Posts

Com a publicação da Lei Geral de Proteção de Dados Pessoais (LGPD), surgiu a figura da Autoridade Nacional de Proteção de Dados (ANPD), órgãos inicialmente vinculados diretamente à Presidência da República, mas que poderão se tornar uma autarquia federal. Também foi criado o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, como entidade consultiva e que dará subsídios à atuação da ANPD.

Qual será o papel da ANPD?

Dotada de autonomia técnica e decisória, o papel da ANPD será o de proporcionar maior segurança jurídica na aplicação das disposições contidas na LGPD, e consequentemente, incentivar a adoção de boas práticas de governança de dados por aqueles que tem a intenção de promover o tratamento de dados pessoais com finalidade empresarial.

Assim, o que se espera é a propagação da cultura de proteção dos dados pessoais por parte das empresas, que terão com esta prática um diferencial competitivo.

A importância da ANPD e suas ações pode ser sentida na sociedade atual, e que sofre com as consequências da pandemia do COVID-19, e não detêm orientações e diretrizes mínimas para a utilização de dados pessoais na busca por traçar estratégias e medidas que minimizem o número de contaminados, ou ainda, inúmeras outras práticas que poderiam ser adotadas com o correto tratamento dos dados pessoais.

E como anda a Autoridade Nacional de Proteção de Dados (ANPD) brasileira?

Embora a maioria dos dispositivos da LGPD deva entrar em vigor em 2021, a criação da ANPD teve efeito a partir do dia 28 de dezembro de 2018, mas até o momento, pouco se efetivou em seu âmbito de atuação.

Com objetivos e abordagens extremamente essenciais para a prática nacional de proteção de dados, a ANPD deverá sensibilizar e proporcionar o conhecimento da sociedade sobre o correto tratamento dos dados pessoais, através de seus estudos, normas, diretrizes e políticas públicas para a proteção de dados pessoais e privacidade.

Essas bases são extremamente importantes para que os agentes de tratamento de dados pessoais promovam suas atividades com a maior segurança e transparência, e menor vulnerabilidade ao vazamento desses dados, trazendo mais estabilidade, especialmente no ambiente digital.

Composição da Autoridade Nacional de Proteção de Dados

Nos termos da LGPD, a ANPD é composta por:

  • Conselho Diretor, que será responsável inclusive pela criação do regimento interno da ANPD;
  • Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que atuará como consultor à própria ANPD e dará subsídios para a elaboração das diretrizes e políticas públicas de proteção de dados;
  • Corregedoria;
  • Ouvidoria;
  • Assessoramento jurídico próprio;
  • Corpo administrativo e técnico próprio.

Entretanto, passados quase um ano e meio da efetiva criação da ANPD (28 de dezembro de 2018), não se tem notícia de quem integrará essa estrutura, de forma que seja possível iniciar suas atividades, e consequentemente, atingir as finalidades para as quais a ANPD foi criada.

Competência da Autoridade Nacional de Proteção de Dados

Uma vez devidamente estruturada e em atividade, a ANPD deverá zelar pela proteção dos dados pessoais, inclusive com a aplicação de sanções àqueles que promoverem o tratamento desses dados em descumprimento à legislação, mediante um processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.

De forma não exaustiva, os incisos do artigo 55 J da lei 13.709/2018 visam proteger a parte mais vulnerável no tratamento de dados, que é o próprio cidadão, titular das informações envolvidas no tratamento de dados, e impor maior transparência por parte dos agentes quanto ao seu tratamento, de forma a proporcionar o compartilhamento mais seguro de informações, sobretudo no ambiente digital.

Esses objetivos serão alcançados não só com a aplicação de penalidades pelo descumprimento da LGPD, mas principalmente pela ativa participação social, através de suas orientações, estudos, cooperações, e procedimentos internos que visem, não só facilitar o acesso, pelo titular, de seus dados pessoais, como também proporcionar maior segurança jurídica aos agentes de tratamento.

Esses artigos também podem ser úteis: 

Você já sabe que a LGPD, lei geral de proteção de dados entrará em vigor em 2021 e, por mais que o prazo para adequação tenha aumentado, o ideal é não deixar para última hora essa transformação.

