectro da privacidade, os direitos e
riormente seria consagrado no princípio da ne- deveres havidos sobre dados pessoais que estão
cessidade previsto da LGPD. Este último, por seu armazenados e/ou trafegam pela internet.
turno, limita o tratamento de dados ao mínimo ne-
cessário para atingir uma finalidade específica20. Dentre as principais inovações desta lei, veri-
ficam-se diversos direitos que posteriormente
Ainda naquele ano (2011), foi sancionada a Lei seriam reiterados na LGPD. Destacam-se os se-
de Acesso à informação, cuja entrada em vigor guintes pontos:
se deu no ano seguinte. Seu objetivo é a adequa-
ção ao contexto internacional de maior trans- O fornecimento de dados pessoais a terceiros
sem prévio consentimento do titular constitui
violação direito a direito do cidadão25;
17 Lei nº 10.406, de 10 de janeiro de 2002: “Artigo 20: Salvo O titular dos dados pessoais passou a ter ex-
se autorizadas, ou se necessárias à administração da justiça presso direito a informações claras e comple-
ou à manutenção da ordem pública, a publicação, a exposi-
ção ou a utilização da imagem de uma pessoa poderão ser
proibidas, a seu requerimento e sem prejuízo da indenização
21 MENDES, Laura Schertel Ferreira: Privacidade, Proteção
que couber, se lhe atingirem a honra, a boa fama ou a respei-
de Dados e Defesa do Consumidor – Linhas Gerais de Um
tabilidade, ou se se destinarem a fins comerciais.”
novo Direito Fundamental. São Paulo: Saraiva, 2014 – Série
18 Lei nº 10.406, de 10 de janeiro de 2002: “Artigo 21: A vida IDP: linha pesquisa acadêmica. Não paginado.
privada da pessoa natural é inviolável, e o juiz, a requerimen-
22 Lei nº 12.527, de 18 de novembro de 2011: “Art. 4º Para os efei-
to do interessado, adotará as providências necessárias para
tos desta Lei, considera-se: (...) IV - informação pessoal: aquela
impedir ou fazer cessar ato contrário a esta norma.
relacionada à pessoa natural identificada ou identificável; ”
19 Lei nº 12.414, de 9 de junho de 2011: Art. 3º, §3º, inciso
23 JESUS, Damásio de. MILAGRE, José Antônio: Marco Civil
II. Posteriormente, a LGPD viria a classificar o “dado pessoal
da Internet: comentários à Lei nº 12.965, de 23 de abril de
sensível” no Art. 5º, inciso II, como “dado pessoal sobre ori-
2014 – São Paulo: Saraiva, 2014.
gem racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, fi- 24 Lei nº 12.965 de 23 de abril de 2014: “Art. 3º A disciplina
losófico ou político, dado referente à saúde ou à vida sexual, do uso da internet no Brasil tem os seguintes princípios: II -
dado genético ou biométrico, quando vinculado a uma pes- proteção da privacidade; III - proteção dos dados pessoais,
soa natural” na forma da lei;”
20 Lei Federal nº 13.709/2018: “Art. 6º As atividades de 25 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º O acesso à in-
tratamento de dados pessoais deverão observar a boa-fé ternet é essencial ao exercício da cidadania, e ao usuário são
e os seguintes princípios: (...)III - necessidade: limitação do assegurados os seguintes direitos: (...) VII - não fornecimento
tratamento ao mínimo necessário para a realização de suas a terceiros de seus dados pessoais, inclusive registros de co-
finalidades, com abrangência dos dados pertinentes, propor- nexão, e de acesso a aplicações de internet, salvo mediante
cionais e não excessivos em relação às finalidades do trata- consentimento livre, expresso e informado ou nas hipóteses
mento de dados;” previstas em lei;”
14
O Sistema de Proteção de Dados no Brasil
27 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º (...) tratamento Finalmente, no ano de 2016, o Poder Execu-
e proteção de seus dados pessoais, que somente poderão ser tivo da União expediu o Decreto nº 8.771, de 11
utilizados para finalidades que: a) justifiquem sua coleta; b) de maio de 2016, cujo objeto é a regulamentação
não sejam vedadas pela legislação; e c) estejam especifica- de diversos aspectos do Marco Civil da Internet.
das nos contratos de prestação de serviços ou em termos de Dentre eles está a conceituação de Dado Pes-
uso de aplicações de internet; soal, como “dado relacionado à pessoa natural
28 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º (...) IX - con- identificada ou identificável, inclusive números
sentimento expresso sobre coleta, uso, armazenamento e identificativos, dados locacionais ou identifica-
tratamento de dados pessoais, que deverá ocorrer de forma dores eletrônicos, quando estes estiverem rela-
destacada das demais cláusulas contratuais;” cionados a uma pessoa”33.
29 Lei nº 12.965 de 23 de abril de 2014: “Art. 7º (...) IX - con-
Verifica-se assim que o legislador brasileiro
sentimento expresso sobre coleta, uso, armazenamento e
tratamento de dados pessoais, que deverá ocorrer de forma
evoluiu o pensamento protetivo da privacidade,
destacada das demais cláusulas contratuais;” ao nível da autodeterminação informacional, sen-
do este o direito de todo cidadão de ter controle
30 Lei nº 12.965 de 23 de abril de 2014: “Art. 22. A parte inte- sobre suas informações, de forma que este possa
ressada poderá, com o propósito de formar conjunto proba-
ter a prerrogativa de escolha no que compete à
tório em processo judicial cível ou penal, em caráter inciden-
divulgação e utilização de seus dados pessoais34
tal ou autônomo, requerer ao juiz que ordene ao responsável
pela guarda o fornecimento de registros de conexão ou de
registros de acesso a aplicações de internet.” 32 Lei nº 12.965 de 23 de abril de 2014: “Art. 12. Sem prejuí-
zo das demais sanções cíveis, criminais ou administrativas,
31 Lei nº 12.965 de 23 de abril de 2014: “Art. 21. O provedor
as infrações às normas previstas nos arts. 10 e 11 ficam su-
de aplicações de internet que disponibilize conteúdo gera- jeitas, conforme o caso, às seguintes sanções, aplicadas de
do por terceiros será responsabilizado subsidiariamente pela forma isolada ou cumulativa: (...) III - suspensão temporária
violação da intimidade decorrente da divulgação, sem auto- das atividades que envolvam os atos previstos no art. 11; ou
rização de seus participantes, de imagens, de vídeos ou de IV - proibição de exercício das atividades que envolvam os
outros materiais contendo cenas de nudez ou de atos sexuais atos previstos no art. 11.”
de caráter privado quando, após o recebimento de notifica-
33 Decreto nº 8.771, de 11 de maio de 2016: art. 14, inciso I.
ção pelo participante ou seu representante legal, deixar de
promover, de forma diligente, no âmbito e nos limites técni- 34 MENKE, Fabiano. “A proteção dedados e o novo direito
cos do seu serviço, a disponibilização desse conteúdo.” fundamental À garantia da confidencialidade e da integrida-
15
O Sistema de Proteção de Dados no Brasil
Com o intuito restabelecer o compromisso do Em síntese, a GDPR é uma norma com força
Estado com os indivíduos no que compete à pro- de lei que tutela o tratamento de dados pessoais
teção de direitos fundamentais, a União Europeia realizado por estabelecimentos na União Euro-
passou a liderar este debate36, sendo que desde peia38 ou mesmo fora desta, no caso estabeleci-
a década de 1970 países desse bloco passaram a mentos que realizem tratamento de dados para
tutelar o tema, visando especialmente o controle oferecimento de produtos e serviços a titulares
do processamento de dados pelo poder público localizados nesta região39.
16
O Sistema de Proteção de Dados no Brasil
3. Principais aspectos da
LGPD
Neste capítulo, abordaremos de forma práti-
ca e objetiva os principais pontos de atenção à
LGPD, em sua versão atualizada até o momento
de edição deste Livro, ou seja, será analisada a
Lei nº 13.708, de 14 de agosto de 2018, alterada
pela Lei nº 13.853, de 8 de julho de 2019, cuja en-
trada em vigor das principais disposições dar-se
-á em 16 de agosto de 2020.
17
O Sistema de Proteção de Dados no Brasil
VI. Controlador: pessoa natural ou jurídica, de di- órgãos e entidades públicos no cumprimento
reito público ou privado, a quem competem de suas competências legais, ou entre esses e
as decisões referentes ao tratamento de da- entes privados, reciprocamente, com autori-
dos pessoais; zação específica, para uma ou mais modalida-
des de tratamento permitidas por esses entes
VII. Operador: pessoa natural ou jurídica, de di- públicos, ou entre entes privados;
reito público ou privado, que realiza o trata-
mento de dados pessoais em nome do con- XVII. Relatório de impacto à proteção de dados
trolador; pessoais: documentação do controlador que
contém a descrição dos processos de trata-
VIII. Encarregado: pessoa indicada pelo controla- mento de dados pessoais que podem gerar
dor e pelo operador para atuar como canal de riscos às liberdades civis e aos direitos funda-
comunicação entre o controlador, os titulares mentais, bem como medidas, salvaguardas e
dos dados e a Autoridade Nacional de Prote- mecanismos de mitigação de risco;
ção de Dados;
XVIII. Órgão de pesquisa: órgão ou entidade
IX. Agentes de tratamento: o controlador e o da administração pública direta ou indireta
operador; ou pessoa jurídica de direito privado sem
fins lucrativos legalmente constituída sob as
X. Tratamento: toda operação realizada com da-
leis brasileiras, com sede e foro no País, que
dos pessoais, como as que se referem a coleta,
inclua em sua missão institucional ou em seu
produção, recepção, classificação, utilização,
objetivo social ou estatutário a pesquisa básica
acesso, reprodução, transmissão, distribuição,
ou aplicada de caráter histórico, científico,
processamento, arquivamento, armazena-
tecnológico ou estatístico;
mento, eliminação, avaliação ou controle da
informação, modificação, comunicação, trans- XIX. Autoridade Nacional (“ANDP”): órgão da
ferência, difusão ou extração; administração pública responsável por zelar,
implementar e fiscalizar o cumprimento desta
XI. Anonimização: utilização de meios técnicos
Lei no território nacional.
razoáveis e disponíveis no momento do trata-
mento, por meio dos quais um dado perde a XX. Pseudonimização: tratamento por meio do
possibilidade de associação, direta ou indire- qual um dado perde a possibilidade de asso-
ta, a um indivíduo; ciação, direta ou indireta, a um indivíduo, se-
não pelo uso de informação adicional mantida
XII. Consentimento: manifestação livre, informa-
separadamente pelo controlador em ambien-
da e inequívoca pela qual o titular concorda
te controlado e seguro43.
com o tratamento de seus dados pessoais
para uma finalidade determinada;
XIV. Eliminação: exclusão de dado ou de conjun- A LGPD tutela o tratamento de dados pessoais,
to de dados armazenados em banco de da- inclusive em meios digitais, realizados por qual-
dos, independentemente do procedimento quer pessoa44. Ou seja, esta Lei tutela dados tanto
empregado;
43 Lei Federal nº 13.709/2018: “Art. 13. (...)§ 4º Para os efei-
XV. Transferência internacional de dados: trans-
tos deste artigo, a pseudonimização é o tratamento por meio
ferência de dados pessoais para país estran-
do qual um dado perde a possibilidade de associação, direta
geiro ou organismo internacional do qual o ou indireta, a um indivíduo, senão pelo uso de informação
país seja membro; adicional mantida separadamente pelo controlador em am-
biente controlado e seguro.”
XVI. Uso compartilhado de dados: comunicação,
difusão, transferência internacional, interco- 44 Lei Federal nº 13.709/2018: “Art. 1º Esta Lei dispõe sobre
nexão de dados pessoais ou tratamento com- o tratamento de dados pessoais, inclusive nos meios digitais,
partilhado de bancos de dados pessoais por por pessoa natural ou por pessoa jurídica de direito público
ou privado, com o objetivo de proteger os direitos funda-
18
O Sistema de Proteção de Dados no Brasil
em meios físicos como eletrônicos, dentro ou fora brasileiros, ou (ii) sejam transferidos para ou-
da internet, e se aplica tanto aos entes públicos tro país que apresente o mesmo grau de pro-
quanto particulares, sejam eles pessoas jurídicas teção da LGPD46;
ou físicas, que realizem tratamento de dados.
