O que é LGPD?

O que é LGPD?

As regras de proteção de dados sensíveis garantem a segurança dos dados pessoais sempre que eles são recolhidos, por exemplo, quando uma pessoa compra um produto online, se candidata a um emprego, solicita um empréstimo bancário ou é atendida por um médico.

Essas regras se aplicam a empresas e organizações públicas ou privadas e aquelas que oferecem bens ou serviços, ou seja, sempre que as empresas solicitam ou reutilizam os dados pessoais de indivíduos.

Não importa o formato dos dados, on-line em um sistema de computadores ou em papel em um arquivo estruturado, sempre que informações que identificam o sujeito direta ou indiretamente como um indivíduo forem armazenadas ou processadas, seus direitos de proteção de dados devem ser respeitados.

Por isso, se você quer saber mais sobre o que é LGPD, confira o conteúdo que preparamos sobre o tema!

O que é LGPD?

O que é LGPD?

De forma objetiva, a Lei Geral de Proteção de Dados Pessoais, LGPD, é uma lei de privacidade e segurança que protege os dados sensíveis dos indivíduos.

Ela impõe obrigações a organizações em qualquer lugar do país, desde que visem ou coletem dados relacionados a pessoas. O regulamento entrou em vigor em 2018 e aplicará multas severas contra aqueles que violarem seus padrões de privacidade e segurança, com penalidades que podem chegar a milhares de reais.

Com a LGPD, o Brasil está sinalizando sua posição firme em relação à privacidade e segurança de dados em um momento em que mais pessoas estão confiando seus dados pessoais a serviços em nuvem e as violações são uma ocorrência diária.

A regulamentação em si é grande, abrangente e bastante rica em detalhes, tornando a conformidade com a LGPD uma perspectiva assustadora, especialmente para pequenas e médias empresas.

Por isso, criamos este conteúdo para servir como um recurso para proprietários e gestores de hospitais, clínicas e consultórios médicos se informarem sobre os desafios específicos que podem enfrentar. Embora não substitua a consultoria jurídica, pode ajudá-lo a entender onde concentrar seus esforços de conformidade com a LGPD. Também oferecemos dicas sobre ferramentas de privacidade e como mitigar riscos. Como a LGPD continua a ser interpretada, vamos mantê-lo atualizado sobre as práticas recomendadas em evolução.

Se você não tenha tempo para ler e entender sobre todos os detalhes diretamente na Lei, este conteúdo é para você! Neste artigo, tentamos desmistificar a LGPD e, esperamos, torná-lo menos opressor para as clínicas e consultórios preocupados com a conformidade, acompanhe!

História da LGPD

O direito à privacidade faz parte da Convenção dos Direitos Humanos de 1950, que afirma: “Todas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu lar e pela sua correspondência.” A partir desta base, o país tem procurado garantir a protecção deste direito através de legislação.

À medida que a tecnologia avançou e a internet foi inventada, o mundo reconheceu a necessidade de proteções modernas. Assim, em 1995, foi aprovada a Diretiva de Proteção de Dados, estabelecendo padrões mínimos de privacidade e segurança de dados, nos quais cada país membro baseou sua própria legislação de implementação.

Mas a internet já estava se transformando no banco de dados que é hoje. Em 1994, o primeiro anúncio em banner apareceu online. Em 2000, a maioria das instituições financeiras oferecia serviços bancários online. Em 2006, o Facebook foi aberto ao público. Em 2011, um usuário do Google processou a empresa por escanear seus e-mails. Dois meses depois disso, as autoridades europeias de proteção de dados declararam que precisavam de “uma abordagem abrangente sobre proteção de dados pessoais” e os trabalhos começaram a atualizar a diretiva de 1995.

A LGPD entrou em vigor em 2018 após ser aprovada no parlamento e, a partir de de então, todas as organizações deveriam estar em conformidade.

Escopo, penalidades e principais definições

Em primeiro lugar, é importante saber que se você processar os dados pessoais de cidadãos brasileiros ou oferecer bens ou serviços a essas pessoas, a LGPD se aplica a você mesmo que você não esteja no país.

