A Lei Geral de Proteção de Dados (“LGPD”) (Lei nº 13.709, de 2018) é a norma que regula o tratamento de dados pessoais de pessoas físicas no Brasil, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade natural.

Cabe ressaltar que a LGPD versa sobre os o tratamento de dados pessoais da pessoa física, não tingindo diretamente os dados de pessoas jurídicas.

A LGPD entrou em vigor em 18 de setembro de 2020, com exceção das sanções, cuja vigência ficou prorrogada para 1º de agosto de 2021.

A LGPD se destina a todas as pessoas naturais e jurídicas, de direito público ou privado, independentemente do meio, do país de sua sede ou do país que estejam localizados os dados desde que:

• O tratamento de dados seja realizado no Brasil;
• Os dados tenham sido coletados no Brasil; ou
• O tratamento tenha por objetivo a oferta ou fornecimento de bens e serviços a indivíduos localizados no país.

A referida lei não se aplica quando o tratamento é feito por pessoa física para fins econômicos e não econômicos (ex. agendas telefônicas, e-mails, etc); para fins exclusivamente jornalístico, artístico ou acadêmicos, e quando visem à segurança pública, defesa nacional e segurança do Estado ou atividades de prevenção e repressão criminal.

Dado Pessoal é qualquer informação que possa identificar ou levar `identificação do seu titular (pessoa física), como dados cadastrais (nome, rg, cpf, etc) ou até dados comportamentais (número identificador de celular, IP, preferência de navegação na internet).

Dado Pessoal Sensível é uma categoria especial de dados pessoais, que, por existir a possibilidade de ser utilizado de forma discriminatória, está sujeito a regras mais rigorosas para seu tratamento. Os Dados Pessoais Sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

conceito de tratamento de dados abrange qualquer operação realizada com dado pessoal, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Titular do dado é a própria pessoa natural/física, ou seja, o indivíduo a quem os dados pessoais se referem, como por exemplo, o paciente.

O controlador é a pessoa física ou jurídica que decide a forma como os dados pessoais serão tratados (exs. profissional liberal ou consultório que coleta os dados de seus pacientes e define o que fará com eles).

O operador é a pessoa física ou jurídica que trata os dados dos titulares a partir de ordens recebidas pelo controlador (ex. o laboratório que recebeu material para realização de uma biópsia).

A LGPD prevê uma gama de direitos aos titulares de dados, sendo eles:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção dos dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da LGPD;
• Informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.

A Agência Nacional de Proteção de Dados (“ANPD”) é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoas e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
A missão da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.

A LGPD traz uma série de sanções administrativas para o caso de descumprimento da lei:

• Advertência;
• Multa simples de até 2% limitada a R$ 50M (cinquenta milhões de reais) do faturamento da pessoa jurídica de direito privado por infração;
• Multa diária;
• Publicização da infração;
• Bloqueio dos dados pessoais a que se refere a infração até sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão do tratamento dos dados pessoais a que se refere a infração; e
• Proibição parcial ou total de exercer atividades de tratamento de dados.

Vale destacar que todas essas sanções são administrativas, sendo possível que haja ainda eventual responsabilização por danos na esfera judicial.

Todas as áreas que lidam com dados pessoais no exercício de suas atividades precisam atentar para o tema da proteção de dados pessoas e conformidade com a LGPD. A área de saúde realiza reiteradamente tratamentos de dados sensíveis, o que traz a necessidade de adequação à LGPD de forma mais determinante.

O setor da saúde já preza pela confidencialidade e sigilo das informações. As regras estabelecidas na LGPD devem ser estritamente observadas sempre quando dados pessoais forem tratados, sejam eles de pacientes, colaboradores (profissionais de saúde, técnicos, administrativos), visitantes, fornecedores e/ou terceirizados.

A LGPD veda expressamente a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica, exceto em situações específicas.

As situações específicas são: o compartilhamento quando a finalidade é a prestação de serviços de saúde, assistência farmacêutica e de assistência à saúde, incluídos os serviços de diagnósticos e terapia, em benefício dos interesses do titular.

Em regra, o tratamento de dados pessoais sensíveis somente é permitido se for verificada alguma das seguintes situações:

• Havendo consentimento do titular do dado (exs. paciente que autoriza o compartilhamento dos seus dados; voluntário que consente em participar de pesquisa clínica);
• Para cumprimento de obrigação legal ou regulatória (ex. guarda de dados registrados em prontuário físico por 20 anos a partir do último registro – Resolução CFM nº 1.639/2022 e Lei nº 13.787/2018);
Pela Administração Pública, para a execução de políticas públicas (ex. dados de epidemia para desenvolvimento de política de prevenção ou combate à doença);
• Para a realização de estudos por órgãos de pesquisas (com anonimização dos dados sempre que possível) (ex. dados para pesquisa da eficácia de determinado medicamento);
• Para o exercício regular de direito em contratos e processos judiciais, administrativos ou arbitrais (ex. celebração de contrato para a prestação de serviços médico-hospitalares ou de planos individuais; ou na defesa de eventual ação judicial proposta pelo beneficiário);
• Para proteção da vida ou incolumidade física, do titular ou terceiro (ex. quando ocorre um acidente, o titular se encontra inconsciente e os socorristas necessitam verificar seus documentos pessoais para informar a família);
• Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde, serviços de saúde ou autoridades sanitárias;
• Para prevenção à fraude e garantia de segurança do titular (ex. circuito interno de TV que filma UTIs ou autenticação biométrica para liberação de consulta).

De acordo com os artigos 7º e 11º da LGPD, o tratamento só poderá ser realizado nas hipóteses autorizadas previstas nesses artigos. Caso o tratamento não se encaixe em nenhuma das hipóteses, o agente de tratamento deverá repensar na atividade para que exista uma hipótese de autorização ou deixar de realizar a atividade.