Tratamento de dados anonimizados, salvo em
Para tanto, é indispensável que seja atendida caso de reversão da anonimização47.
uma das seguintes condições45:
A norma apresenta ainda fundamentos que
A operação de tratamento ocorra em territó- precisam ser levados em consideração em sua
rio brasileiro; interpretação, tais como o respeito à privacida-
de, autodeterminação informativa, o desenvolvi-
O tratamento de dados tenha como objetivo mento econômico e a livre iniciativa48. Tais dis-
o fornecimento de bens e serviços a titulares posições constituem o norte de aplicação da Lei,
de dados pessoais localizados no Brasil; que deve preservar direitos individuais sem frear
Os dados pessoais submetidos ao tratamento o avanço tecnológico e econômico49.
tenham sido coletados no Brasil.
Destas considerações, é possível verificar que 46 Lei Federal nº 13.709/2018: “Art. 4º Esta Lei não se aplica
dados de pessoas jurídicas não estão protegidos ao tratamento de dados pessoais: I - realizado por pessoa na-
pela LGPD e que, a aplicação da Lei independe tural para fins exclusivamente particulares e não econômicos;
da nacionalidade do titular. II - realizado para fins exclusivamente: a) jornalístico e artís-
ticos; ou b) acadêmicos; III - realizado para fins exclusivos
Existem ainda exceções à aplicação da LGPD. de: a) segurança pública; b) defesa nacional; c) segurança
São elas: do Estado; ou d) atividades de investigação e repressão de
infrações penais; ou IV - provenientes de fora do território
Tratamento realizado por pessoa natural com nacional e que não sejam objeto de comunicação, uso com-
fins particulares e não econômicos; partilhado de dados com agentes de tratamento brasileiros
ou objeto de transferência internacional de dados com outro
Tratamento com fins (i) jornalísticos, (ii) artís- país que não o de proveniência, desde que o país de pro-
ticos, (iii) acadêmicos; veniência proporcione grau de proteção de dados pessoais
adequado ao previsto nesta Lei.§ 1º O tratamento de da-
Tratamento com o fim de (i) segurança públi- dos pessoais previsto no inciso III será regido por legislação
ca; (ii) defesa nacional; (iii) segurança de Esta- específica, que deverá prever medidas proporcionais e es-
do; ou (iv) investigação ou repressão de infra- tritamente necessárias ao atendimento do interesse público,
ções penais, mediante legislação específica; observados o devido processo legal, os princípios gerais de
proteção e os direitos do titular previstos nesta Lei.
Tratamento de dados pessoais originados de 47 Lei Federal nº 13.709/2018: “Art Art. 12. Os dados anoni-
fora do Brasil e que (i) não sejam comparti- mizados não serão considerados dados pessoais para os fins
lhados ou enviados a agentes de tratamento desta Lei, salvo quando o processo de anonimização ao qual
foram submetidos for revertido, utilizando exclusivamente
meios próprios, ou quando, com esforços razoáveis, puder
mentais de liberdade e de privacidade e o livre desenvolvi-
ser revertido.”
mento da personalidade da pessoa natural.”
48 Lei Federal nº 13.709/2018: “Art. 2º A disciplina da prote-
45 Lei Federal nº 13.709/2018, “Art. 3º Esta Lei aplica-se a
ção de dados pessoais tem como fundamentos:
qualquer operação de tratamento realizada por pessoa na-
I - o respeito à privacidade; II - a autodeterminação informa-
tural ou por pessoa jurídica de direito público ou privado, in-
tiva; (...) V - o desenvolvimento econômico e tecnológico e a
dependentemente do meio, do país de sua sede ou do país
inovação; VI - a livre iniciativa, a livre concorrência e a defesa
onde estejam localizados os dados, desde que: I - a operação
do consumidor; e
de tratamento seja realizada no território nacional; II - a ati-
vidade de tratamento tenha por objetivo a oferta ou o for- 49 Neste sentido versa a justificativa do Projeto de Lei
necimento de bens ou serviços ou o tratamento de dados 4060/2012, cujo texto originou a LGPD: “O tratamento de
de indivíduos localizados no território nacional; III - os dados dados é hoje uma realidade cada vez mais presente em nosso
pessoais objeto do tratamento tenham sido coletados no cotidiano, especialmente quando experimentamos o avanço
território nacional. § 1ºConsideram-se coletados no território da tecnologia da informação, em especial a internet e suas
nacional os dados pessoais cujo titular nele se encontre no aplicações nas mais diversas áreas de nossa vida em socieda-
momento da coleta. § 2º Excetua-se do disposto no inciso I de. Até pouco tempo era inimaginável pensar nas aplicações
deste artigo o tratamento de dados previsto no inciso IV do e a interação que a internet teria em nosso dia-a-dia, ao mes-
caput do art. 4º desta Lei. ”. mo tempo em que podemos imaginar que isso continuará em
19
O Sistema de Proteção de Dados no Brasil
20
O Sistema de Proteção de Dados no Brasil
públicas previstas em lei ou regulamentos ou Dados tornados públicos pelo próprio titular52.
respaldados em contratos, convênios ou ins-
trumentos semelhantes;
3.4.1. Consentimento
Realização de estudos por órgãos de pesqui-
O consentimento do titular é a primeira das 11
sa, utilizando sempre que possível dados ano-
hipóteses que legitimam a realização do trata-
nimizados;
mento de dados. Entretanto, ela não é a única,
Execução de contrato ou de procedimentos muito menos a “principal”. Por essa razão, cada
preliminares relacionados a contrato do qual negócio precisa avaliar qual é a melhor base para
seja parte o Titular, sob sua solicitação; a coleta dos dados, de acordo com a finalidade
que se pretende atingir.
Exercício regular de direitos em processo ju-
dicial, administrativo ou arbitral; O Consentimento deve ser fornecido por es-
crito ou outro meio que demonstre a manifes-
Proteção da vida ou da incolumidade física do tação de vontade53. Por essa razão, é possível
titular ou de terceiro;
21
O Sistema de Proteção de Dados no Brasil
54 Lei Federal nº 13.709/2018: “Art. 8º (...) § 1º Caso o con- Denota-se que o tratamento de dados pes-
sentimento seja fornecido por escrito, esse deverá constar de soais mediante o consentimento demanda do
cláusula destacada das demais cláusulas contratuais. ” controlador uma série de requisitos e responsa-
bilidades específicas, não aplicáveis às demais
55 Lei Federal nº 13.709/2018: “Art. 7º (...)§ 5º O controlador hipóteses trazidas pela lei.
que obteve o consentimento referido no inciso I do caput
deste artigo que necessitar comunicar ou compartilhar dados
pessoais com outros controladores deverá obter consenti- revogá-lo caso discorde da alteração.
mento específico do titular para esse fim, ressalvadas as hi-
59 Lei Federal nº 13.709/2018: “Art. 8º (...) § 2º Cabe ao con-
póteses de dispensa do consentimento previstas nesta Lei. ”
trolador o ônus da prova de que o consentimento foi obtido
56 Lei Federal nº 13.709/2018: “Art. 8º (...) §4º O consenti- em conformidade com o disposto nesta Lei.”
mento deverá referir-se a finalidades determinadas, e as au-
60 Lei Federal nº 13.709/2018: “Art. 8º (...) § 6º Em caso de
torizações genéricas para o tratamento de dados pessoais
alteração de informação referida nos incisos I, II, III ou V do
serão nulas.”
art. 9º desta Lei, o controlador deverá informar ao titular, com
57 Lei Federal nº 13.709/2018: “Art. 9º (...)§ 1º Na hipótese em destaque de forma específica do teor das alterações, poden-
que o consentimento é requerido, esse será considerado nulo do o titular, nos casos em que o seu consentimento é exigido,
caso as informações fornecidas ao titular tenham conteúdo revogá-lo caso discorde da alteração.
enganoso ou abusivo ou não tenham sido apresentadas pre-
61 Lei Federal nº 13.709/2018: “Art. 19. (...)§ 3º Quando o
viamente com transparência, de forma clara e inequívoca.
tratamento tiver origem no consentimento do titular ou em
58 Lei Federal nº 13.709/2018: “Art. 8º (...) § 6º Em caso de contrato, o titular poderá solicitar cópia eletrônica integral
alteração de informação referida nos incisos I, II, III ou V do de seus dados pessoais, observados os segredos comercial e
art. 9º desta Lei, o controlador deverá informar ao titular, com industrial, nos termos de regulamentação da autoridade na-
destaque de forma específica do teor das alterações, poden- cional, em formato que permita a sua utilização subsequente,
do o titular, nos casos em que o seu consentimento é exigido, inclusive em outras operações de tratamento.”
22
O Sistema de Proteção de Dados no Brasil
Evidente que os agentes de tratamento deve- V. Quando solicitado pelo titular e necessário
rão observar os princípios que legitimam o tra- para a execução de contratos ou procedimen-
tamento de dados pessoais62 e suas obrigações tos preliminares;
gerais63, mas diferentemente do caso anterior, a
lei não condiciona a obtenção de consentimento VI. Exercício regular de direitos em processo
nos seguintes casos64: administrativo, judicial ou arbitral;
I. Dados tornados públicos pelo próprio titular65,
VII. Proteção da vida ou incolumidade física
devendo ser preservados seus direitos e conser-
vada a finalidade, boa-fé e interesse público66; do titular ou de terceiros;
II. Cumprimento de obrigação legal ou regulató- VIII. Tutela da saúde, em procedimento reali-
ria pelo controlador; zado por profissionais da saúde ou entidades
sanitárias;
III. Pela administração pública, para o tratamento
e uso compartilhado de dados necessários à IX. Interesse legítimo do controlador, sempre
execução de políticas públicas; que não conflitante com direitos e garantias
IV. Realização de estudos por órgãos de pesquisa, fundamentais do titular;
preferencialmente com dados anonimizados;
X. Proteção do crédito.
23
O Sistema de Proteção de Dados no Brasil
24
O Sistema de Proteção de Dados no Brasil
25
O Sistema de Proteção de Dados no Brasil
26
O Sistema de Proteção de Dados no Brasil
Sempre que possível, os dados deverão ser No caos de tratamento de dados mediante o
anonimizados ou pseudonimizados; consentimento dos pais ou responsáveis legais,
o controlador deverá divulgar publicamente as
A divulgação dos resultados não poderá reve- seguintes informações, de maneira simples, clara
lar dados pessoais; e e acessível, considerando inclusive as caracterís-
ticas próprias do titular alvo85:
Não será possível a transmissão de dados
pessoais a terceiros83; Tipos de dados coletados;
27
O Sistema de Proteção de Dados no Brasil
28
O Sistema de Proteção de Dados no Brasil
3.5.2. Direitos de providências oponíveis em 96 Lei Federal nº 13.709/2018: “Art. 18. (...)§ 8º O direito a
face do controlador que se refere o § 1º deste artigo também poderá ser exercido
perante os organismos de defesa do consumidor.”
Além dos direitos garantidos pela Constituição
e demais normas abordadas no neste trabalho, a 97 Lei Federal nº 13.709/2018: Art. 18 (...)§ 6º O responsável
LGPD traz uma série de direitos do titular oponí- deverá informar de maneira imediata aos agentes de trata-
mento com os quais tenha realizado uso compartilhado de
29
O Sistema de Proteção de Dados no Brasil
VI. Eliminação de dados tratados sem consenti- Cada vez mais a inteligência de negócios vem
mento, exceto nos casos de dispensa do tér- automatizando processos de análise de dados,
mino do tratamento; por meio de tecnologias como Inteligência Artifi-
cal, Machine Learning e Deep Learning, que nem
VII. Informação de entidades públicas receptora sempre são regidos pela neutralidade e objeti-
de dados compartilhados pelo controlador; vidade que comumente se espera. Um exemplo
é o problema do “viés” que, de forma resumida,
VIII. Informações sobre a possibilidade de não
é a existência de uma premissa equivocada ou
consentir, e quais seriam as consequências; discriminatória, que leva o algoritmo a uma con-
IX. Revogação do consentimento; clusão de mesma natureza.
Na hipótese de condicionamento do tratamen- Em termos simples, uma inteligência artificial
to de dados ao fornecimento de produtos ou ser- voltada à predição de câncer alimentada com da-
dos de pacientes, poderia entender que a utiliza-
viços, esses direitos deverão ser informados so-
ção uma certa cor de camiseta, por estar presente
bre os meios de exercício dos direitos referidos em diversos pacientes, poderia ser compreendida
acima98. Já no caso de tratamento de dados de como um fator determinante para a doença, o que
crianças e adolescentes, tais direitos devem ser seria uma conclusão completamente equivocada.
publicamente disponibilizados99. Já um software voltado à avaliação de crédito po-
Por fim, destaca-se que a LGPD prevê até deria entender que, sendo o pleiteante morador
de uma região reconhecidamente humilde ou pos-
mesmo a tutela coletiva de direitos de titulares
suindo determinada cor de pele, poderia ser consi-
de dados pessoais, que poderá ser exercida em derado um mal pagador, o que evidentemente não
juízo100 e ressalta que os dados pessoais referen- corresponde com a realidade.
tes a exercício regular de direitos do próprio titu-
lar não podem ser utilizados contra ele101. Especialmente no segundo exemplo estaría-
mos diante de uma violação do princípio que
veda o tratamento discriminatório. Desta for-
3.5.3. Direito de revisão de tratamento ma, espera-se oportunizar ao titular o direito de
automatizado fundamentar a necessidade de uma revisão que
O titular de dados pessoais tem, ainda, o direito possa, eventualmente, resultar em outras conclu-
sões, e até mesmo fiscalizar uma possível exis-
de revisão de decisões tomadas unicamente com
tência de violação aos princípios da LGPD103.
base em tratamento automatizado, sempre que
tais decisões afetem seus interesses, especial- Naturalmente, a lei assegura que o atendimen-
mente nos casos de decisões que tratam de perfil to desta solicitação pelo controlador não preci-
profissional, pessoal, de consumo e de crédito102. sará implicar na revelação de segredos comer-
ciais ou industriais104, mas o não oferecimento de
30
O Sistema de Proteção de Dados no Brasil
105 Lei Federal nº 13.709/2018: “Art. 20. (...)§ 2º Em caso de 108 Lei Federal nº 13.709/2018: “Art. 39. O operador deverá
não oferecimento de informações de que trata o § 1º deste realizar o tratamento segundo as instruções fornecidas pelo
artigo baseado na observância de segredo comercial e in- controlador, que verificará a observância das próprias instru-
dustrial, a autoridade nacional poderá realizar auditoria para ções e das normas sobre a matéria.
verificação de aspectos discriminatórios em tratamento au-
109 Idem.
tomatizado de dados pessoais.”
