Entenda qual é o motivo que leva as empresas e organizações de saúde a serem altamente impactadas pela Lei Geral de Proteção de Dados - LGPD
O alto impacto da LGPD nas empresas do ramo da saúde, como, por exemplo, laboratórios, clínicas e hospitais, decorre de uma constatação muito simples: os dados pessoais referentes à saúde são denominados como sensíveis pela legislação[1], motivo pelo qual são protegidos com maior rigor e exigem atenção e senso de urgência das organizações.
Caso contrário, serão surpreendidas com solicitações, tanto dos titulares de dados, como também da Autoridade Nacional de Proteção de Dados (ANPD), assim como com penalizações pelo descumprimento da LGPD, que corresponde a multas pecuniárias expressivas, bloqueio da atividade de tratamento de dados pessoais, etc.
Significa que a organização deve se atentar para a necessidade de elaboração do Relatório de Impacto à Proteção de Dados Pessoais – RIPD, que deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados[2].
De igual modo, deverá implementar procedimentos para operacionalizar uma governança de dados, uma vez que a LGPD entende que informações referente à saúde, obtidas, a título de exemplo, por meio de exames de sangue, são dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais.
DICA: os dados pessoais referentes à saúde, ou qualquer outro que seja considerado como sensível ou capaz de gerar riscos, podem ser objeto de tratamento pelas empresas, desde que estas cumpram com a finalidade previamente definida e estejam embasados pela lei (existem hipóteses em que não é necessário obter o consentimento do titular)[3].
[1] Art. 5º Para os fins desta Lei, considera-se: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
[2] Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
[3] Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (..).
Mais um excelente texto, Dr. Felipe! Realmente uma autoridade no assunto LGPD!