A LGPD – Lei Geral de Proteção de Dados (Lei n. 13.709/2018) – dispõe sobre o tratamento de dados pessoais e tem como principais objetivos a proteção da privacidade e a autodeterminação informativa. A intenção do legislador foi determinar os direitos do titular dos dados e garantir a segurança das informações para assim evitar o chamado “vazamento de dados” e as consequências daí advindas.

Dentre os princípios elencados na LGPD, para que se compreenda como iniciar o processo de adequação, destaco: o da necessidade, da finalidade e da segurança. Esses princípios se traduzem na seguinte ideia: tratar os dados estritamente necessários, para propósitos específicos e informados, garantindo a segurança das informações sob a sua tutela.

Para iniciar o processo de adequação à Lei, é imprescindível que se conheça o fluxo dos dados tratados na sua clínica, desde a entrada até o arquivamento e/ou eliminação. A partir daí é possível identificar as falhas e eliminar os riscos através de determinadas medidas e protocolos seguros de tratamento de dados.

A Lei determina que os envolvidos nesse processo mantenham registros das operações de tratamento de dados e a autoridade nacional poderá determinar a elaboração de relatório de impacto à proteção de dados, ou seja, a clínica deve gerar evidências de adequação à LGPD, estabelecendo uma política de segurança e privacidade das informações.

Embora pouco se saiba como se dará a fiscalização e a aplicação de sanções pela Autoridade Nacional de Proteção de Dados (ANPD), deve se ter em mente que a LGPD veio para mudar uma cultura e que os próprios titulares dos dados tratados estarão atentos, assim como o Ministério Público, o Procon, etc.

Não existe uma receita pronta para adequação à LGPD, principalmente pela ausência de regulamentação e da novidade da Lei. Portanto, a dica para começar é conhecer o fluxo dos dados tratados na sua clínica, buscar auxílio para realizar esse mapeamento, analisar os riscos e estabelecer um plano de ação que implemente medidas de segurança alinhadas ao seu modelo de negócio e aos termos da lei sem inviabilizar a atividade.

LGPD EM 5 PONTOS

1. “Tratamento” compreende toda a operação realizada com dados pessoais (ex.: coleta, acesso, reprodução, transmissão, processamento, arquivamento, eliminação, etc.).
2. Você deve conhecer o fluxo de dados tratados, em meio físico e eletrônico, dentro da sua empresa para identificar os riscos e implementar medidas de segurança.
3. Você precisa gerar evidências documentais de adequação à LGPD – mapeamento, relatório de análise de riscos, política de privacidade, revisão de documentos, etc.
4. Você deve nomear um “encarregado” pelo tratamento de dados que será o canal de comunicação entre a empresa, os titulares e a autoridade administrativa.
5. As sanções por infração à norma compreendem, dentre outras, multa de até 2% do faturamento, multa diária, publicidade da infração, suspensão do funcionamento do banco de dados e proibição do exercício de atividades relacionadas a tratamento de dados.