110 Lei Federal nº 13.709/2018: Art. 38. A autoridade nacio-
106 Vide item 3.1.
nal poderá determinar ao controlador que elabore relatório
107 Lei Federal nº 13.709/2018: “Art. 37. O controlador e de impacto à proteção de dados pessoais, inclusive de da-
o operador devem manter registro das operações de tra- dos sensíveis, referente a suas operações de tratamento de
tamento de dados pessoais que realizarem, especialmente dados, nos termos de regulamento, observados os segredos
quando baseado no legítimo interesse.” comercial e industrial.”
31
O Sistema de Proteção de Dados no Brasil
envolvidos os direitos que poderá exercer contra Indicação de razões de fato ou de direito que
o controlador. Tais informações devem ser for- impedem a tomada de tais providências de
necidas a todos os titulares, independentemente forma imediata113.
da base utilizada para o tratamento111. Os prazos poderão ser estipulados pelo pró-
A alteração das informações referentes à (i) fi- prio controlador em regulamento próprio, sem-
pre que o atendimento imediato da solicitação
nalidade do tratamento, (ii) forma e duração do de providências não for possível114.
tratamento, (iii) identificação do controlador, ou
(iv) informações sobre o uso compartilhado dos Em caso de correção, eliminação, anonimiza-
dados deverá ser informada ao titular com des- ção ou bloqueio dos dados compartilhados com
taque e de forma específica. terceiros, o controlador deverá informar os de-
mais agentes de tratamento para que estes reali-
Uma vez informado, o titular que consentiu com zem o mesmo procedimento115.
o tratamento de dados deverá lhe ter possibilitada Para fins de atendimento célere da solicitação de
a revogação de seu consentimento. Conforme já confirmação de tratamento de dados pessoais, a
mencionado, trata-se de um modelo opt-out. LGPD dispõe que os dados devem ser armazenados
Adicionalmente, conforme também já mencio- de forma que seja facilitado o direito de acesso116.
nado no item “Direitos de informações oponíveis A resposta de confirmação deverá ser apre-
em face do controlador”, após a devida regula- sentada, à escolha do titular, em formato simpli-
mentação pela Autoridade Nacional, o controla-
dor de dados que realiza tratamento com base no
consentimento, deverá disponibilizar ao titular uma 113 Lei Federal nº 13.709/2018: Art. 18 (...)§ 4º Em caso de
cópia eletrônica dos dados objeto de tratamento. impossibilidade de adoção imediata da providência de que
trata o § 3º deste artigo, o controlador enviará ao titular res-
posta em que poderá: I - comunicar que não é agente de tra-
3.6.3. Obrigações do controlador referentes tamento dos dados e indicar, sempre que possível, o agente;
a direitos oponíveis pelos titulares ou II - indicar as razões de fato ou de direito que impedem a
Já com relação à solicitação de providências adoção imediata da providência. “
apresentada pelo titular em face do controlador112, 114 Lei Federal nº 13.709/2018: “Art. 18 (...)§ 5º O requeri-
a LGPD determina que este último deverá enviar mento referido no § 3º deste artigo será atendido sem custos
uma resposta ao primeiro com o solicitado. A Lei para o titular, nos p”razos e nos termos previstos em regu-
prevê tão somente dois casos de impossibilidade: lamento.”
Caso o responsável pela recepção do pedido 115 Lei Federal nº 13.709/2018: “Art. 18 (...) § 6º O respon-
não for o verdadeiro controlador, deverá in- sável deverá informar de maneira imediata aos agentes de
formar este fato ao titular e, se possível, indi- tratamento com os quais tenha realizado uso compartilhado
car a pessoa correta; de dados a correção, a eliminação, a anonimização ou o blo-
queio dos dados, para que repitam idêntico procedimento.”
32
O Sistema de Proteção de Dados no Brasil
33
O Sistema de Proteção de Dados no Brasil
34
O Sistema de Proteção de Dados no Brasil
Atualização constante129.
e aplique mecanismos de supervisão internos e externos; g)
conte com planos de resposta a incidentes e remediação; e
129 Lei Federal nº 13.709/2018: “Art. 50 § 2º Na aplicação
h) seja atualizado constantemente com base em informações
dos princípios indicados nos incisos VII e VIII do caput do
obtidas a partir de monitoramento contínuo e avaliações pe-
art. 6º desta Lei, o controlador, observados a estrutura, a es-
riódicas;
cala e o volume de suas operações, bem como a sensibilida-
de dos dados tratados e a probabilidade e a gravidade dos 130 Lei Federal nº 13.709/2018: “Art. 46. Os agentes de tra-
danos para os titulares dos dados, poderá: I - implementar tamento devem adotar medidas de segurança, técnicas e ad-
programa de governança em privacidade que, no mínimo: a) ministrativas aptas a proteger os dados pessoais de acessos
demonstre o comprometimento do controlador em adotar não autorizados e de situações acidentais ou ilícitas de des-
processos e políticas internas que assegurem o cumprimen- truição, perda, alteração, comunicação ou qualquer forma de
to, de forma abrangente, de normas e boas práticas relati- tratamento inadequado ou ilícito.”
vas à proteção de dados pessoais; b) seja aplicável a todo o
131 Lei Federal nº 13.709/2018: “Art. 46. § 2º As medidas
conjunto de dados pessoais que estejam sob seu controle,
de que trata o caput deste artigo deverão ser observadas
independentemente do modo como se realizou sua coleta;
desde a fase de concepção do produto ou do serviço até a
c) seja adaptado à estrutura, à escala e ao volume de suas
sua execução.
operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base 132 JIMENE, Camilla do Vale. “Reflexões sobre privacy by
em processo de avaliação sistemática de impactos e riscos design e privacy by defaut: da idealização a positivação”
à privacidade; e) tenha o objetivo de estabelecer relação de in MALDONADO, Viviane Nóbrega, BLUM, Renato Ópice
confiança com o titular, por meio de atuação transparente e (coord.). “Comentários ao GDPR: Regulamento Geral de Pro-
que assegure mecanismos de participação do titular; f) esteja teção de Dados da União Européia” – São Paulo: Thomson
integrado a sua estrutura geral de governança e estabeleça Reuters Brasil, 2018. Pág. 171.
35
O Sistema de Proteção de Dados no Brasil
É importante destacar que o agente A Autoridade Nacional, por seu turno, poderá
responsável pelo tratamento dos dados deve tomar certas medidas, como:
garantir a segurança da informação mesmo após
Divulgação ampla do fato;
o término do tratamento. Verifica-se neste ponto
que, mesmo finalizado o tratamento do dado, Adoção de medidas para mitigação;
caso este ainda se mantenha na base de dados do
agente, este será responsável por sua segurança. Avaliação de comprovação de que as medi-
das técnicas adequadas foram tomadas.134
Em caso de incidente envolvendo dados pes-
soais que possa implicar em risco ou danos re- Diante da quantidade de obrigações existen-
levantes aos titulares, o controlador tem a obri- tes em caso de incidentes, é indispensável que
gação de comunicar os titulares envolvidos e a as instituições tenham procedimentos pré-esta-
Autoridade Nacional. A comunicação deverá ser belecidos de segurança da informação (como
realizada em prazo razoável, contendo: políticas de proteção de dados, criptografia, etc),
além de metodologias específicas para identifica-
Descrição e natureza dos dados envolvidos; ção do incidente, avaliação dos riscos, e reportes
Informações sobre os titulares envolvidos; com autoridades e titulares de dados pessoais.
36
O Sistema de Proteção de Dados no Brasil
37
O Sistema de Proteção de Dados no Brasil
tros países136, como na emissão de cláusulas con- Por fim, é vedada a transferência de bases de
tratuais padrão e selos137. dados pessoais pelo Poder Público a entidades
privadas, salvo nos casos de:
3.8. Tratamento de dados pelo Necessidade de descentralização de atividade
poder público pública com fim específico;
Indicação de Encarregado;
O tratamento de dados por entes de direito
Previsão legal ou contratual, convênio ou con-
público deverá ser realizado tão somente de
gêneres;
acordo com o cumprimento de funções públicas,
devendo o agente: Prevenção de fraudes ou segurança;
Divulgar em veículos de fácil acesso a finalida- Dados de acesso público140.
de, práticas de execução e previsão respectiva;
136 Lei Federal nº 13.709/2018: “Art. 34. O nível de proteção A ANDP foi criada como um órgão da admi-
de dados do país estrangeiro ou do organismo internacional nistração pública federal, vinculada à Presidên-
mencionado no inciso I do caput do art. 33 desta Lei será ava- cia da República141, que poderá ser futuramente
liado pela autoridade nacional, que levará em consideração:”
38
O Sistema de Proteção de Dados no Brasil
39
O Sistema de Proteção de Dados no Brasil
Uma vez aferida a necessidade de aplicação cos pertinentes ao setor de atuação de cada um
de sanção em processo administrativo próprio, a dos agentes de tratamento poderá vir a consti-
penalidade será aplicada de acordo com o caso tuir um fator mitigador das penas eventualmente
concreto, levando-se em consideração os se- aplicáveis.
guintes elementos:
Gravidade e natureza da infração 3.10. Conclusões
Boa-fé do infrator;
Vantagem auferida pelo infrator; A proteção do direito constitucional à privaci-
dade evoluiu juntamente com a sociedade, dan-
Condição econômica do infrator; do origem à ramificação autônoma da proteção
Reincidência; de dados pessoais.
Grau de dano; Tal derivação evoluiu paulatinamente na le-
Cooperação do infrator; gislação e jurisprudência brasileiras, atingindo o
status de autodeterminação informativa. É neste
Adoção de política de boas práticas e gover- contexto, nacional e internacional, que surge a
nança; Lei Geral de Proteção de Dados, cuja entrada em
Adoção de medidas corretivas; vigor de direitos e obrigações relevantes a titu-
lares de dados e agentes de tratamento dar-se-á
Proporcionalidade entre a gravidade da falta em 16 de agosto de 2020.
e intensidade da sanção.
Nos termos da LGPD, todos aqueles que rea-
Dessa forma, é possível verificar que a adoção
lizam o tratamento de dados pessoais com fins
de boas práticas de governança em proteção de
econômicos deverão passar a nortear o design
dados, e o acompanhamento de padrões técni-
de seus produtos e serviços, a execução de suas
atividades, processos internos e políticas já levan-
corretivas; II - multa simples, de até 2% (dois por cento) do do em consideração os aspectos afetos à privaci-
faturamento da pessoa jurídica de direito privado, grupo ou
dade e proteção dos titulares de dados pessoais.
conglomerado no Brasil no seu último exercício, excluídos os
Quaisquer empresas que realizem tratamento de
tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração; III - multa diária, observado
dados pessoais de clientes, parceiros e até mes-
o limite total a que se refere o inciso II; IV - publicização da mo empregados deverão estar em compliance
infração após devidamente apurada e confirmada a sua ocor- com a LGDP até o dia 16 de agosto de 2020.
rência;
V - bloqueio dos dados pessoais a que se refere a infração até Para tanto, controladores e operadores, tanto no
a sua regularização; VI - eliminação dos dados pessoais a que âmbito interno quanto em nível setorial, precisarão
se refere a infração.” realizar relevantes alterações em suas próprias
40
O Sistema de Proteção de Dados no Brasil
práticas, com especial atenção aos princípios da fi- 1984. Disponível em http://www.planalto.gov.br/
nalidade, adequação, livre acesso, transparência, e ccivil_03/leis/1980-1988/L7238.htm. Acesso em
responsabilização e prestação de contas. 22 de março de 2019.
