Todas as áreas precisam estar atentas ao cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) – lei 13.709/18, mas a área de saúde tem uma preocupação especial: os dados sensíveis.

Dispõe a LGPD, que dados sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (artigo 5º, inciso II).

Quando a atuação prática entra em cena, há a necessidade de aplicar medidas e controles de segurança, bem como de conseguir demonstrar conformidade e cumprir o princípio da responsabilização e prestação de contas (artigo 5º, inciso X, da LGPD). Ainda que o artigo 41 da LGPD, elenque as atividades do DPO (Data Protection Officer, também conhecido como Encarregado pelo Tratamento de Dados Pessoais), é sabido que suas responsabilidades irão muito além do que ali foi indicado, trabalhando com a minúcia necessária junto com o Controlador a fim de garantir a proteção dos dados pessoais objeto do tratamento.

A importância de ter um DPO nas instituições de saúde não é justificada apenas pelo cumprimento da LGPD, mas também, por questões organizacionais, de governança e econômicas. Além desse profissional ser o elo entre agentes de tratamento, titulares de dados pessoais e ANPD (Autoridade Nacional de Proteção de Dados), atividades de extrema relevância, ele conseguirá perceber quais as relações comerciais mais seguras para a instituição, em termos de proteção de dados, como por exemplo, empresas que já estejam se adequando à Lei e a utilização de serviços e produtos que já envolvam privacy by design e privacy by default.

Além de verificar processos que envolvam dados pessoais e conscientizar as pessoas, levando em consideração a complexidade de se tratar dados pessoais sensíveis, o DPO terá como objetivo a busca e garantia da conformidade com a LGPD, evitando, assim, sanções administrativas e judiciais, perda de competitividade e até prejuízos.

Ter um DPO impacta não somente na nova forma de tratar fluxos e processos internos da área de saúde, mas também, na continuidade de negócios das instituições. Ter um DPO traz um senso maior de responsabilidade com relação aos dados pessoais e dados pessoais sensíveis dos titulares, organiza melhor a estrutura de gestão interna, com classificação de informações com base em sua sensibilidade, possibilita a escolha de fornecedores preparados para lidar com as questões que envolvam privacidade e proteção de dados pessoais, avalia a melhor forma de fechar contratos, dentre outras ações.

A LGPD não obriga que o DPO seja certificado ou tenha exercido determinada função, apenas, em seu artigo 41, no § 1º, dispõe que as informações do DPO deverão ser divulgadas publicamente. Já o GDPR (Regulamento Geral Europeu de Proteção de Dados), em ser artigo 37, dispõe que o responsável pela proteção de dados será designado com base em qualidades profissionais e, em particular, conhecimento especialista da lei de proteção de dados, bem como as práticas e a capacidade de realizar as tarefas referidas no artigo 39 (artigo que elenca as atividades do DPO, no GDPR). Logo, fica clara a importância desse profissional dentro da instituição, o qual pode ser terceirizado para se obter esta especialização e independência.

Atender às solicitações dos titulares de dados pessoais, elaborar estruturas para portabilidade de dados pessoais e criar plano de governança são tarefas do cotidiano. A LGPD, em seu artigo 50, dispõe sobre a possibilidade, por parte de Controladores e Operadores, regras de boas práticas e governança. No entanto, para chegar neste ponto, há diversas fases a serem cumpridas previamente.

Mapear processos e analisar riscos de uma instituição de saúde é uma das tarefas mais complexas para os profissionais de privacidade. O data mapping de um hospital, a título de exemplo, é um dos mais difíceis de ser elaborado. E como definir uma base legal (artigo 7º da LGPD)? Ainda que o consentimento não seja a resposta para tudo (como muitos pensam, erroneamente), quando se fala em dados sensíveis, sua força é notória. Ainda, é salutar a compreensão de que aqui serão tratados, documentos como prontuários médicos, exames e receitas. Haverá a necessidade de criar fluxos e processos para atendimentos de pacientes e seus acompanhantes, agendamento de consultas, elaboração e entrega de exames, acompanhamento de cirurgias, armazenamento e administração de medicações, atendimento aos planos de saúde, revisão de contratos com terceiros e etc.

