Lucas Magalhães responde perguntas sobre a LGPD | SINDHOSP
Você está no site do SINDHOSP FEHOESP 360 Clique aqui para acessar o portal FEHOESP 360

Notícias

Lucas Magalhães responde perguntas sobre a LGPD

Lucas Magalhães responde perguntas sobre a LGPD

27/09/2021

 

LGPD requer revisão de governança, transparência e segurança da informação

 

Garanta sua participação no evento gratuito sobre a LGPD!

 

Desde agosto a Lei Geral de Proteção de Dados Pessoais (LGPD) já aplica penalidades para empresas e órgãos públicos que cometerem vazamento e uso incorreto de dados pessoais dos consumidores. É o que alerta o advogado da área de Direito Digital e Proteção de Dados, Lucas Magalhães, do escritório Machado Nunes Advogados.

Para esclarecer as principais dúvidas da categoria sobre o assunto, o SindHosp promove neste mês de setembro a LGPD na Prática. Dois módulos já engajaram a comunidade de serviços de saúde e estão disponíveis no canal no YouTube do SindHosp. Os próximos dois dias de evento acontecerão em 24 e 28 deste mês. Aproveite a oportunidade e inscreva-se!

Lucas foi o primeiro palestrante  do evento e abordou aspectos da implantação e estruturação da LGPD. Assista à transmissão e confira abaixo o bate-papo do SindHosp com o advogado:

 

SindHosp: O principal objetivo da LGPD é a proteção de dados. Quais tipos de dados são considerados sensíveis e devem ser coletados com o devido consentimento?

Lucas Magalhães: Os dados classificados como sensíveis pela LGPD são informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. É muito importante compreender que o termo “sensível” na LGPD não tem relação de sinônimo com a ideia de informação confidencial ou relevante para o negócio. Na LGPD, quando um dado é sensível, isso significa que deverá ser adotado um cuidado adicional durante seu processamento.

  SindHosp: Quais são as principais medidas que devem ser adotadas pelas organizações de Saúde para se adequar à normativa?

Lucas Magalhães: Podemos resumir as obrigações mais relevantes em 3 partes: governança, transparência e segurança da informação.

Para se garantir governança, será necessário construir um corpo institucional e mecanismos formais responsáveis pelo controle da forma de utilização dos dados dentro da organização e difusão de uma cultura de privacidade.

A partir de uma boa governança, será possível garantir a transparência. Para isso, será necessário construir avisos de privacidade e canais apropriados por meio dos quais os titulares de dados, autoridades reguladoras e parceiros estratégicos poderão ter acesso a informações claras e objetivas sobre como a instituição utiliza dados pessoais em suas atividades.

Concomitantemente com as obrigações acima, será também necessário garantir Segurança da Informação. Em síntese, isso quer dizer garantir a Confidencialidade, Integridade e Disponibilidade da informação. Isso é feito por meio de uma avaliação clara dos ativos de informação e riscos envolvidos e, a partir de desta análise, o estabelecimento de medidas institucionais, tecnológicas e culturais objetivando a prevenção de incidentes de segurança, sua mitigação em caso de ocorrência e monitoramento constante de amaças.

  SindHosp: Existem hipóteses em que o consentimento para o tratamento de dados não será necessário?

Lucas Magalhães: Esse ponto é uma novidade muito interessante na LGPD. A partir de sua vigência, a utilização de dados pessoais encontra 10 possibilidades a utilização de dados sensíveis encontra 8 possibilidades. Em ambos os casos, apenas uma delas é o consentimento. Isso quer dizer que casos como tutela da saúde, execução de contratos, cumprimento de obrigações legais, entre outras hipóteses, não demandam o consentimento do titular.

Na LGPD, o consentimento deixa de ser uma simples autorização, ou formalização de ciência. Agora, ele ganha um papel especial pois traz mais direitos ao titular de dados e responsabilidades à instituição que coleta esse consentimento. Um bom exemplo é o direito do titular (e dever do controlador) de revogação do consentimento por meio da solicitação. Temos então uma relação de chave-fechadura, de forma que o caso concreto é que vai ditar qual é a melhor base legal, e muitas vezes o consentimento não será a saída “fácil” ou mesmo “segura”.

  SindHosp: Quais suas indicações para a garantia da segurança da informação na Saúde Digital, levando em conta o crescimento da telemedicina?

Lucas Magalhães: É muito importante conhecer o fornecedor de serviços de tecnologia e o que ele traz em sua tecnologia no que se refere a segurança de dados, e envolver sua equipe de segurança da informação no processo de negociação para os riscos possam ser avaliados de forma concreta. Além disso, é também indispensável que a instituição adote também medidas internas e especialmente a conscientização dos profissionais que utilizaram as ferramentas tecnológicas.

  SindHosp: Dentre os fluxos que abrangem o manuseamento dos dados, em grande parte envolvendo empresas terceirizadas, quais políticas internas você indica que sejam revisadas?

Lucas Magalhães: É muito importante envolver profissionais contratados com acesso a informações no programa de privacidade adotado pela organização. No que se referem às políticas e procedimentos internos, eles devem ser conscientizados e submetidos da mesma forma que os colaboradores diretos da organização.

Essa submissão às políticas e procedimentos precisa estar descrito de forma clara no contrato de prestação de serviços.

SindHosp: No caso de descumprimento da Lei, quais são as penalidades aplicadas?

Lucas Magalhães: A LGPD prevê a aplicação de sanções administrativas diretamente pela ANPD, tais como bloqueio de bases de dados, proibição do exercício de atividades e até mesmo uma multa de até 2% do faturamento da organização.

Além disso, é muito importante lembrar que a organização que gera danos por conta de um processamento de informações indevida ou um incidente de proteção de dados também estará sujeita às ações judiciais coletivas e individuais, além de eventuais sanções administrativas por outros órgãos fiscalizadores de suas atividades.

 

Saiba ainda mais sobre o assunto no evento LGPD na Prática.

Clique aqui para fazer a sua inscrição!