Diante desses pontos, é possível concluir que Brasil, Lei Federal nº 8.078, de 11 de setembro de
estamos diante de um processo de transição, 1990. Disponível em http://www.planalto.gov.br/
vantajoso não somente aos titulares de dados ccivil_03/leis/L8078.htm . Acesso em 22 de mar-
pessoais, mas que também representa uma jane- ço de 2019.
la de oportunidade aos agentes de tratamento. Brasil, Lei Federal nº 9.507, de 12 de novembro
Estes passarão de uma cultura focada em coleta de 1997. Disponível em http://www.planalto.gov.
de dados sem qualquer finalidade imediata e de br/ccivil_03/LEIS/L9507.htm. Acesso em 22 de
baixa qualidade, para a chamada “data-driven”, março de 2019.
que se foca na coleta de dados de maior asser-
Brasil, Lei Federal nº 10.406, de 10 de janeiro de
tividade e qualidade, com uma relevante aproxi-
2002. Disponível em http://www.planalto.gov.
mação entre os negócios e seus stakeholders149.
br/ccivil_03/LEIS/2002/L10406.htm. Acesso em
22 de março de 2019.
Referências:
Brasil, Lei Federal nº 12.414, de 9 de junho de
Brasil, Constituição Federal do Brasil. Disponível 2011. Disponível em http://www.planalto.gov.br/
em http://www.planalto.gov.br/ccivil_03/Cons- ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm.
tituicao/Constituicao.htm - acesso em 22 de Acesso em 22 de março de 2019.
março de 2019.
Brasil, Lei Federal nº 12.527/2011, de 18 de novem-
Brasil, Decreto Federal nº 8.771, de 11 de maio de bro de 2011. Disponível em http://www.planalto.
2016. Disponível em http://www.planalto.gov. gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.
br/CCIVIL_03/_Ato2015-2018/2016/Decreto/ htm. Acesso em 22 de março de 2019.
D8771.htm. Acesso em 22 de março de 2019.
Brasil, Lei Federal nº 13.709, de 14 de agosto de
Brasil, Lei Federal nº 7.323, de 29 de outubro de 2018. Disponível em http://www.planalto.gov.br/
ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
149 KARNIK, Almitra. “The Rise of the Data-Drive Marketer: Acesso em 22 de março de 2019.
Whay It’s Beneficial and How to Hider One”. Disponível em
https://www.forbes.com/sites/forbescommunicationscoun-
Brasil, Lei Federal nº 12.965, de 23 de abriul de
cil/2018/03/05/the-rise-of-the-data-driven-marketer-why-i- 2014. Disponível em http://www.planalto.gov.
ts-beneficial-and-how-to-hire-one/#7a6e4459490d – acesso br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm.
em 22 de março de 2018 Acesso em 22 de março de 2019.
41
O Sistema de Proteção de Dados no Brasil
42
O Sistema de Proteção de Dados no Brasil
43
LGPD e o Tratamento de Dados na Saúde
1. Introdução
O
crescimento do uso da internet, das gran-
des redes e dos sistemas de informação
tem mudado a forma como as mais diver-
sas atividades humanas são realizadas. Um dos
grandes fatores que justificam essa revolução é o
crescimento exponencial no tratamento e com-
partilhamento de dados.
O intercâmbio de dados é realizado para as mais
diversas finalidades, como no caso de empresas
privadas que adquirem grande quantidade
de banco de dados pessoais para estudar a
assertividade no lançamento de um novo produto
ou serviço, com base no perfil dos indivíduos que
a empresa tem interesse em prospectar.
Na área da saúde não é diferente, especial-
mente nas grandes estruturas, com coleta de
dados em proporções elevadas, que viabilizam
a comparação de dados de saúde de indivíduos
nas mais diversas localidades e revisões do trata-
mento assistencial proposto.
Pode-se dizer que a coleta de dados na saúde
e sua comparabilidade fomentará uma revisão
constante de protocolos clínicos e dos tratamen-
tos propostos, conforme a faixa etária, o sexo, a
idade e demais características que se considere
relevante.
A congregação de resultados de exames de
imagens, por exemplo, tem permitido diagnósti-
cos mais corretos do que aqueles realizados por
profissionais médicos experientes, incapazes de
processar milhares de resultados de exames em
um mesmo momento.
Se a captação e tratamento de dados em ou- Como será demonstrado neste artigo, a Ad-
tros setores proporciona melhoria dos resultados ministração Pública é, sem sombra de dúvidas,
e eficiência, no setor da saúde não é diferente, a maior detentora de dados sensíveis dos usuá-
mas há sempre a sensibilidade do enfoque pois rios dos serviços, seja no âmbito do SUS, seja na
a atuação é sempre orientada pelo direito à vida. Saúde Suplementar. Esse, certamente, é o pon-
Paralelamente, temos o direito à privacidade do to mais crítico para os integrantes da cadeia da
paciente, da escolha e participação no melhor saúde, pois em caso de vazamento poderão ser
tratamento. chamados a dar explicações, mesmo que este
Esses aspectos fazem com que o setor da saú- decorra de falha do próprio Poder Público.
de seja revestido de peculiaridades no que se
Neste trabalho, apresentamos as hipóteses em
refere à coleta e tratamento de dados. Poderão,
os agentes do Sistema Único de Saúde (“SUS”), que os dados pessoais dos titulares poderão ser
coletar esses dados, anomizá-los e utilizá-los tratados, trazemos uma pequena amostra das nor-
na adequação da política pública de saúde? O mas em vigor e que serão afetadas pela Lei Geral
Conjunto Mínimo de Dados, instituído em 2016 de Proteção de Dados (“LGPD”), além dos desafios
pela Comissão Intergestores Tripartite, poderá enfrentados pelos agentes da cadeia da saúde na
continuar sendo aplicado da mesma forma? As implementação das obrigações dispostas.
Operadoras de Planos Privados de Assistência à
Saúde (“OPS”), prestadores de serviços e ANS Desta maneira, este artigo é o ponto de parti-
poderão continuar trocando dados? da de discussões acerca do tema, tendo em vis-
46
LGPD e o Tratamento de Dados na Saúde
47
LGPD e o Tratamento de Dados na Saúde
instituiu regras para os Sistemas de Informação, ca do SUS (“DATASUS”) será o responsável pela
sendo que grande parte de suas disposições po- publicação de possível alteração no padrão de
dem ser encontradas na Portaria de Consolida- segurança acima indicado.
ção nº 01, de 28 de setembro de 2017 (“Portaria”).
48
LGPD e o Tratamento de Dados na Saúde
49
LGPD e o Tratamento de Dados na Saúde
50
LGPD e o Tratamento de Dados na Saúde
12.842/2013, mais conhecida como “Lei do Ato matizar o prontuário eletrônico do paciente, em
Médico”, também foi conferida ao CFM a compe- especial os níveis de segurança que deveriam ser
tência para “para definir o caráter experimental observados para o armazenamento e a transmis-
de procedimentos em Medicina, autorizando ou são de informações, de modo a preservar a pri-
vedando a sua prática pelos médicos”. vacidade do paciente e o sigilo profissional.
51
LGPD e o Tratamento de Dados na Saúde
52
LGPD e o Tratamento de Dados na Saúde
No tocante às hipóteses de tratamento de da- Nessa linha, o titular dos dados deverá ter
dos pessoais sensíveis, a LGPD em seu artigo 11 acesso a um conjunto mínimo de informações
preceitua que poderá ocorrer de duas formas: acerca do tratamento que será aplicado pelo
(i) com o consentimento do titular; ou (ii) sem controlador dos dados, dentre os quais podemos
o fornecimento do consentimento do titular, nas destacar16:
hipóteses listadas de forma exaustiva.
Finalidade do tratamento;
3.2. Consentimento
Forma e duração do tratamento, preservados
os segredos comercial e industrial;
Tendo em vista o caráter protetivo da Lei, e os
fundamentos prescritos no artigo 2º, em especial Identificação do controlador;
o respeito à privacidade e a autodeterminação
informativa, que se constitui no poder do indiví- Informações referentes ao uso compartilhado
duo determinar e controlar a utilização de seus pelo controlador e sua finalidade;
dados pessoais, a LGPD prevê que o consenti-
mento do titular dos dados sensíveis não poderá Fica evidente que o tratamento de dados sen-
ser realizado de forma genérica ou para finalida- síveis mediante o consentimento do titular deve
des não especificadas. Trata-se, como podemos ser realizado com extrema cautela, pois há, ne-
verificar, de disposição mais restritiva do que o cessariamente, a obrigatoriedade de se descre-
tratamento de dados pessoais. ver todas finalidades, de forma específica e des-
Deste modo, caso haja a necessidade de se tacada, que embasarão o uso dos dados.
obter o consentimento do titular para realizar o
tratamento de dados pessoais sensíveis, a LGPD De forma a efetivar a proteção dos dados pes-
dispõe que este consentimento deverá ser uma soais, a LGPD preceitua que, no caso de possível
manifestação livre, informada e inequívoca pela questionamento, fiscalização ou mera consul-
qual o titular concorda com o tratamento de ta, caberá ao controlador dos dados pessoais a
seus dados pessoais para uma finalidade deter-
minada15.
16 Lei Federal nº 13.709, de 14 agosto de 2018, Art. 8º O con-
sentimento previsto no inciso I do art. 7º desta Lei deverá
15 Lei Federal nº 13.709, de 14 agosto de 2018: Art. 5º Para os ser fornecido por escrito ou por outro meio que demonstre a
fins desta Lei, considera-se: manifestação de vontade do titular.
XII - consentimento: manifestação livre, informada e inequí- § 4º O consentimento deverá referir-se a finalidades deter-
voca pela qual o titular concorda com o tratamento de seus minadas, e as autorizações genéricas para o tratamento de
dados pessoais para uma finalidade determinada; dados pessoais serão nulas.
53
LGPD e o Tratamento de Dados na Saúde
54
LGPD e o Tratamento de Dados na Saúde
55
LGPD e o Tratamento de Dados na Saúde
56
LGPD e o Tratamento de Dados na Saúde
57
LGPD e o Tratamento de Dados na Saúde
58
LGPD e o Tratamento de Dados na Saúde
59
LGPD e o Tratamento de Dados na Saúde
retrizes também verificados na LGPD. É o caso, estipuladas, não haverá a necessidade de con-
por exemplo, da obrigatoriedade de as pesquisas sentimento por parte do titular dos dados.
envolvendo seres humanos serem precedidas
de consentimento livre e esclarecido do partici- A título exemplificativo, na hipótese de o titu-
pante da pesquisa e/ou representante legal, por lar dos dados pessoais realizar um exame em um
meio do detalhamento dos métodos que serão laboratório de análise clínicas, não haveria, ne-
utilizados e os riscos decorrentes da participa- cessariamente, a obrigatoriedade de o titular dos
ção na pesquisa. dados consentir de forma expressa que seus da-
dos sejam transferidos à uma empresa de trans-
Similarmente ao consentimento previsto na porte terceirizada que realiza o deslocamento do
LGPD, na pesquisa clínica, haverá a identificação material coletado.
do pesquisador responsável, além da necessida-
de de que este profissional ateste estar em con- O mesmo raciocínio poderá ser aplicado aos
sonância com os preceitos legais aplicáveis. Hospitais e demais prestadores de serviços en-
volvidos na cadeia.
Outro conceito previsto na Resolução CNS nº
466/2012 é a garantia de que o sigilo e a pri- Obviamente, salientamos que este comparti-
vacidade dos participantes (titulares dos dados lhamento de dados deverá respeitar os princípios
pessoais sensíveis) serão mantidos durante to- da LGPD, em especial o princípio da finalidade e
das as fases de pesquisa, garantida em suas fa- da necessidade, que estabelecem que os dados
ses, a anonimização dos participantes, excluin- serão tratados para fins legítimos e específicos,
do, assim, a incidência da LGPD nas pesquisas com a limitação ao mínimo de tratamento neces-
clínicas. sário para a realização de suas finalidades35.