A lei que foi criada para garantir a proteção de dados pessoais dos cidadãos causará algumas mudanças nas empresas, uma vez que existem exigências que deverão ser seguidas.

Antes da legislação não existiam normas rígidas quanto ao uso dos dados pessoais e algumas empresas cometiam abusos comercializando esses dados com terceiros e os usuários não tinham controle sobre suas próprias informações, o que gerava muitos problemas.

Para te ajudar nisso separamos abaixo um passo a passo que pode nortear suas ações. Confira!

1- Selecione os encarregados

A LGPD determina que deverão haver alguns cargos responsáveis para fazer o tratamento de dados pessoais. Esses encarregados são chamados de agentes de tratamento e eles podem ser pessoas físicas ou jurídicas, de direito público ou privado. 

São três cargos que precisam ser contratados, o controlador, o operador e encarregado. O controlador será o responsável por tomar as decisões sobre os dados dos usuários, como serão manipulados, fazendo valer as diretrizes internas.

O operador irá implementar o que for passado pelo controlador e o encarregado repassará tudo para o órgão fiscalizador ANPD (Agência Nacional de Proteção de Dados) que será criada para regulação. 

Todos eles devem zelar pela segurança das informações e utilizar sistemas eficientes que protejam os dados dos seus clientes. 

2- Realize uma auditoria de dados 

Além de ir atrás das contratações, é necessário realizar uma auditoria interna dentro da sua empresa para analisar possíveis falhas no sistema ou nos processos desde a coleta da informação até o descarte.

Deverá ser analisada as configurações, bancos de dados, históricos, logs de acesso e compartilhamentos. Isso é indispensável para verificar o quão seguro é o sistema, se existem backups, planos de recuperação que assegurem a segurança das informações.

Deverá ser observada a qualidade, integração dos sistemas e sequência de processos, armazenamento para que esteja tudo de acordo com a legislação. 

3- Revise as políticas internas

É interessante criar políticas internas da empresa, ou se já tiver, revisar elas para que se adequem à nova lei LGPD. Essas políticas internas serão importantes para repassar aos colaboradores, para que sigam corretamente as novas diretrizes. Vale até mesmo considerar criar cartilhas para conscientizar sobre o assunto.

A política de segurança de dados também deve ser revisada para combater ameaças de softwares mal intencionados. Adicione informações sobre instalação de equipamentos, restrições de acesso, dentre outros que julgar necessário para reforçar a segurança dos dados. 

Lembrando que o cuidado com os dados envolve não só clientes, mas também os próprios funcionários das empresas, parceiros, terceirizados, etc. 

4- Revise os contratos

Além da revisão das políticas internas vale a pena também revisar os contratos para que ele atenda aos termos de confidencialidade e transparência. 

No contrato deve constar a finalidade de uso dos dados, informações sobre tratamento de informações, duração, uso compartilhado, identificação do controlador e responsabilidade dos agentes encarregados. 

No contrato também deve ser ressaltado a possibilidade de transferência dos dados para outros servidores. Após redigido, o contrato deve ter o aceite de todas as partes para ser válido. Portanto, será necessário entrar em contato e solicitar autorização. É importante analisar as bases jurídicas para não ter problemas e riscos de sanções futuras. 

5- Dar um feedback ao cidadão

É necessário responder sempre às dúvidas dos cidadãos quanto ao uso de seus dados. Caso o titular solicite saber quais dados estão em posse da empresa, quais sistemas utilizados para guardar seus dados, para que fins são utilizados e qual o prazo de armazenamento, ele terá esse direito, bem como poderá solicitar a exclusão desses dados do seu sistema.

O prazo de envio das informações da empresa é de 15 dias e deve indicar origem dos dados, critérios utilizados e finalidade do tratamento. Caso o cidadão não receba as informações, ele deverá receber uma justificativa e, se quiser, poderá realizar uma reclamação na ANPD ou entrar com uma ação judicial. 

