Criação de Autoridade Nacional de Proteção de Dados é mais um passo para a implantação da LGPD
Esta semana, a Câmara dos Deputados aprovou o projeto de lei de conversão da Medida Provisória 869/18, que determina a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade que será responsável pela fiscalização dos encarregados pelo tratamento de dados nos setores público e privado.
A medida ainda deve passar pela apreciação do Senado antes de entrar em vigor, mas é mais um passo na implantação da nova Lei Geral de Proteção de Dados (LGPD), uma mudança importante que entra em vigor no próximo ano e irá afetar, inclusive, o setor de saúde (público e privado), ainda que nem todos tenham se atentado para isso.
Para ajudar nessa transição e na adaptação do setor, separamos alguns dos pontos que mais nos chamam atenção.
Um dos maiores desafios proporcionados pela nova Lei é definir quem tem acesso a cada informação e por quanto tempo.
Primeiro porque a permissão para usar dados deve ser livre, formal, inequívoca, explícita e bem detalhada. Ou seja, nada de pegar dados com um propósito e usar para outro sem receber autorização prévia do dono das informações, a pessoa física. E é fundamental entender: o dono da informação (inclusive aquelas coletadas em prontuários) é o paciente.
Esse conceito de autorização é conhecido juridicamente como consentimento. Contudo, as bases para afirmar que uma pessoa consentiu também estão gerando insegurança. Na Europa, que já conta com lei similar em exercício, uma multa de € 400 mil Euros foi aplicada porque médicos estavam tendo acessos a todos os dados do paciente e não apenas aos que seriam necessários para o diagnóstico. Apesar de as leis brasileira e europeia não serem exatamente iguais, o mesmo tipo de falha poderia acontecer por aqui.
Ainda nesse sentido, pode haver problema quanto ao consentimento de uso de dados de beneficiários de planos coletivos empresariais. Isso porque os beneficiários de planos individuais claramente consentem em oferecer informações para contar com o benefício. Já os planos empresariais são contratados em grande parte por empresas por força de acordo coletivo (firmado entre os sindicatos dos trabalhadores e dos empregadores). Ou seja, não há o consentimento de cada indivíduo.
A questão de “anonimização” dos dados, o que permitiria que eles fossem usados para pesquisas e amostragens como as que nós e outras entidades realizamos, por exemplo, também está cercada de incertezas. Primeiro porque não basta retirar o nome da pessoa para que os dados se tornem anônimos. É necessário garantir que o indivíduo não possa ser identificado.
Por exemplo, se o setor de RH de uma empresa com poucos funcionários recebesse análises de saúde de seus colaboradores, ainda que os pacientes não sejam nomeados, é possível que certas características possibilitem a identificação de um ou mais indivíduos, o que colocariam a prática em desacordo com a nova lei.
Por fim, a guarda de dados é outro fator a que as empresas precisarão se atentar. Apesar de a pessoa física ter direito a saber que informações sobre ela a empresa possui e a solicitar que os dados sejam apagados, a legislação que obriga a guarda de dados (o Conselho Federal de Medicina prevê que os documentos do prontuário médico do paciente precisam ser mantidos na instituição por no mínimo 20 anos) e o fato de empresas poderem preservar informações para se proteger em eventuais processos conflitam com essa determinação, criando insegurança jurídica.
Nós vamos continuar acompanhando os desdobramentos da nova legislação.