Dessa forma, os controladores dos dados pes- 3.3.5. Proteção da Vida ou da Incolumidade
soais poderão compartilhar dados sensíveis para Física
regular prestação dos seus serviços e caso seja
A LGPD prevê que o tratamento de dados sen-
essencial para subsidiar a representação numa
síveis poderá ser realizado sem o consentimento
das esferas que mencionamos acima.
do titular dos dados pessoais nas hipóteses em
Assim sendo, vislumbramos que, na hipótese
de um prestador de serviços compartilhar dados
para a execução de atividades contratualmente 35 Art. 6º, I e III, Lei Federal nº 13.709/2018
Art. 6º As atividades de tratamento de dados pessoais deve-
rão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos le-
34 Lei Federal nº 13.709/2018, art. 11. O tratamento de dados gítimos, específicos, explícitos e informados ao titular, sem
pessoais sensíveis somente poderá ocorrer nas seguintes hi- possibilidade de tratamento posterior de forma incompatível
póteses: com essas finalidades;
II - sem fornecimento de consentimento do titular, nas hipó- (...)
teses em que for indispensável para: III - necessidade: limitação do tratamento ao mínimo neces-
b) tratamento compartilhado de dados necessários à execu- sário para a realização de suas finalidades, com abrangência
ção, pela administração pública, de políticas públicas previs- dos dados pertinentes, proporcionais e não excessivos em
tas em leis ou regulamentos; relação às finalidades do tratamento de dados;
60
LGPD e o Tratamento de Dados na Saúde
que for indispensável para a proteção da vida ou Inicialmente, com a redação inicial da Lei
da incolumidade física36. 13.709/2018, alguns defendiam que o conceito
somente abarcaria os casos de urgência e emer-
A legislação nacional não traz o conceito do
gência, ou seja, nos quais o titular dos dados
que poderia ser compreendido como “proteção
apresenta risco eminente de vida e, assim, não
da vida”. Por sua vez, utilizando dos conceitos
haveria a possibilidade de se obter o consenti-
previstos na GDPR, entendemos que, de uma
mento em tais casos.
maneira ampla, o conceito está adstrito à prote-
ção da vida e à segurança pública.
Todavia, após grande empenho legislativo e,
Deste modo, a necessidade de tratamento de principalmente, elucidativo realizado pelos agen-
dados pessoais sensíveis se torna evidente quan- tes envolvidos na cadeia de saúde, a LGPD foi
do estamos diante de uma situação que deman- alterada. Agora, não restam mais dúvidas que os
de a atuação imediata da Administração Pública profissionais de saúde, os prestadores de servi-
para salvar vidas como, por exemplo, nas catás- ços e a Autoridade Sanitária podem realizar tra-
trofes naturais. tamento de dados sem o consentimento do titu-
lar, quando a finalidade for a tutela da saúde.
Outro exemplo que possibilita o tratamento
de dados com base na proteção da vida, é a uti- Porém, a LGPD não trouxe a definição de “tu-
lização destas informações para a prevenção, a tela da saúde”, deste modo, em que pese a nova
investigação e a repressão de infrações penais definição ter acertadamente ampliado os agen-
pelos agentes públicos responsáveis. tes que poderão realizar o tratamento de dados
sensíveis sem consentimento, entendemos que
No mesmo sentido, a GDPR preceitua que não a Autoridade Nacional de Proteção de Dados
será necessário o consentimento do titular nos (“ANPD”) deverá expedir norma definindo o con-
casos de prevenção de ameaças à segurança pú- ceito, de modo a pacificar o tema e, assim, trazer
blica ou violações da deontologia de profissões maior segurança jurídica.
regulamentadas, como no caso de médicos que
estão submetidos aos preceitos éticos dispostos Pelo exposto, julgamos que a alteração legis-
no Código de Ética Médica. lativa realizada foi extremamente benéfica ao
setor, conforme demonstrado pelas entidades
3.3.6. Tutela da Saúde representativas nas discussões e na votação da
Medida Provisória nº 869/2018.
Conforme já explanado, o setor da saúde é
repleto de peculiaridades e, em virtude dessas
características, a LGPD prevê que não será ne- 4. Do Compartilhamento de
cessário o consentimento do titular dos dados
pessoais sensíveis para nas hipóteses em que,
Dados Referentes à Saúde
o tratamento, for indispensável para a tutela da com Fins Lucrativos
saúde, em procedimento realizado por profissio-
nais de saúde, serviços de saúde ou autoridade Quando a LGPD foi publicada, havia vedação
sanitária.37 expressa de comunicação e compartilhamento
de dados sensíveis referentes à saúde com obje-
36 Art.11, II, “e”, Lei Federal nº 13.709/2018
tivo de obter vantagem econômica.
37 Art. 11, II, “f”, Lei Federal nº 13.709/2018 Em nosso entendimento, a restrição teve por
Art. 11. O tratamento de dados pessoais sensíveis somente
poderá ocorrer nas seguintes hipóteses: objetivo vedar a obtenção de vantagem econô-
II - sem fornecimento de consentimento do titular, nas hipó- mica com a venda de dados propriamente dita.
teses em que for indispensável para: Vale lembrar que poucos dias antes da edição
f) tutela da saúde, exclusivamente, em procedimento realiza-
do por profissionais de saúde, serviços de saúde ou autori- da LGPD foram divulgados casos de venda de
dade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) dados por drogarias.
61
LGPD e o Tratamento de Dados na Saúde
62
LGPD e o Tratamento de Dados na Saúde
Brasil, Lei Federal nº 13.709, de 14 de agosto de Brasil, Resolução do Conselho Federal de Medi-
2018. Disponível em http://www.planalto.gov.br/ cina nº 2.217/2018, de 01 de novembro de 2018.
ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Disponível em https://sistemas.cfm.org.br/nor-
Acesso em 22 de março de 2019. mas/visualizar/resolucoes/BR/2018/2217 - aces-
so em 15 de março de 2019.
Brasil, Lei Federal nº 8.080, de 19 de setembro
de 1990. Disponível em http://www.planalto.gov. Brasil, Resolução do Conselho Federal de Medi-
br/ccivil_03/leis/L8080.htm - acesso em 20 de cina nº 1.821/2007, de 23 de novembro de 2007.
março de 2019. Disponível em https://sistemas.cfm.org.br/nor-
mas/visualizar/resolucoes/BR/2007/1821 - aces-
Brasil, Ministério da Saúde, Portaria de Consoli- so em 15 de março de 2019
dação nº 01, de 28 de setembro de 2017. Disponí-
Brasil, Ministério da Saúde, Portaria de Consolida-
vel em http://bvsms.saude.gov.br/bvs/saudele-
ção nº 04, de 28 de setembro de 2017. Disponível
gis/gm/2017/prc0001_03_10_2017.html - acesso
em http://bvsms.saude.gov.br/bvs/saudelegis/
em 18 de março de 2019
gm/2017/prc0004_03_10_2017.html- acesso em
18 de março de 2019
Brasil, Lei Federal nº 9.961, de 28 de janeiro de
2000. Disponível em http://www.planalto.gov. Brasil, Ministério da Saúde, Resolução nº 466, de
br/ccivil_03/LEIS/L9961.htm - acesso em 14 de 12 de dezembro de 2012. Disponível em http://
março de 2019 bvsms.saude.gov.br/bvs/saudelegis/cns/2013/
res0466_12_12_2012.html - acesso em 15 de mar-
Brasil, Agência Nacional de Saúde Suplementar,
ço de 2019.
Resolução Normativa nº 305, de 9 de outubro
de 2012. Disponível em http://www.ans.gov.br/ Brasil, Lei Federal nº 13.853, de 08 de julho de
component/legislacao/?view=legislacao&task=- 2019. Disponível em http://www.planalto.gov.br/
TextoLei&format=raw&id=MjI2OA== - acesso ccivil_03/_Ato2019-2022/2019/Lei/L13853.ht-
em 15 de março de 2019 m#art.Acesso em 22 de julho de 2019.
Sobre o autor
Lucas Alves da Silva Bonafé é advogado formado pela Universidade presbiteriana Mackenzie, pós-
graduado em Controle Social de Políticas Públicas pelo Tribunal de Contas do Município de São Pau-
lo e formado em Proteção de Dados e Privacidade pelo Insper – Instituto de Ensino e Pesquisa. Atua
na área da saúde para clientes de toda a cadeia de prestação de serviços, por meio de elaboração de
pareceres e análise de contratos com foco em questões regulatórias e proteção de dados na aera da
saúde, além de defesas administrativas perante a ANS, ANVISA e órgãos de representação de clas-
se, como o CFM. É membro do Comitê Jurídico do Instituto Brasileiro das Organizações Sociais de
Saúde (“IBROSS”), do Grupo de Estudos de Proteção de Dados e Privacidade da Associação Nacio-
nal de Hospitais Privados (“ANAHP”) e do Grupo de Trabalho de Proteção de Dados e Privacidade
da Associação Brasileira de Medicina Diagnóstica (“ABRAMED”)
63
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades
S
ince 25 May 2018, the General Data Protec- erally prohibited but there are a few exception to
tion Regulation (“GDPR”) is in effect in the the prohibition, such as the data subject has giv-
EU. It applies also to companies that have en his consent to the processing of his personal
no place of business in the EU but which offer data or for the purpose of medical diagnosis. In
services in the EU or otherwise collected data general, it can be said that companies may need
there. The GDPR has increased the requirements to consider the implications early on and before
for compliance for data protection and data se-
implementing new processes or introducing new
curity significantly. Non-compliance could result
software and spend some thought on the legal
in fines of considerable amounts. In the life scien-
ce and healthcare sector the consequences of basis for which they will process the data. As the
the GDPR are manifold and pose new challenges European Data Protection Board (EDPB), the
for companies, whether Big Pharma, HealthTech EU’s independent data protection authority, puts
startups or Healthcare providers. The reason is it: “Though the innovative principles introduced
that everyone is dependent on the processing of by the GDPR (privacy by design or the prohibi-
identifiable information about health. And, such tion of discriminatory profiling) remain relevant
data has a special protection under the GDPR. and applicable to health data as well, specific
safeguards for personal health data and for a de-
GDPR and Health Data finitive interpretation of the rules that allows an
effective and comprehensive protection of such
data have now been addressed by the GDPR.”
The GDPR classifies personally identifiable in- As a result, companies in the Life Science and
formation about health as a special category of Healthcare sector have to comply with a number
data. In addition, the GDPR defines biometric and of requirements. These are both formal and ma-
genetic data. The processing of such data is gen- terial. Some examples:
66
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades
Consent and Patients where the processing is necessary for the pur-
poses of medical diagnosis or healthcare.
Consent under the GDPR must be freely given, One thing to remember is that a patient’s con-
specific, informed and unambiguous, and involve sent for treatment or to share healthcare records
a clear affirmative action (an opt-in). If a com- is not necessarily the same as consent for the
pany wants to rely on consent it must be able to processing of personal data under the GDPR. In
demonstrate that it obtained consent and the in- particular, patient information collected from a
dividual must be able to withdraw consent easily. medical practitioner is subject to a duty of con-
For a public authority or another organisation in fidence. As the UK’s Supervisory Authority, the
a position of power over the individual it may be Information Commissioner (ICO), states: “Any
difficult for you to be able to show that the con- requirement to get consent to the medical treat-
sent has been freely given. ment itself does not mean that there is a require-
ment to get GDPR consent to associated pro-
Consent is not necessarily the only legal basis cessing of personal data, and other lawful bases
for processing personal health data, in particular are likely to be more appropriate. In the health-
those of patients, under the GDPR. A valid lawful care context consent is often not the appropriate
basis in order to process personal data is always lawful basis under the GPDR.” Besides, the ICO
required but consent is only one of the lawful points out that “assumed implied consent would
bases. There are various bases available - no sin- not meet the standard of a clear affirmative act
gle basis is ’better’ or more important than the – or qualify as explicit consent for special cat-
others. Which basis is most appropriate to use egory data, which includes health data. Instead,
will depend on the type of processing, the pur- healthcare providers should identify another law-
pose at hand and relationship with the individual. ful basis (for example the public task basis may
There are 10 of these in the GDPR itself, including be appropriate).”
67
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades
The rights of patients under the GDPR pliance and will be required to assist with audits.
