Você já parou para pensar na quantidade de informações que empresas e instituições têm sobre nós? Nome, CPF, e-mail, número de celular, endereço residencial e tantas outras. Quando há esse acúmulo de dados pessoais, a possibilidade de vazamento é grande, o que pode ser uma ameaça à privacidade das pessoas. Diante desse cenário e da necessidade de regular as atividades de tratamento de dados pessoais, foi criada a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020.
Há mais de 30 anos, existem leis de proteção de dados na Europa, mas, em 2018, a União Europeia decidiu fazer uma padronização da legislação e elaborou a GDPR – General Data Protection Regulation. Dois anos depois, o Brasil criou a LGPD, que é derivada da legislação europeia, apesar de haver as peculiaridades da realidade brasileira.
Desde agosto de 2021, um ano após a nova legislação entrar em vigor, a Autoridade Nacional de Proteção de Dados (ANPD), órgão do governo encarregado da fiscalização da matéria e também de suas regulamentações, começou a aplicar as sanções administrativas previstas na lei, que vão desde advertência, multa, até o bloqueio dos dados. É importante lembrar que, além de pessoas jurídicas como clínicas e hospitais, os médicos, pessoas físicas que trabalham como profissionais liberais, também devem se enquadrar à LGPD.
Os tipos de dados
De acordo com Sergio Woisky, sócio da Comp9, consultoria especializada em LGPD, existem três tipos de dados: pessoais, sensíveis e os de menores de idade. Os pessoais são aqueles que identificam as pessoas. Geralmente, são os chamados dados cadastrais, como nome, endereço, e-mail, telefone, CPF, PIS, número da carteira de trabalho etc.
– Às vezes, consideramos que um dado não é pessoal, mas ele acaba se tornando. Por exemplo, uma placa de um veículo. Se o carro é de propriedade de uma pessoa física, a placa identifica a pessoa. Vocês já devem ter reparado que, em uma filmagem de jornais na televisão, o repórter está na rua fazendo uma entrevista e as imagens das placas dos carros estão borradas. Isso acontece exatamente por causa da lei de proteção de dados. Quando a câmera focaliza a placa, ela consegue identificar uma pessoa, o dono do veículo – observou.
Os dados sensíveis são os mais importantes, continuou o especialista, e são os tratados pela área de saúde. O dado de saúde também é um dado pessoal, só que tem outra característica. Se ele for vazado, poderá haver uma consequência muito negativa para o dono do dado. Essa consequência pode ser uma extorsão, uma chantagem, um golpe, uma discriminação, um preconceito.
– Além dos dados de saúde, os sensíveis podem ser dados biométricos, genéticos, de orientação sexual, etnia, raça, religião e outros. O terceiro tipo de dado é o que se refere aos menores de idade, que é muito importante no caso da pediatria. A legislação exige que, em caso de captura de dados de um menor de idade, ou seja, com menos de 18 anos, deve haver a autorização dos pais ou do responsável legal – afirmou.
Quando os dados são coletados durante a consulta da criança, acrescentou Sergio Woisky, na presença dos pais ou do responsável legal, não há problema algum. No entanto, quando é o caso de um adolescente, com 17 anos, 17 anos e 10 meses, que vai à consulta sozinho, o médico deve ter bastante cuidado.
– Não é permitido fazer a captura do dado desse adolescente diretamente. Se ele repetir um dado que o médico já tem, não há problema. Mas, se o médico está fazendo um questionamento ao adolescente e é a primeira vez que está conversando com ele, estando desacompanhado, pela legislação, o profissional precisa ter uma autorização explícita, ou seja, por escrito, dos pais ou do responsável legal para coletar os dados – enfatizou.
Quem tem que cumprir a LGPD?
Pessoas físicas e jurídicas que façam qualquer operação de tratamento de dados pessoais devem se adequar à legislação. Segundo a LGPD, tratamento é receber, gravar, transferir, imprimir, arquivar, incrementar, divulgar dados, não importando o formato, seja eletrônico ou físico.
– Muitas vezes, quando se fala em dados, as pessoas acham que são apenas os que estão no computador. Mas, as fichas médicas e os prontuários físicos também são considerados dados e estão previstos na lei – comentou Sergio Woisky.
As principais sanções administrativas
As principais são advertência, multa, dar publicidade à sanção e bloqueio ou eliminação dos dados. Sergio Woisky afirmou que, na advertência, é preciso corrigir o que está sendo feito de errado. Existem dois tipos de multas: as diárias, que são cobradas enquanto não se corrige o problema; e a de 2% sobre o faturamento do ano anterior, com o teto de R$ 50 milhões.
– Dar publicidade à sanção é quando a empresa ou a pessoa física deve divulgar no seu próprio site ou em um veículo de grande circulação de que recebeu uma punição, o que é péssimo e vai ter um impacto direto na sua clientela. No caso de pessoa jurídica, isso pode afetar o faturamento e até mesmo o valor de empresa – explicou.
A sanção de bloqueio ou eliminação dos dados, continuou o especialista, se aplica mais às empresas que compram bases de dados sem saber origem, o que pode ser considerado uma base de dados ilegal.
Quem se sentir prejudicado pode pedir indenização
Sergio Woisky também ressaltou que pessoas físicas que se sentirem prejudicadas, devido ao vazamento dos seus dados, podem entrar com pedido de indenização. Já existem vários pedidos na Justiça, mas não adianta apenas provar o vazamento, é necessário provar o dano também.
– É importante lembrar que o Ministério Público e o Procon já atuam nesse segmento há muito tempo, mesmo antes de existir a LGPD. Eles sempre se baseavam no Código de Defesa do Consumidor. Bancos, comércio on-line já foram multados antes por terem problemas de vazamentos de dados. Enquanto a Autoridade Nacional de Proteção de Dados toma medidas administrativas, o Procon e o Ministério Público atuam em todo o Brasil com medidas judiciais – frisou.