Quando dados pessoais forem vazados acidentalmente, ilicitamente, fiquem indisponíveis ou sejam alterados, isso deverá ser notificado ao titular e a ANPD sem demora.

6- Busque sistemas seguros

Os softwares e sistemas deverão ser desenvolvidos desde o início com foco na LGPD, para atender às normas legislativas. Com isso, o próprio usuário será capaz de gerenciar suas informações de forma facilitada, sem burocracias. Por isso a importância de buscar soluções seguras e integradas para sua empresa. 

As soluções da Alert podem ajudar empresas a mitigar riscos e aumentar segurança dos seus sistemas e proteção de dados em aplicativos, servidores e outros softwares. Entre em contato.

Guestpost produzido pela Alert Brasil, empresa de serviços de contact center e BPO.

Deixe seu e-mail e receba conteúdos exclusivos

A LGPD na saúde pode trazer algumas mudanças e alterações específicas, que gestores da área devem saber para manter seu hospital dentro de todas as normas de proteção de dados. A lei deve entrar em vigor em 2020 e todas as empresas, não somente do setor da saúde, mas todas que lidam com tratamento de dados devem se regulamentar.

O que muda com a LGPD na saúde?

Os dados de todos os pacientes só poderão ser coletados e armazenados se houver uma autorização dos mesmos. Essa regra valerá tanto para novos dados cadastrados em prontuários, como os antigos que já estão no sistema. As clínicas terão de entrar em contato com os pacientes já cadastrados previamente para buscar essa autorização. 

Essas regras valem tanto para informações eletrônicas quanto para registradas em papel. Podem ser aplicadas em diversas áreas da saúde como telemedicina, cobranças de serviços de saúde, SUS, troca de informações entre diferentes sistemas, como pedidos de exames laboratoriais, dentre outros. 

Vale ressaltar também que inclusive trocas de mensagens entre médicos e pacientes em aplicativos como o What’s App também poderão ser feitas, mas devem ser criptografadas e protegidas por conter identificação da pessoa.

Deverá ser contratado um funcionário para ser o responsável por fazer valer a proteção dos dados, ou deverá ser terceirizada essa gestão de segurança da informação  através das normas ISO 27.001 e ISO 27.799. Lembrando que, se a empresa contratada for punida por não ter um sistema seguro, a empresa contratante também é responsabilizada.

Outra mudança é que os pacientes terão o direito de saber quais de seus dados estão registrados no sistema, qual a finalidade deles e como serão utilizados. Caso queira, também poderá revogar a concessão desses dados. Os dados devem estar disponíveis também na Autoridade Nacional de Proteção de Dados (ANPD), que será o órgão federal incutido de fiscalizar todos os procedimentos de segurança de dados pessoais.

Todos os dados, após cumprirem seus objetivos deverão ser apagados do sistema. Além disso, os dados pessoais dos pacientes também devem ser criptografados para evitar vazamento.

O que acontece em caso de descumprimento?

No caso da nova lei ser descumprida, as entidades de saúde estarão sujeitas a multas. O valor pode chegar a 5% do faturamento bruto da empresa ou até mesmo R$ 50 milhões. 

Para evitar esse tipo de prejuízo e preservar o bem estar dos pacientes, as empresas deverão começar a se mexer, contratando serviços de segurança da informação, revendo seus sistemas e realizando mudanças necessárias para entrar em conformidade à nova lei e sanções de LGPD na saúde. Uma tecnologia de ponta deve ser considerada para preservar todos os dados do seu hospital.

Além disso, essas empresas devem rever seus fornecedores de softwares e bancos de dados, provedor de hospedagem, uma vez que eles também devem estar adequados à nova lei.

Ou seja, hospitais, clínicas e consultórios devem garantir a certificação de segurança de todos os seus softwares e aplicativos que contenham dados dos seus pacientes. É provável, ainda, que todas as ações exijam assinatura digital, o que irá requerer um alto investimento.

Leia também:

Guestpost produzido pela Biocam, empresa que desenvolve tecnologia hospitalar utilizando IoT.

Deixe seu e-mail e receba conteúdos exclusivos