A LGPD objetiva proteger os dados pessoais, inclusive nos meios digitais, garantir os direitos fundamentais de liberdade e de privacidade. Salienta-se que a Lei nº 13.853 de 08 de julho de 2019 alterou alguns dispositivos da LGPD, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados.
A LGPD tem como fundamentos o desenvolvimento econômico e tecnológico e a inovação; a liberdade de expressão, de informação, de comunicação e de opinião, entre outros.
Segundo Patrícia Peck Pinheiro (2018) o modelo atual de negócios da sociedade digital, em que a informação passa a ser moeda de troca do usuário para acessar determinados bens e serviços, faz com que seja necessário uma lei que garanta a proteção de dados pessoais.
Nesse contexto, a Lei nº 13.709 de 2018 - Lei Geral de Proteção de Dados Pessoais é considerada marco legislativo brasileiro. A LGPD foi inspirada no Regulamento Geral de Proteção de Dados Europeu – General Data Protection Regulation – GDPR e sancionada em agosto de 2018 pelo Presidente Michel Temer.
Em 2018 também foi criada a entidade sem fins lucrativos, Associação Brasileira de Proteção de Dados – ABPDados, com o intuito de assumir papel relevante na conscientização da importância do direito na proteção de dados pessoais no Brasil.
Aplicação material e territorial da LGPD
Conforme indicado no art. 3º desta Lei, a LGPD se aplica a qualquer operação de tratamento de dados realizada por pessoa natural ou pessoa jurídica de direito público ou de direito privado, independente do meio, do país de sua sede ou do país onde estejam localizados os dados, contanto que:
- A operação seja realizada no território nacional;
- A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
- Os dados pessoais objeto do tratamento tenham sido coletados no território nacional;
Consideram-se coletados no território nacional os dados pessoais pertencentes ao titular que se encontre no momento da coleta.
As normas indicadas na LGPD são de interesse nacional e devem ser respeitadas pela União, pelos Estados, pelo Distrito Federal e pelos Municípios.
A aplicação da nova Lei é extraterritorial, isso quer dizer que provoca efeitos internacionais, em dados que sejam tratados fora do Brasil, desde que a coleta tenha ocorrido em território nacional, ou por oferta de produto / serviço para indivíduo no território nacional, ou que se encontrassem no Brasil.
Assim, os dados pessoais tratados por empresas que prestam serviços cloud computing, armazenando dados fora do país deverão cumprir as exigências estabelecidas na LGPD.
Em quais casos a LGPD não se aplica?
O artigo 4º da Lei nº 13.709 de 2018 deixa claro em quais casos a LGPD não pode ser aplicada, observe:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Quais as áreas serão mais afetadas pela LGPD? Quais os reflexos da LGPD na saúde?
Diversas áreas serão afetadas pela LGPD, em razão do crescente uso de Tecnologias de Informação e Comunicação – TIC, de computadores, de smartphones, de plataformas digitais, da informatização de diversos setores de organizações públicas e privadas, do comércio eletrônico, de aplicativos, da preferência por arquivos digitais e de arquivos salvos em nuvens.
Conforme indicado por Machado Nunes (2019) o intercâmbio de dados é realizado para atender diferentes finalidades. Exemplo: empresas privadas adquirem dados pessoais com o intuito de estudar a assertividade no lançamento de novo produto ou serviço, com base no perfil dos indivíduos que a empresa pretende atingir.
Destaca-se que o comércio, as instituições bancárias, as empresas de TI, os negócios digitais e as empresas de serviços serão muito afetadas pela LGPD.
A área de saúde também será afetada, principalmente nas grandes estruturas, com a coleta de dados em proporções elevadas, que possibilitam a comparação de dados de saúde de indivíduos em diversas localidades.
Como se sabe o setor de saúde engloba desde consultórios, clínicas médicas, hospitais públicos e privados, laboratórios, farmácias, pacientes, agentes de saúde e toda a esfera pública – o Sistema Único de Saúde – SUS, que possibilita o acesso universal ao sistema público de saúde.
Pode-se dizer que o compartilhamento de dados na saúde é importante para que sejam reduzidos os custos assistenciais, tanto para disponibilizar dados mínimos dos pacientes aos que integram toda a cadeia de assistência à saúde quanto para possibilitar um tratamento mais assertivo (NUNES, 2019).
De acordo com o art. 5º, II, da LGPD, os dados referentes à saúde são considerados dados pessoais sensíveis. Dessa forma, as organizações que tratarem de dados pessoais sensíveis devem se submeter aos artigos 7º e 11 da LGPD.
Embora não seja uma disposição nova para o setor de Saúde Suplementar, cumpre informar que o §5º, do art. 11, da LGPD veda as operadoras de planos de saúde privados o tratamento de dados de saúde para a seleção de riscos na contratação de qualquer modalidade, bem como na contratação e exclusão de beneficiários.
Ressalta-se que a LGPD indica que o tratamento de dados sensíveis deve estar de acordo com a finalidade e com o benefício do titular dos dados pessoais.
Em alguns casos, quando o tratamento for indispensável para proteger a vida ou incolumidade física do titular ou de terceiro, a LGPD autoriza o tratamento sem consentimento. Contudo, devem ser respeitados os princípios indicados no art. 6º, da LGPD.
Assim, pode-se dizer que a LGPD possibilita o tratamento de dados sensíveis sem o consentimento do titular.
LGPD e a Segurança da Informação
Com as disposições da LGPD, as empresas e as organizações públicas e privadas passam a ter mais responsabilidade em relação à coleta, ao armazenamento e ao tratamento de dados pessoais.
O tratamento é definido como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, nos termos do art. 5, X, da Lei nº 13.709 de 2018.
Os agentes responsáveis pelo tratamento das informações são: o controlador e o operador de dados. O controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento dos dados pessoais, de acordo com o artigo 5º, VI, da Lei nº 13.709 de 2018.
O operador pode ser definido como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, nos termos do artigo 5º, VII, da Lei nº 13.709 de 2018.
Cabe informar que o titular dos dados pessoais tem o direito de acesso aos dados e as informações que estão em poder do controlador.
As entidades devem assegurar a privacidade aos titulares dos dados - usuários e clientes –, a integridade e a confidencialidade das informações a partir de medidas de proteção de dados e de segurança da informação.
No que se refere à promoção da segurança da informação, cabe indicar que os processos e os procedimentos devem garantir a disponibilidade, a integridade a confiabilidade de informações, percorrendo todo o ciclo de vida do dado.
Para tanto, cabe a todos os agentes responsáveis pelo tratamento de dados adotarem medidas adequadas de segurança. Salienta-se que deve ser preservada a trilha de auditoria para apuração, em virtude da responsabilidade solidária das ações imputadas durante o processo de tratamento de dados.
Diante do exposto, vislumbra-se a necessidade de consultorias de profissionais de Tecnologia da Informação - TI e de advogados para auxiliarem as empresas a se adequarem aos dispositivos da LGPD. Nos órgãos públicos devem ser realizados cursos para capacitarem os seus servidores públicos a desempenharem suas atividades, respeitando a nova legislação.