Em segundo lugar, as multas por violar a LGPD podem ser muito altas. Existem diferentes níveis de penalidades, além disso, os titulares dos dados têm o direito de buscar compensação por danos.

A LGPD define extensamente uma série de termos legais. Abaixo estão alguns dos mais importantes aos quais nos referimos neste artigo:

Dados pessoais – os dados pessoais são quaisquer informações relacionadas a um indivíduo que pode ser identificado direta ou indiretamente. Nomes e endereços de e-mail são obviamente dados pessoais. Informações de localização, etnia, gênero, dados biométricos, crenças religiosas e opiniões políticas também podem ser considerados dados pessoais. Dados pseudônimos também podem cair na definição se for relativamente fácil identificar alguém a partir deles.

Processamento de dados – qualquer ação realizada nos dados, seja automatizada ou manual. Os exemplos citados no texto incluem coletar, registrar, organizar, estruturar, armazenar, usar, apagar, ou seja, basicamente qualquer ação.

Titular dos dados – a pessoa cujos dados são processados. Esses são seus pacientes ou visitantes do site.

Controlador de dados – a pessoa que decide por que e como os dados pessoais serão processados. Se você é responsável de sua organização que lida com os dados, este é você.

Processador de dados – um terceiro que processa dados pessoais em nome de um controlador de dados. A LGPD tem regras especiais para esses indivíduos e organizações. Eles podem incluir servidores em nuvem ou provedores de serviços de e-mail, por exemplo.

Quais são os principais pontos da LGPD?

Quais são os principais pontos da LGPD?

No restante deste artigo, explicaremos resumidamente todos os principais pontos regulatórios da LGPD. Confira!

Princípios de proteção de dados

Se você processa dados, deve fazer isso de acordo com os princípios de proteção e responsabilidade descritos a seguir:

  • Legalidade, justiça e transparência – o processamento deve ser legal, justo e transparente para o titular dos dados.
  • Limitação da finalidade – você deve processar os dados para os fins legítimos especificados explicitamente para o titular dos dados quando os coletou.
  • Minimização de dados – você deve coletar e processar apenas a quantidade de dados absolutamente necessária para os fins especificados.
  • Precisão – você deve manter os dados pessoais precisos e atualizados.
  • Limitação de armazenamento – você só pode armazenar dados de identificação pessoal pelo tempo necessário para a finalidade especificada.
  • Integridade e confidencialidade – o processamento deve ser feito de forma a garantir a segurança, integridade e confidencialidade adequadas, por exemplo, usando criptografia.
  • Responsabilidade – o controlador de dados é responsável por demonstrar a conformidade da LGPD com todos esses princípios.

Prestação de contas

A LGPD diz que os controladores de dados devem ser capazes de demonstrar que são compatíveis com a LGPD. E isso não é algo que você possa fazer depois do fato: se você acha que é compatível com a LGPD, mas não consegue mostrar como, então você não é compatível com a LGPD. Algumas das maneiras de fazer isso são:

  • Deixe claras as responsabilidades de proteção de dados para sua equipe.
  • Mantenha a documentação detalhada dos dados que você está coletando, como são usados, onde são armazenados, qual funcionário é responsável por eles, etc.
  • Treine sua equipe e implemente medidas técnicas e organizacionais de segurança.
  • Tenha contratos de Acordo de Processamento de Dados em vigor com terceiros que você contrata para processar dados para você.
  • Nomeie um oficial de proteção de dados, embora nem todas as organizações precisem de um.

Segurança de dados

Você é obrigado a lidar com os dados de forma segura, implementando medidas técnicas e organizacionais adequadas.

Medidas técnicas significam desde exigir que seus funcionários usem autenticação de dois fatores em contas onde os dados pessoais são armazenados até a contratação de provedores de nuvem que usam criptografia de ponta a ponta.