Aside from that, the GDPR provides for a prior
written consent obligation, placing the control
There are numerous data subject rights un- over processor sub-contracting firmly with the
der the GDPR. For example, patients are entitled data controller.
to have personal data rectified if it is inaccurate
or incomplete. In addition, if personal data was For healthcare companies this means that the
transferred to third parties, that third party must relationships with the numerous services providers
be informed of the rectification where possib- need to be reviewed and agreements amended.
le. Aside from that, a company shall also inform Before doing so, however, healthcare companies
the patients about the third parties to whom the should have a closer look at the role and rela-
data was disclosed where appropriate. tionship with each of their business partners. There
may be good reason to qualify an agreement as
With regard to medical opinions, something else a data processing. The Article 29 Data Protection
may apply. As the ICO describes: “It is often im- Working Party, the predecessor of the EDPB, ex-
possible to conclude with certainty, perhaps until plained in its Opinion 1/2010 the concepts of “con-
time has passed or tests have been done, whether troller” and “processor” and mentioned that there
a patient is suffering from a particular condition. may be various situations when data controllers are
An initial diagnosis (or informed opinion) may acting together. This may lead in some circumstan-
prove to be incorrect after more extensive exami- ces to joint and several liabilities, but this is not ne-
nation or further tests. Individuals may want the cessarily a rule. Nonetheless, the concept of joint
initial diagnosis to be deleted on the grounds that controllers under the GDPR, in contrast to a dis-
it was, or proved to be, inaccurate. However, if the tinction between controllers and processors, has
patient’s records accurately reflect the doctor’s not been seen thus far as particularly controversial
diagnosis at the time, the records are not inaccu- nor widely discussed. The European Court of Jus-
rate, because they accurately reflect a particular tice (CJEU) ruled recently in the Facebook Fanpa-
doctor’s opinion at a particular time. Moreover, ges case about the criteria for joint controllers. The
the record of the doctor’s initial diagnosis may findings of that rulings will have effect also outsi-
help those treating the patient later.” de the AdTech space. Recent regulatory guidance
for the health sector issued in some member sta-
Another right of patients is have their perso- tes points to the supervisory authorities’ view that
nal data deleted. However, this right applies only some relationships are rather qualified as separate
when there is no reason for its continued proces- or joint controllership, and not processors. Health-
sing. In the healthcare sector, this means that de- Tech companies will need to pay attention to the
letion requests will have to be assessed on their developments in this regard.
own merits. This being said, healthcare providers,
for example, will likely have a very good reason
for processing much of the personal data they Transfers outside the EU
hold for the purposes of providing medical care.
68
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades
to a pending case that involves their application a group of public authorities or bodies, taking into
to EU-US data transfer. account their organisational structure and size.
An essential requirement of the GPDR is the ins- A lot of discussion has been around the enfor-
trument of the so-called Data Protection Impact cement of the GDPR and related fines. The GDPR
Assessment (DPIA). The DPIA is a new concept imposes stiff fines on data controllers and pro-
of the “risk-based approach” under data protec- cessors for non-compliance. The lower level is at
tion laws. Especially in the case of processing of fines of up to €10 million, or 2% of the worldwide
personal data where there is a high risk for the annual revenue of the prior financial year, whi-
data subjects, a DPIA should ensure that measu- chever is higher, while the higher level is at fines
res have been implemented which mitigate this of up to €20 million, or 4% of the worldwide an-
risk. As the Data Protection Authority of Bavaria nual revenue of the prior financial year, whiche-
for the Private Sector explains: “The risk-based ver is higher. The higher level shall be issued for
approach of the GDPR provides a selection of
infringements of, inter alia, the basic principles
the “correct” (i.e. effective and suitable) technical
for processing, including conditions for consent
and organizational measures for the protection
of personal data. In everyday life, this means that or data subjects’ rights. This means that it can ea-
entities responsible can reduce or contain risks sily happen to result in a non-compliance which
for the rights and freedoms of individual persons qualifies for the higher level.
(e.g. customers, users, employees) by selecting
Fines are issued by individual member state
suitable measures. The necessity of a technical
supervisory authorities and are subject to 10 cri-
or organisational measure thus depends on the
“risk level”, i.e. on the amount of possible damage teria to determine the amount of the fine on a
to the person in question if the risk occurs during non-compliant company:
the processing of personal data.” Nature of infringement: number of people af-
fected, damaged they suffered, duration of in-
Appointment of a DPO fringement, and purpose of processing;
69
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades
Notification: whether the infringement was At the end of the day, companies from the
proactively reported to the supervisory au- healthcare and life science sector should also be
thority by the firm itself or a third party; aware of the reputational damage and bad PR
that any enforcement, even one without fines,
Certification: whether the firm had qualified has. Currently, the media attention of GDPR en-
under approved certifications or adhered to forcement against companies is high. Patients
approved codes of conduct; and who feel that their data is not being treated with
diligence will turn away from providers that have
Other: other aggravating or mitigating factors a bad reputation.
may include financial impact on the firm from
the infringement.
GDPR, Artificial Intelligence and
This means that there is some level of dis-
cretion for the supervisory authorities. So far, it
Healthcare
can be said that the practice amongst supervi-
sory authorities differs significantly. For example,
Data accuracy, security and integrity are cru-
France’s Commission Nationale de l’Informatique
cial for patient outcomes, and a legal obligation
et des Libertés (CNIL) delivered the highest fine
under the GDPR. The latter in particular may not
when it levied against Google a sanction of USD
57 million for allegedly not having conformed always be compatible with the accelerated ad-
properly to various GDPR requirements. The vancement of medicine. Or rather, the challen-
German Supervisory Authorities have issued a ge is to make it so. If practitioners, patients and
total of 41 fines but the highest reported fine was researchers are to benefit from the dividends of
only EUR 80.000. health data, then safe and stable spaces need to
be developed in which this work can take place.
The highest fine for a company from the heal- The question is: Is there a conflict between data
thcare sector was issued in Portugal against the protection regulations on the one hand and Big
Centro Hospitalar Barreiro Montijo and resulted in Data and Artificial Intelligence (AI) on the other,
EUR 400.000. The Supervisory Authority, the Co- given that software based on such algorithms is
missão Nacional de Protecção de Dados (CNPD), making its way into the health care sector?
found that there were three violations of the GDPR.
The violation of the data minimization principle,
by allowing indiscriminate access to an excessive The application of AI in the
number of users, and the basic principles, as well healthcare sector
as the violation of the integrity and confidentiali-
ty as a result of non-application of technical and
organizational measures to prevent unlawful ac- AI, machine learning (an application of AI), and
cess to personal data were subject to a fine of EUR big data, are used in a wide range of applications
150.000. For the incapacity of the hospital to ensu- in hospitals. For example, cognitive computer
re the continued confidentiality, integrity, availabili- systems are used to facilitate repetitive proces-
ty and resilience of treatment systems and services ses and to create sample analyses in the context
as well as the non-implementation of the technical of radiological diagnostics. Where a learning or
and organizational measures to ensure a level of
predictive function is added, then we are into the
security adequate to the risk were subject to a fine
realms of AI.
of EUR 100.000 by the CNPD.
Other examples are the Deep Learning Model
Not all GDPR infringements lead to fines. Su-
pervisory authorities have the scope to take a of Stanford University and Google Brain. These
range of other actions, such as: tools are used to determine the most probable
time of death of seriously ill patients and the best
Issuing warnings and reprimands; treatments as a result, including enabling patien-
ts to be transferred to palliative care in good time
Imposing a temporary or permanent ban on in order to give them a dignified farewell.
data processing;
Surgical robots or other robotic-based sys-
Ordering the rectification, restriction or erasu- tems are another field of application. Some belie-
re of data; and
ve that medical robots will be indispensable for
Suspending data transfers to third countries. high-precision surgical treatments in the future.
70
GDPR e Saúde: o que as empresas precisam saber na União Europeia e em outras localidades
They have the potential to improve post-opera- in question here. Data collected for a specific
tive rehabilitation and to provide highly efficient purpose can generally only be used for this pur-
logistical support in clinics. There is no doubt pose. However, if a software solution is suppo-
that as machine learning and AI become more sed to make predictions for the future based on
sophisticated, the use of robots in the context of self-learning functions and derives further steps
treatment will only increase. from them, data could conceivably end up used
for a different purpose to the one for which it was
The use of AI (which for ease, we will take to originally collected. Steps must be taken to ensu-
include machine leaning) in the healthcare sector re this does not happen before the individual has
is the cause of some alarm among patients who given consent unless there are other grounds for
are concerned about privacy and accuracy. Sof- processing the data or the new purpose is com-
tware-based treatment options in which the un- patible with the original purpose.
derlying assessment is only partially made by a
doctor, are a particular focus of scepticism. This
is hardly surprising, as on the one hand very sen- Right of access
sitive data is processed and, on the other, machi-
nes are entering into an area that was previously
only occupied by humans. The right of access by individuals to their per-
sonal data under the GDPR may be asserted at
At least on the privacy side, patients should any time. For hospitals using AI solutions, this
find comfort in the fact data protection law not means that they must be able to provide infor-
only places specific requirements on software mation about the patient’s personal data at any
-based systems in hospitals, it also lays down ge- time upon request. A data management system
neral guidelines, which must be observed in the to enable prompt response to subject access re-
context of big data and AI. Particularly relevant quests will be essential.
(but not exhaustive) aspects include:
Withdrawal of consent
Right to erasure
In order to be a valid GDPR consent, the data
Another principle of data protection law is subject must be able to withdraw it at any time
that personal data must be deleted once it is without detriment. The Article 29 Working Party
no longer required for the purposes for which it (now the European Data Protection Board) no-
was collected, unless it is subject to special re- ted specifically in its consent guidelines that this
tention obligations. The GDPR places a focus on makes the use of consent as a lawful basis unsui-
the retention issue by giving individuals the ri- table in circumstances where, for example, data
ght to have their data erased under a variety of is being used for medical research.
circumstances (including where consent is with-
drawn – see below). With big data applications,
this right can lead to complications, since the
very purpose of data analysis is to access a large
amount of information in order to derive corres-
ponding results on this basis. An optimal solution
would be to anonymise the data but this is not
Sobre o autor
always possible. Whatever decision is taken, it
must be possible for a data controller of AI-ge- Thanos Rammos has worked as a
nerated health personal data, to be able to give lawyer for Taylor Wessing since 2011
effect to any lawful erasure requests. and specialises on data protection law.
He advises particularly HealthTech
companies from the Life Science and
Purpose limitation
Healthcare industry. He frequently deals
with the implementation of GDPR and
Purpose limitation is another important as- with a number of other topics such as
pect that poses challenges for the applications negotiating IT agreements, advising on A.I.
related topics and working with in-house
Legal and Business Teams of clients to
achieve practicable solutions.“
71
O Gestor de Saúde e a Mudança
T
eseu é o herói e um dos mitos-fundadores
da Atenas clássica. Nascido há quase três
milênios, rei, guerreiro, conquistador até
contra seres mitológicos, a história de Teseu
pode parecer, talvez, o ponto de partida mais
distante possível para abordar desafios de um
gestor da saúde frente à nova Lei Geral de Pro-
teção de Dados Pessoais (LGPD). Um olhar para
o futuro, porém, é sempre especulativo e o pas- “Ninguém se banha no
sado pode nos trazer lições valiosas para enten-
dermos o que há por vir. mesmo rio duas vezes.”
Conta-se, portanto, que o povo ateniense Heráclito de Éfeso
preservou o navio no qual Teseu voltou de Cre-
ta após um de seus feitos heroicos - derrotar o
Minotauro. Os atenienses tinham prometido ao
deus Apolo uma cerimônia anual em sua home-
nagem se a missão de Teseu fosse um sucesso,
e passaram a usar o navio do heroico rei para
navegar até o santuário na ilha de Delos, todos
os anos, para cumprir a promessa.
74
O Gestor de Saúde e a Mudança
É preciso, em primeiro lugar, conscientizar- compliance legal. Embora, como em quase toda
se das novas realidades que se apresentam. No Lei, haja pontos controversos na LGPD, é indis-
caso específico da LGPD, esta realidade é que cutível que a utilização responsável dos dados é
os dados dos pacientes são uma extensão dele uma demanda cada vez mais presente na socie-
próprio, e merecem tanto respeito e cuidado no dade e que esta demanda apenas viu-se refletida
trato quanto o paciente em si. Essa mudança de na Lei. A LGPD não nasceu de um capricho le-
perspectiva é fundamental para o gestor priori- gislativo, nem é um documento completamente
zar a estrutura de tecnologia de informação e as alheio à realidade social, mas uma efetiva e cres-
atividades de gestão de processos, de capaci- cente demanda dos cidadãos e pacientes em um
tação da equipe e de segurança da informação momento histórico em que os dados pessoais
que são necessárias a uma gestão adequada dos começam a ser coletados em grande volume e
dados em uma instituição. Assim como nenhum utilizados para fins cada vez mais diversos.
gestor da saúde assistiria impassível o desenrolar
de um processo que potencialmente ameaça a Assim, a proteção adequada dos dados do pa-
segurança do paciente, tampouco deve ele ter ciente torna-se mais do que uma demanda ex-
uma postura passiva em relação a ameaças à se- clusivamente de compliance, mas torna-se uma
gurança de dados do paciente. obrigação ética, uma chance de estabelecer, des-
de o começo, uma relação de confiança e trans-
A Lei e as suas penalidades, afinal, impõem parência com os clientes e, especialmente, uma
sérios riscos às instituições de saúde, e as orga- oportunidade para repensar o fluxo de informa-
nizações que não tomarem as atitudes necessá- ções dentro das instituições, para além da estrita
rias para a adequação certamente sofrerão sé- proteção aos dados pessoais dos pacientes.
rias consequências tanto em termos financeiros
quanto em termos de imagem. Garantir que os tomadores de decisão em uma
organização tenham à sua disposição as infor-
A conscientização do gestor sobre a nova im- mações de que precisam, no momento em que
portância que os dados dos pacientes adquiri- precisam é fundamental, assim como garantir
ram, sob uma perspectiva de gestão, porém, não que informações desnecessárias não cheguem
pode ocorrer apenas sob um ponto de vista de onde não precisam estar – para não correr o ris-
75
O Gestor de Saúde e a Mudança
co de o ruído das informações supérfluas tornar- preparadas e empoderadas para proteger da-
se mais alto do que a música das informações dos pessoais também podem ser preparadas
importantes. para uma atuação transversal nas organizações
de saúde, reunindo capacidades técnicas e ge-
Em momentos como o atual, de demandas renciais que lhes permitam facilitar e otimizar a
instantâneas e diversas sobre a atenção do ges- comunicação com os pacientes e entre os profis-
tor, a discussão sobre a LGPD permite ao gestor sionais da própria instituição.
uma oportunidade de refletir sobre quem, quan-
do, onde e em que condições deve ter acesso a A Joint Commission estima que falhas na co-
quais informações em uma instituição – e como municação, especialmente entre as diferentes
essa informação entra e sai da instituição. equipes assistenciais em trocas de turno, con-
tribuem para 80% dos casos de erros médicos
De nada adianta conscientizar-se, porém, se o graves. Assim, uma visão estratégica do gestor
gestor não se munir das ferramentas de que pre- sobre o tema da gestão de informações pode ter
cisa para cuidar adequadamente dos dados do profundos impactos em outros aspectos, tanto
paciente. E cabe aqui, ao gestor, uma generosa clínicos quanto administrativos.
dose de humildade. Embora a consciência sobre
a importância do tema de proteção de dados seja A LGPD é, portanto, nada mais do que um dos
um dever do gestor, aqueles que lidam com a indícios de uma transformação digital mais pro-
saúde sabem da imensa complexidade das insti- funda que está chegando à saúde. Essa transfor-
tuições desse setor. Adicionar ao já amplo escopo mação é baseada em dados – nas capacidades
de deveres do gestor da saúde a obrigação de de coleta, armazenamento, análise e ação com
conhecer os meandros legais da LGPD, e detalhes base nesses dados, em uma escala inteiramen-
técnicos chaves públicas e privadas de criptogra- te nova, com apoio de uma infinidade de dispo-
fia, blockchains, firewalls, certificados digitais e sitivos e sensores distribuídos e integrados em
tantas outras tecnologias relacionadas à proteção redes de comunicação (a internet das coisas) e
de dados, seria uma impossibilidade prática. de inteligência artificial capaz de fazer sentido
dessa imensa massa de informação. O uso res-
As ferramentas adequadas, portanto, neces-
ponsável desses dados é só o primeiro passo no
sariamente virão de terceiros – colaboradores
preparo para esses novos tempos.
e fornecedores que serão responsáveis pela es-
truturação da proteção dos dados dentro das Para os gestores da saúde que ainda não en-
organizações. Se as atividades destes terceiros traram plenamente nessa jornada, a adequação à
ganham nova importância e se podem trazer Lei pode ser o ponto de partida para o desenho
consequências mais gravosas às instituições, é de uma estratégia digital efetiva para a sua ins-
responsabilidade do gestor compreender que tituição. O fato é que a mudança é inexorável e
o cuidado na seleção e capacitação desses pro- necessária. A transformação digital será tão pro-
fissionais e parceiros precisa ser aumentado. As funda que alterará fundamentalmente a forma
boas práticas de governança necessariamente pela qual os serviços de saúde serão prestados.
impõem que o poder deve ser distribuído nas
instituições de acordo com as responsabilidades. Boa parte da atividade da atenção à saúde so-
De pouco adianta reconhecer a importância da frerá disrupção e terá o destino das lojas de re-
proteção dos dados pessoais e não empoderar velação de filme fotográfico, da indústria de dis-
as pessoas responsáveis por protegê-los. cos e das assistências técnicas de máquinas de
escrever. Para o gestor da saúde, é fundamental
Cada vez mais, na saúde, departamentos de TI saber de onde essa disrupção virá, e poder orien-
e atividades correlatas saem da posição de mera tar a sua estratégia de negócio de acordo.
atividade de apoio e passam a ser fundamentais
na estratégia organizacional e na própria sus- Mesmo a parte que não sofrer disrupção, po-
tentabilidade de longo prazo das organizações rém, será profundamente afetada. Medicina de
de saúde. E, também aí, novas oportunidades precisão e personalizada transformarão as enti-
podem ser encontradas. Estruturas e equipes dades de saúde em instituições cada vez mais
76
O Gestor de Saúde e a Mudança
77
Os impactos da LGPD na experiência do cliente
A
partir de agosto de 2020, empresas de O consumidor de hoje exige experiências mais
todos os portes e segmentos precisarão autênticas e muitas empresas estão atentas à
garantir que seus stakeholders estejam essa tendência. A Document Strategy, por exem-
cientes de maneira formal a forma e as finali- plo, mapeou que 64% dos provedores globais de
dades da coleta de suas informações pessoais. serviços veem as comunicações com os clientes
As companhias também devem garantir a essas e a experiência do consumidor associada a co-
pessoas o direito de saber quem terá acesso aos municações personalizadas como uma das mais
dados, como eles serão armazenados e se have- importantes tendências de negócios na atualida-
rá compartilhamento das informações. A exigên- de. Além disso, 84% das organizações que traba-
cia passa a vigorar em virtude da nova Lei Geral lham ativamente para melhorar a experiência do
de Proteção de Dados, também conhecida pela cliente, criam relacionamentos individuais me-
sigla LGPD.
lhores e registram crescimento de receita.
Embora haja muito alarde em torno deste
As táticas de comunicação com o cliente po-
tema, acreditamos que as organizações podem
dem ser divididas em duas categorias. A primei-
se beneficiar da nova regulamentação, que tra-
ra é a estratégia de push (empurrar), realizada
rá mais segurança aos cidadãos, padronizando
por meio de envio de e-mail, SMS ou correspon-
processos e impondo penalidades a quem des-
cumprir as regras. Ao nosso ver, ainda que seja dência física. A segunda, conhecida como pull
de uma forma impositiva, a conformidade cria (puxar), refere-se à ação de motivar os clientes
oportunidade para que as empresas passem a a buscarem as marcas por conta própria, uma
ter dados mais qualitativos, tendo em vista que tendência que, curiosamente, pode ter a LGPD
a base será composta apenas por pessoas que como uma catalisadora. Isso se explica pelo fato
efetivamente demonstraram interesse em man- de que, olhando para o segundo semestre de
ter relacionamento com a organização. Com isso, 2020, as instituições precisarão adotar novos
será possível engajar e fidelizar clientes por meio métodos de personalização nas comunicações
de contatos mais transparentes, personalizados para encorajar novos clientes e os existentes a
e eficazes, otimizando a experiência do cliente dar seu consentimento para o uso de suas infor-
no contato com a marca. mações e preferências.
80
Os impactos da LGPD na experiência do cliente
De acordo com material divulgado pela Qui- A LGPD determina que as empresas informem
cksprout, 78% dos clientes têm mais probabili- o prazo e a finalidade para manipulação dessas
dade de se envolver com uma empresa quando informações. Também possibilita que o titular
sabem que terão o controle sobre como a orga- expresse o desejo de não querer mais que seus
nização se comunica com ele. Dessa forma, não dados sejam tratados ou que a autoridade na-
é difícil de concluir que incentivar a confiança do cional determine o encerramento do processo.
consumidor por meio de ações de atração é uma
Por outro lado, a lei prevê também algumas ex-
tática muito eficaz para escalonar as comunica-
ções. Com o limite para opt-ins e personalização ceções para que as empresas possam continuar
em ascensão na Era da LGPD, as empresas pre- o tratamento de dados por prazo indeterminado.
cisarão repensar toda a forma de abordagem. São quatro os casos: quando o controlador pre-
Como resultado, veremos as táticas de atração cisa cumprir alguma obrigação legal e, para tal,
à frente das estruturas de comunicação das em- precise tratar esses dados; no caso de estudos
presas. Graças a esse desejo do cliente de ter por órgão de pesquisa que garanta a anonimiza-
maior controle sobre como as empresas se co- ção das informações; em caso de transferência a
municam com ele, as organizações podem en- terceiros; e para o uso exclusivo do controlador,
tender a LGPD como um impulso para elevar a desde que os dados sejam anonimizados.
confiança e o engajamento do cliente.
Também é importante destacar que a Lei Geral
de Proteção de Dados se baseia em 10 princípios:
Overview da LGPD
1. Finalidade - Dados coletados só podem ser
As regras da LGPD são válidas para todos tratados para fins legítimos e especificados aos
aqueles que utilizam dados pessoais e sensíveis titulares, ou seja, as empresas não podem coletar
de pessoas naturais coletados no território na- informações e, depois, usá-las para outros fins.
cional, tratados no território nacional, ou tenham Por exemplo, o hospital diz que vai utilizar um
como objeto o fornecimento de bens ou serviços dado para fins de internação do paciente e de-
no território nacional, no ambiente online ou of- pois utiliza a informação para compor uma pes-
fline, realizadas por pessoas físicas ou jurídicas, quisa que será divulgada na imprensa.
de direito público ou privado. Do grupo de infor-
2. Adequação - O tratamento dos dados deve
mações a serem fiscalizados, fazem parte todas
ser compatível com a finalidade que foi informada
aquelas que permitam, de alguma forma, identifi-
para o usuário. Ou seja, a empresa não pode usar
car a qual pessoa os dados se referem. Isso quer
os dados dos clientes para qualquer fim que não
dizer que é improvável descobrir o nome de um
tenha sido previamente informado. Por exemplo,
indivíduo pela cor do cabelo, mas ao fazer o cru-
se o paciente manifestou o desejo de ser acessa-
zamento da característica com o endereço ou a
do apenas por e-mail, ele não pode receber liga-
filiação, é possível chegar à identidade da pessoa
ções ou mensagens de texto da instituição.
ou bem próximo a ela. A LGPD estará atenta a
esses casos. 3. Necessidade - Os dados devem ter o uso li-
mitado ao necessário para o alcance de objetivos
Pela lei, os envolvidos dividem-se em três gru-
pré-estabelecidos. Ou seja, as empresas devem
pos: os controladores, que são as empresas de- coletar apenas aquelas informações estritamente
tentoras dos dados e a quem compete as deci- necessárias para prestação dos seus serviços. Por
sões de como as informações serão tratadas; os exemplo, caso o objetivo seja disparar e-mails, é
operadores, organizações responsáveis por pro- desnecessário solicitar o número do telefone ou
cessar e tratar os dados em nome do controlador; endereço do paciente.
e os titulares, que são os indivíduos a quem as
informações pertencem. A fiscalização será em 4. Livre acesso - Os titulares dos dados devem
torno de dados, como nome, data de nascimen- sempre ter acesso fácil e gratuito às suas infor-
to, profissão, localização, identificação digital, mações, além de serem informados sobre como
nacionalidade, preferências, interesses, hábitos essas informações serão utilizadas e qual será a
de consumo, origem racial ou étnica, orientação duração desse processo. Por exemplo, um pa-
religiosa, política e filosófica e dados de saúde, ciente cadastrado em uma base de dados há seis
genético ou biométrico, login via redes sociais, meses, pode decidir revisar as informações ou
RG, CPF, número do cartão de crédito, senhas, excluir dados que não queira mais compartilhar
endereço, e-mail e telefones, entre outros. com a organização.
