Planos de saúde, Open Health, portabilidade, cadastros hospitalares, clínicas, aplicativos. Cada vez mais a medicina tem evoluído junto com a tecnologia e adotado soluções para melhorar a experiência e o atendimento dos pacientes. Essa mudança é positiva, mas o outro lado dessa moeda mostra como é fundamental que essas empresas se preparem para evitar a exposição dessas informações sensíveis, evitando os ataques de hackers aos seus sistemas em busca desse valioso banco de informações. Para regulamentar todos os processos, garantindo toda a segurança, foi instituída a Lei Geral de Proteção de Dados no Brasil e criada a ANPD.
Publicada em julho de 2019, a LGPD tem uma série de termos para garantir a segurança e investigar o vazamento de dados sensíveis. Essa precaução tem como base a prevenção, permitindo que a ANPD (Autoridade Nacional de Proteção de Dados) também autue quem possua fragilidades no armazenamento dessas informações.
O que muitas empresas não imaginam é que não devem se preocupar apenas com a exposição e o vazamento de dados. Na verdade, elas podem até mesmo ser advertidas já no início do processo, se não mostrarem que possuem estrutura tecnológica, intelectual e de processos para garantir a proteção da privacidade dos seus clientes.
Garantir essa segurança de informações de pacientes que envolvem comorbidades, cirurgias, doenças é o primeiro passo para qualquer empresa que trabalha com qualquer tipo de dado, especialmente os que são sensíveis, como é o caso da saúde.
Caso alguém sinta que seus dados estão vulneráveis, poderá apresentar uma denúncia à ANPD. A partir daí, será iniciada uma investigação que apontará todas as vulnerabilidades no sistema de segurança do banco de dados da empresa ou clínica.
Mesmo sem ter um vazamento constatado, mas com fragilidades que coloquem as informações em risco, o órgão pode autuar a empresa. Todavia, por ser algo novo, dificilmente haverá uma multa aplicada logo na primeira fiscalização – embora não seja um cenário impossível, a depender da conduta da empresa.
O que vem acontecendo é a aplicação de uma advertência, com um prazo para que a empresa se adeque à LGPD e corrija os erros encontrados.
Esse período é definido pela Agência, nos termos do Artigo 52.
Entretanto, caso ainda haja recorrência do problema, referido artigo apresenta diversas punições, a exemplo de multa de até R$ 50.000.000,00:
“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – Advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;”
Para a aplicação das sanções previstas, serão levados em conta a gravidade da conduta, a boa-fé do agente, a vantagem auferida, a condição econômica, a reincidência e grau do dano causado, bem como a cooperação do infrator, a adoção de mecanismos ou de políticas de boas práticas e a pronta adoção de medidas corretivas.
Qualquer pessoa que se sentir vulnerável ao passar seus dados pode fazer a denúncia à ANPD, para que se proceda à devida verificação da adequação da empresa.
O âmbito judicial, especialmente o cível, poderá ser acionado caso o denunciante se sentir lesado pelo vazamento ou uso indevido de seus dados, ou seja, na identificação de desrespeito à lei.
Nesse sentido, é interessante destacar que a maioria das ações movidas no Poder Judiciário atualmente tem como pressuposto a violação de algum princípio – tema que futuramente será abordado em nosso blog.
Além da necessidade de ter um encarregado de dados (também conhecido como DPO), a ANPD, por meio da Resolução nº 1/2021, determina que os agentes devem estar preparados para eventual fiscalização – seja por denúncia ou de ofício.
Assim, é indicado que, além da adequação à LGPD, nos termos que a lei determina, deve a empresa elaborar uma implantação de política de boas práticas e governança, bem como um protocolo de plano de ação em caso de incidentes de segurança e/ou vazamento de dados pessoais, adotando medidas de segurança para proteger os dados de acesso não autorizados.
Importante ressaltar que toda essa implantação deve ser realizada com o auxílio de um escritório especializado e com uma equipe de tecnologia da informação de confiança.
Para saber se as informações armazenadas pela sua instituição ou negócio estão seguras, alguns tópicos devem ser levados em consideração. Caso tenha mais dúvidas sobre o tema, nós separamos um podcast que pode ajudar você a entender mais sobre o assunto.
Por ser muita nova, a LGPD ainda gera muitas dúvidas e inseguranças. Tanto para quem fornece os dados, quanto para quem armazena. Portanto, procure ajuda de um escritório de advocacia especialista e se informe.