Visando apoiar seus associados e empresas de telessaúde no país no entendimento da legislação vigente, o Grupo de Trabalho de Segurança da Informação e Proteção de Dados da Saúde Digital Brasil tem compartilha conhecimento sobre o tema
Desde fevereiro de 2023, quem descumprir a Lei Geral de Proteção de Dados (Lei 13.709/18 ou “LGPD”) poderá de fato receber uma punição. Embora desde 1º de agosto de 2021 as sanções administrativas da LGPD já estivessem em vigor, a Agência Nacional de Proteção de Dados (ANPD) ainda não havia definido as regras para a aplicação. Com a regulamentação da dosimetria de sanções administrativas publicada recentemente pela agência reguladora, os processos administrativos que preveem penalidades já podem ser de fato instaurados.
Para os prestadores e provedores de saúde em ambiente tecnológico, por lidarem com alto volume de dados pessoais sensíveis, a nova regulamentação de dosimetria demanda atenção especial, e as instituições inseridas nesse cenário devem apresentar regularidade com a norma. Desta forma, é possível evitar a ocorrência de processos legais ou administrativos por suposto tratamento de dados que poderão ser considerados irregulares ou ilegais.
“Segundo os entendimentos proferidos, tanto pela ANPD quanto por órgãos do Poder Judiciário, é possível perceber que agentes que realizam o tratamento de dados pessoais sensíveis por meio de tecnologias inovadoras poderão ser um dos focos de apuração neste momento. Existem sinais de que há um mapa de temas prioritários a serem tratados pela autoridade em relação aos processos administrativos e, nesse sentido, pelas informações obtidas até o momento, deduz-se que para a definição de questões preferenciais serão consideradas características como a natureza do negócio e os riscos do tratamento”, explica Luiza Teotônio, advogada da área de Direito Digital do Escritório Machado Nunes.
Visando abordar com mais detalhes os parâmetros utilizados pela ANPD para classificação das sanções e qual metodologia será aplicada no momento de aplicação da multa, a Saúde Digital Brasil, por meio do Grupo de Trabalho de Segurança da Informação e Proteção de Dados, promoveu um encontro para discussão da nova regulamentação com foco no setor de saúde e tecnologia.
O objetivo é que, a partir desse conhecimento, as instituições possam compreender como ajustar procedimentos internos para estarem em melhor conformidade com o que tem decidido a Autoridade, e como tais regulamentações atualmente impactam a telessaúde no Brasil.
Entendendo o impacto da nova regulamentação da dosimetria
A LGPD tem um rol variado de sanções administrativas, que variam desde multa simples, publicização da infração, bloqueio ou eliminação dos dados pessoais; suspensão parcial do funcionamento do banco de dados até suspensão, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Luiza, ressalta ainda que, apesar de somente a ANPD ser a responsável pela instauração de sanções administrativas previstas na LGPD, outras autoridades, como PROCON (Programa de Proteção e Defesa do Consumidor), SENACON (Secretaria Nacional do Consumidor), CADE (Conselho Administrativo de Defesa Econômico), Ministério Público e demais instâncias do Poder Judiciário, também podem instaurar outras demandas voltadas à proteção de dados.
“Ainda que a ANPD seja o órgão central de interpretação da Lei e do estabelecimento de normas e diretrizes para a sua implementação, a agência reguladora já possui acordos de cooperação técnica firmados com essas entidades, como com a SENACON e o CADE. A ideia é o desenvolvimento de atividades conjuntas em temas que gerem repercussões nas áreas de atuação dos órgãos envolvidos. Já existem, inclusive, casos concretos sob análise da Autoridade que envolvem a atuação cooperativa com esses órgãos e com o Ministério Público”, ressalta.
Além disso, é Importante observar as empresas que forem investigadas ou sancionadas poderão experimentar outras consequências no mercado que vão além da punição administrativa, como a reação de clientes, consumidores, investidores e demais stakeholders.
“Em caso de publicização da infração, uma das sanções previstas na LGPD, a organização poderá vivenciar quebra de confiança com seu próprio público consumidor. Isso poderá tornar-se um problema, sobretudo quando se tratar da exposição imprópria de dados pessoais sensíveis. Como, por exemplo, situação em que dados de saúde de um paciente venham a público contra sua vontade”.
Além disso, para instituições que fornecem produtos e serviços de telessaúde, principalmente a outros agentes do segmento, a ausência de medidas para segurança das informações, como determina a LGPD ou os ajustes contratuais firmados, pode resultar em quebra de contrato.
Com relação às medidas para minimizar os possíveis impactos, o especialista explica que as empresas de saúde digital deverão buscar atender não só à legislação de proteção de dados, como também às demais regulamentações do setor. Daí a importância de contar com o apoio de especialistas capazes de interpretar as normas de maneira ampla e correlacionada para que, dessa forma, possa existir a aplicação prática nos desafios presentes no dia a dia dessas instituições.
“Considerando que, a cada momento, surgem ou são alteradas as exigências regulatórias e a evolução das tecnologias utilizadas, é recomendável que as empresas busquem compreender como o setor está se organizando para responder às exigências da ANPD. Isso é crucial, por exemplo, para evitar análises de conduta equivocadas dessas instituições durante a ocorrência de processos administrativos”, finaliza Victor Prata, coordenador do GT de Segurança da Informação e Proteção de Dados da Saúde Digital Brasil.
O GT de Segurança da Informação e Proteção de Dados é um grupo exclusivo para associados da Saúde Digital Brasil, constituído por advogados especialistas em proteção de dados e profissionais da área de segurança da informação. O Grupo trata de aspectos relacionados à segurança de informação e de sistemas e abarca questões atinentes à proteção de dados. A Saúde Digital Brasil tem participado amplamente das iniciativas regulatórias, bem como estimulado a implementação das boas práticas e promovido discussões internas, principalmente nos grupos de trabalho, para divulgar as alterações regulatórias e coletar informações sobre as necessidades de seus associados, a fim de dialogar com entidades reguladoras, buscando maior harmonia a viabilização do cumprimento das normas legais e regulatórios por todos os entes do setor, em especial por seus associados. Para se associar, entre em contato pelo e-mail contato@saudedigitalbrasil.com.br.