81
Os impactos da LGPD na experiência do cliente
5. Qualidade dos dados - Princípio que ga- Não tenha dúvida sobre a
rante aos titulares que seus dados serão exatos, importância da LGPD
terão informações claras, relevantes e atualiza-
das para tratamento. Por exemplo, se o pacien-
te, cadastrado em uma base de dados há algum Quando uma empresa estabelece contato com
tempo, notou que as informações estão desa- diferentes stakeholders, essas pessoas fornecem
tualizadas, poderá solicitar alteração a qualquer seus dados pessoais. Então, preserve essa rela-
momento. ção de confiança. O vazamento dos dados ou
uso inadequados deles podem, em alguns casos,
6. Transparência - Garante aos usuários infor- gerar danos irreparáveis aos envolvidos. Somen-
mações claras e de fácil acesso sobre o tratamen- te isso já é um forte argumento para se tornar um
to de seus dados e quem são os responsáveis adepto da LGPD.
por tratá-los. Por exemplo, ao receber um SMS
de um hospital falando sobre uma nova unidade A nova lei dará segurança jurídica às pessoas,
de atendimento na região onde mora, o paciente enquanto gradativamente irá extinguir as prá-
pode questionar o motivo para que tenha recebi- ticas ilegais com relação ao uso de dados dos
cidadãos, como o cookie pool e a venda de lista
do essa mensagem e qual critério utilizaram para
de dados. A ideia é que, com o tempo, o Brasil
selecioná-lo.
possa ser visto como referência na segurança de
7. Segurança - As empresas que tratam de da- dados e, assim, atrair parcerias internacionais de
dos devem adotar medidas para proteger as in- países que também prezam pelas boas práticas
relacionadas aos dados dos cidadãos.
formações de acessos não autorizados, eventos
acidentais, alteração, perda, comunicação ou com-
partilhamento irregular. Por exemplo, o paciente Não adquira qualquer dado sem
informou o número do seu CPF ou Seguro de Saú- consentimento ou sem a correta
de para realizar um procedimento. É responsabili-
dade da empresa proteger esses dados para que
relação entre coleta e finalidade
esse usuário não seja prejudicado por fraudes.
82
Os impactos da LGPD na experiência do cliente
83
Os impactos da LGPD na experiência do cliente
84
Os impactos da LGPD na experiência do cliente
Quem é mais afetado pela LGPD em disso, pesquisas mostram que a preocupação
marketing? com o uso de dados não é em vão. Veja:
85
Os impactos da LGPD na experiência do cliente
3. Crie conteúdos personalizados para os 10. Revise os processos - A empresa deve pro-
clientes - Invista em uma estratégia de brand cessar apenas os dados dos clientes que fazem
content (marketing de conteúdo) relevantes sentido para o negócio da empresa. Além disso,
para os clientes e distribua-os em forma de white como dito anteriormente, é importante armaze-
papers, guias e eBooks. A ideia é que eles façam nar as informações em um formato que facilite a
download dos materiais em troca do comparti- anonimização, melhorar a transparência, autori-
lhamento das próprias informações de contato. zar que os visitantes controlem o processamento
desses dados, buscar parceiros em conformidade
4. Convide os visitantes a se cadastrarem com a Lei, melhorar continuamente a segurança
na lista de contatos - A sugestão é que a em- no armazenamento e na transferência de dados,
presa mantenha uma lista de e-mails segmenta- usar Relatório de Impacto à Proteção de Dados
da criando pop-ups específicos para notícias so- Pessoais e definir uma pessoa, física ou jurídica,
bre produtos e serviços da organização, além de para ser responsável pelos dados dos clientes.
postagens em blogs e notícias gerais da compa-
nhia. É importante lembrar que toda ação deve Por tempo ilimitado? Nem pensar!
estar vinculada à política de privacidade.
5. Eduque a equipe de vendas - É fundamen- Ao descrever detalhes sobre o uso dos dados
tal investir na estratégia de social marketing, fa- dos cidadãos, a LGPD exige que a empresa infor-
zendo com que os representantes de vendas se me data para início e término do uso das infor-
conectem com os clientes em potencial por meio mações, ou quando a finalidade do uso do dado
das mídias sociais, compartilhando conteúdos é efetivamente atingida, encerrando-se assim
relevantes para eles. Essa ação tende a render seu uso. A regra se deve ao fato de garantir que
mais resultados que a prospecção por e-mail. a ação seja encerrada assim que a organização
86
Os impactos da LGPD na experiência do cliente
atingir o objetivo proposto, conforme concor- sa, limitado a R$ 50 milhões por infração. Além
dância do proprietário dos dados. Porém, exis- disso, também poderão ter os dados irregulares
tem casos específicos que permitirão o uso das bloqueados para o uso ou a infração amplamen-
informações por tempo indeterminado. São eles: te divulgada.
Quando o controlador precisa cumprir algu- Em tempos de desejo de retomada da econo-
ma obrigação legal; mia, não é inteligente perder dinheiro, clientes ou
No caso de estudos por órgão de pesquisa, a credibilidade. Sairão na frente as organizações
desde que haja a garantia de anonimização que aproveitarem os próximos meses para se
dos dados; adequarem, seja buscando o apoio de especia-
listas ou aderindo a ferramentas que facilitem o
Em situações que haja a necessidade de trans- processo.
ferência de informações a terceiros; e
Sobre os autores
87
A importância da Cybersegurança sobre aspectos de Privacidade de dados
C
om o avanço dos meios de comunicação,
tecnologias e a transformação digital as
quais as Organizações estão sendo sub-
metidas, discussões sobre os aspectos de Pri-
vacidade de Dados ganham relevância afetando
diretamente as relações sociais, econômicas e
corporativas.
90
A importância da Cybersegurança sobre aspectos de Privacidade de dados
91
A importância da Cybersegurança sobre aspectos de Privacidade de dados
um assessment de cyber deve ser realizado para tratamento sejam adequadamente endereçadas.
identificar vulnerabilidades cuja atividade pode Após isso, consolidam-se os pontos levantados
ser realizada em duas partes: em um Relatório de Impacto de Privacidade
(DPIA), por meio do qual será traduzido o nível
Assessment de controles e processos de Se- de maturidade da Organização nos principais
gurança - que envolvem os ativos que armaze- domínios de Privacidade de dados.
nam dados pessoais e sensíveis – essa atividade
tem o objetivo de avaliar os principais domínios
de segurança da informação da Organização,
4. Roadmap priorizado de ações e
com base em frameworks, normas e boas prá- implementação
ticas de mercado, observando maturidade de As lacunas para elevar o nível de maturidade
processos, seu nível de formalização avaliando
da Organização nos domínios de Privacidade
políticas, procedimentos e os principais papéis e
responsabilidades. dos Dados são transformadas em ações práticas,
que podem ser classificadas como estruturantes
Assessment tecnológico – essa atividade tem e quick wins. Com base nos riscos e relevância ao
o objetivo de complementar a avaliação de pro- negócio, se realiza uma priorização para imple-
cessos e controles, com a análise de vulnera- mentação das ações.
bilidades do ambiente que armazena e trafega
dados pessoais e sensíveis e que poderiam ser A implementação envolve a criação de uma
exploradas por um atacante, gerando incidentes estrutura Organizacional de Privacidade de Da-
de segurança e impactando a privacidade dos dos com política, processos, papéis e responsa-
dados, tais como o vazamento de dados no mer- bilidades formalizadas e comunicadas para tratar
cado negro, a perda ou mesmo alteração indevi- questões de privacidade permitindo interação
da desses dados. Por essa razão, nesta etapa é com outras áreas da Organização, inclusive TI
indispensável a realização de testes de intrusão e Segurança da Informação. Adicionalmente,
nos sistemas simulando um hacker tentando ob- a fase de implementação demanda a revisão e
ter acessos ao ambiente da Organização.
ajuste de contratos para questões de privacida-
Com base nas vulnerabilidades e ameaças de de dados junto aos parceiros e fornecedores,
identificadas durante as etapas de assessment, plano de resposta a incidentes de segurança e
podemos identificar e classificar os principais treinamento a todos os profissionais envolvidos
riscos envolvidos para que ações de resposta e na Organização.
92
A importância da Cybersegurança sobre aspectos de Privacidade de dados
93
A importância da Cybersegurança sobre aspectos de Privacidade de dados
Do ponto de vista tecnológico, para as Organi- fragilidades e gaps com relação a pontos rele-
zações manterem um programa de privacidade vantes afetos a privacidade dos dados.
dos dados, alguns aspectos relevantes devem
ser observados. A figura abaixo demonstra os Para esta finalidade, a norma ISO/IEC
principais temas (não exaustivos) para identifi- 29101:2018 fornece uma visão interessante des-
cação, proteção, detecção e resposta a ameaças ses componentes técnicos supracitados, organi-
cibernéticas: zados em camadas e que auxiliarão os desenvol-
vedores de software, administradores de dados
Todos esses temas devem ser observados, e analistas de infraestrutura em projetos de solu-
principalmente em ativos que armazenam, trafe- ções tecnológicas trazendo aspectos importan-
gam e processam dados pessoais. Porém, mais tes para a privacidade dos dados. São elas:
importante do que observar individualmente um
determinado tema para um determinado ativo, é Privacy Settings Layer:
se atentar ao ciclo de vida do dado pessoal des-
de sua concepção até seu descarte. Com base Aborda aspectos como comunicação e pro-
nessa premissa, um processo importante e que pósito da coleta do dado, a categorização ou
deve fazer parte da cultura de privacidade de classificação desse dado coletado e o formulá-
toda Organização, é o conceito de Privacy by rio para coleta do consentimento do titular so-
Design, cujo objetivo principal é prover medidas bre o uso e o propósito do dado. As plataformas
e controles para garantir que os requisitos de pri- tecnológicas deverão apresentar ao titular o pro-
vacidade e segurança sejam considerados desde pósito de uso do seu dado e o consentimento.
a concepção de serviços, produtos e tecnologias, O consentimento deverá ser gerenciado, uma
e se estendam ao seu monitoramento e manu- vez que o titular poderá solicitar revogação dos
tenção após estarem em funcionamento. acessos anulando o consentimento inicial.
Embora essa medida garanta que requisitos É importante lembrar que, conforme descrito
de privacidade de dados façam parte do DNA na Lei Geral de Proteção de Dados Brasileira e no
da Organização e de seus novos serviços, produ- General Data Protection Regulation Europeu, há
tos e tecnologias, ela não garante que os respec- hipóteses de tratamento de dados sem a neces-
tivos legados atendam tais requisitos. Por isso, sidade de consentimento do titular, de forma que
as soluções oferecidas pela Organização devem o gerenciamento de consentimento deverá levar
ser alvo de assessments periódicos de segurança em consideração o fundamento que originou o
e monitoramento, com o objetivo de identificar tratamento de dados no caso concreto.
94
A importância da Cybersegurança sobre aspectos de Privacidade de dados
95
A importância da Cybersegurança sobre aspectos de Privacidade de dados
Conclusão
As transformações empresariais com o uso do
dado como diferencial competitivo movimenta a
economia global em todos os setores, especial-
mente os mercados relacionados a segurança da Sobre o autor
informação para manter confidencialidade, dis-
ponibilidade e integridade dos dados. Emílio Bartolomeu Neto é executivo
e especialista em temas de Cyber
Definir as estratégias corretas para implemen- Segurança, focado em estratégias de
tação de estruturas de governança de dados e segurança e gestão de riscos cibernéticos,
soluções tecnológicas que apoiem tais ativida- formado em engenharia pela Escola de
des se tornou essencial para as Organizações Engenharia de Piracicaba – EEP e em
brasileiras cujo fator motivador principal é a Lei Gestão Empresarial pela Fundação Getúlio
Geral de Proteção de Dados. Nesse cenário de Vargas. Emilio assessora clientes de
transformações, abre-se uma janela de oportuni- grande porte, nacionais e internacionais
dades a profissionais do setor de Cyber Seguran- auxiliando-os em seus desafios de
ça, principalmente os de perfil generalista que, transformação digital e na construção de
além de seus conhecimentos tecnológicos, pos- seus programas de segurança cibernética,
suem ampla visão e conhecimento de negócios, em todos tipos de indústria. Possui vasta
seus principais riscos e direcionadores de valor. experiência com Governança de Dados e
Risk Analytics, com atuação em projeto
Esse fato, aliado a força com que as leis de global de privacidade de dados em cliente
proteção de dados pessoais têm avançado no da indústria de Telecom sendo o líder na
cenário global traz, juntamente com suas trans- firma brasileira conduzindo as atividades
formações, os benefícios a um novo mercado do projeto junto a um time multidisciplinar
tecnológico que está em constante evolução e no Brasil.
principalmente para a sociedade que com toda
esta evolução, mantem seus direitos preserva-
dos em relação a privacidade de seus dados pes-
soais.
96