Inclusive, ocorrerão situações que envolverão o tema transferência internacional de dados (artigo 33 da LGPD): como tratar, por exemplo, dados de pacientes estrangeiros? Como será a tratativa com um plano de saúde em outro país? Fluxos e processos deverão ser adaptados com base no disposto na Lei.

O artigo 46 da LGPD, estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Reflitamos: Como controlar acessos aos prontuários dentro de um hospital, sejam eles físicos ou eletrônicos, por exemplo? Como supervisionar a utilização de crachás, para que somente pessoas autorizadas tenham acesso à determinados setores? Como organizar um cronograma de treinamentos, considerando as extensas horas de trabalho?

Além das situações mencionadas anteriormente, salienta-se, ainda, que além da LGPD, outras leis e regulamentos deverão ser considerados, tais como o Código de Ética de Medicina, as Resoluções da ANVISA, Resoluções do Ministério da Saúde, normas da Agência Nacional de Saúde Suplementar (ANS), dentre outros, aumentando a essencialidade de análises e estruturas organizadas com prudência e atenção.

E as referências não são apenas dados de saúde, dados genéticos e dados biométricos (artigo 11 da LGPD), mas também, dados pessoais de crianças e adolescentes (artigo 14 da LGPD). Como coletar e fazer a gestão dos consentimentos dos pais e/ou responsáveis legais? Como serão os fluxos de dados com as assistências sociais e os planos de saúde?

Elaborar um ROPA (Record of Processing Activities) e criar um plano de ações e de governança, por exemplo, são responsabilidades primordiais, no entanto, deve-se pensar nas seguintes etapas: revisar fluxos, processos, políticas e demais documentos de privacidade, estabelecer um canal de comunicação com o DPO, criar comitês de privacidade e/ou riscos, criar workflow para atendimento aos titulares de dados pessoais, elaborar um plano de resposta a incidentes, dentre outros, sempre levando em consideração a sensibilidade das situações e dos dados pessoais que serão tratados.

Diante do exposto, no que tange às instituições de saúde, fica clara a necessidade de que o DPO conheça não somente a matéria de proteção de dados pessoais, gestão de pessoas, processos e de segurança da informação, mas também, domine o segmento da área em que vai atuar. A área de saúde é intensa e peculiar, primando por profissionais não somente experientes e conhecedores dos processos internos, mas também, capacitados a atuar com sua complexidade e sensibilidade.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Atuação do encarregado pelo Tratamento de Dados Pessoais (DPO) nas instituições de saúde apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

1 – O que é o ROPA?

O ROPA, nada mais é do que o registro de todas as operações que envolvam dados pessoais, devendo ser realizado por controladores e operadores, especialmente quando a base legal do tratamento for o legítimo interesse.

2 – Qual o fundamento legal?

O ROPA (Record of Processing Activities) é mencionado no artigo 30 do GDPR (General Data Protection Regulation), sendo fundamental a sua elaboração. Na LGPD – Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) – encontramos correspondência, no artigo 37, devendo ser elaborado por controladores e operadores.

3 – Por que criar um ROPA?

A criação do registro de operações de tratamento de dados pessoais é justificada por alguns pontos, como por exemplo: identificar os tipos de dados pessoais tratados, atribuição de bases legais de tratamento, para atendimento correto das solicitações dos titulares de dados pessoais, para demonstrar conformidade, para cumprimento de princípios da Lei (transparência, responsabilização), para aplicação dos controles corretos de segurança e para fins de fiscalização pela ANPD.

4 – Como elaborar o documento?

O registro de operações de dados pessoais aponta como as operações são realizadas, mostrando passo a passo, desde a coleta do dado até sua exclusão. Quando se tratar de registro de operações, é necessário identificar o controlador/operador e o responsável pelo preenchimento do relatório, demonstrar como os dados são coletados, com qual finalidade, qual a base legal utilizada, a forma e a duração do tratamento, quais os titulares de dados pessoais envolvidos, o período de retenção e descarte dos dados pessoais, o compartilhamento com terceiros, informar sobre transferência internacional (quando houver), os documentos de segurança relacionados às operações, dentre outros campos.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post LGPD e o Registro das Operações de Tratamento de Dados Pessoais (Record of Processing Activities – ROPA) apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.