As medidas organizacionais são situações como treinamentos de pessoal, adição de uma política de privacidade de dados ao manual do funcionário ou limitação do acesso aos dados pessoais apenas aos funcionários da organização que precisam deles.

Se você tiver uma violação de dados, terá 72 horas para informar os titulares dos dados ou enfrentará penalidades. Este requisito de notificação pode ser dispensado se você usar proteções tecnológicas, como criptografia, para tornar os dados inúteis para um invasor.

Proteção de dados como procedimento padrão

De agora em diante, tudo que você faz em sua clínica ou consultório deve, por padrão, considerar a proteção de dados.

Na prática, isso significa que você deve considerar os princípios de proteção de dados de qualquer novo serviço ou atividade.

Suponha, por exemplo, que você esteja lançando um novo procedimento para seus pacientes. Você deve pensar sobre quais dados pessoais pode coletar dos clientes e, em seguida, considerar maneiras de minimizar a quantidade de dados e como você os protegerá com a tecnologia mais recente.

Quando você tem permissão para processar dados?

Nem pense em tocar nos dados pessoais de alguém – não os colete, não armazene, não venda para anunciantes – a menos que você possa justificá-los com um dos seguintes argumentos:

  • O titular dos dados deu a você consentimento específico e inequívoco para processar os dados, por exemplo, eles aceitaram sua lista de e-mail marketing.
  • O processamento é necessário para executar ou preparar a celebração de um contrato no qual o titular dos dados seja parte.
  • Você precisa processá-lo para cumprir uma obrigação legal sua.
  • Você precisa processar os dados para fazer o atendimento médico ou salvar a vida de alguém.
  • O processamento é necessário para realizar uma tarefa de interesse público ou para cumprir alguma função oficial.
  • Você tem um interesse legítimo em processar os dados pessoais de alguém. Esta é a base legal mais flexível, embora os “direitos e liberdades fundamentais do titular dos dados” sempre se sobreponham aos seus interesses, especialmente se forem dados de uma criança. É difícil dar um exemplo aqui porque há uma variedade de fatores que você precisa considerar para o seu caso.

Depois de determinar a base legal para o processamento de dados, você precisa documentar essa base e notificar o titular dos dados – transparência! E se posteriormente você decidir alterar sua justificativa, você precisa ter um bom motivo, documentar esse motivo e notificar o titular dos dados.

Consentimento

Existem novas regras estritas sobre o que constitui consentimento de um titular de dados para processar suas informações, como:

  • O consentimento deve ser dado livremente, específico, informado e inequívoco.
  • Os pedidos de consentimento devem ser claramente distinguíveis dos outros assuntos e apresentados em linguagem clara e simples.
  • Os titulares dos dados podem retirar o consentimento previamente dado sempre que desejarem, e você deve honrar a decisão deles. Você não pode simplesmente alterar a base jurídica do processamento para uma das outras justificativas.
  • Você precisa manter evidências documentais de consentimento.

Direitos de privacidade das pessoas

Você é um controlador e processador de dados. Mas, como uma pessoa que usa a internet, você também é um titular dos dados.

A LGPD reconhece uma série de novos direitos de privacidade para os titulares dos dados, que visam dar aos indivíduos mais controle sobre os dados que emprestam às organizações. Como organização, é importante compreender esses direitos para garantir que você esteja em conformidade com a LGPD. Abaixo está um resumo dos direitos de privacidade dos titulares dos dados:

  • O direito de ser informado
  • O direito de acesso
  • O direito de retificação
  • O direito de apagar
  • O direito de restringir o processamento
  • O direito à portabilidade de dados
  • O direito de objetar
  • Direitos em relação à tomada de decisão automatizada e definição de perfis.

Se você for afetado pela LGPD, recomendamos fortemente que alguém de sua organização o leia e que você consulte um advogado para garantir que está em conformidade com a Lei.

Agora que você já saber mais sobre o que é LGPD, que tal entender um pouco mais sobre como implementar um software sem mudar a rotina do consultório?

Gostou do texto? Não gostou? Comente abaixo!

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *