Esta coluna é destinada a entrevistas com especialistas, gestores, executivos e empresários de destaque.
Segue a entrevista de Glades Chuery.
PME NEWS – O que é a LGPD e qual o seu impacto nas empresas?
Glades Chuery – Para sermos bem acadêmicos, a LGPD – Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.
Um dos maiores impactos advindo da LGPD está ligado aos aspectos da conscientização mais assertiva de como lidar com os dados pessoais. Uma vez que esta visão de proteção e segurança tenha se estabelecido dentro da empresa e principalmente dos líderes, é importante o desenvolvimento de medidas para salvaguardar os dados.
Como dito, a empresa é responsável pelos dados coletados e, desta forma, deve criar um ambiente propício para a proteção, além de definir um encarregado pela proteção dos dados, ou seja, o DPO – Data Protection Office.
Pode-se afirmar então que o maior impacto nas organizações não se diz respeito apenas à aplicação das ações determinadas pela lei, porém, mais do que isso, o maior impacto é um awareness, ou seja, o conhecimento e mudança de mentalidade.
Ressalto que a LGPD garante os direitos dos donos dos dados, e o papel principal das organizações é garantir a correta utilização e proteção dos dados.
PME NEWS – A LGPD é aplicada somente para empresas de grande porte?
Glades Chuery – A LGPD tem abrangência ampla, ou seja, independente do porte da empresa, ela está sujeita aos requisitos da norma, bem como suas sanções, incluindo multas e sanções administrativas.
As empresas denominadas PME, também estão sujeitas as regras da LGPD. Vale destacar que mesmo em condições de PME, as empresas devem coordenar medidas para proteger os dados pessoais, que servirão de instrumento para demonstração de ações em caso de casamento de dados.
PME NEWS – A LGPD pode ser um limitador de acesso às informações da saúde dos colaboradores das empresas?
Glades Chuery – Depende. A Lei Geral de Proteção de Dados é enfática, os dados coletados devem ter o consentimento do dono do dado. Ao coletar os dados as empresas devem considerar a real necessidade da coleta do dado e adicionalmente ter devidamente definido o objetivo da coleta e utilização de determinado dado.
No âmbito da saúde, o sigilo e a privacidade das informações relativas ao paciente, por exemplo, já é uma prática comum, que nos últimos anos vem se consolidando cada vez mais, com a utilização do Termo de Consentimento, instrumento pelo qual o paciente ou seus responsáveis tomam ciência dos riscos associados ao tratamento proposto.
Vale destacar que, na saúde, o legislador considerou por bem garantir que os serviços de saúde se configurem dentre as exceções para o consentimento, uma vez que não há sentido exigir do paciente um Termo de Consentimento a coleta de um dado que é essencial para a prestação do serviço.
Por outro lado, se o dado coletado for utilizado para qualquer outro fim, que não seja para atendimento do paciente, aí sim, será necessário coletar seu consentimento.
PME NEWS – E como os dados associados à saúde dos colaboradores devem ser tratados diante da LGPD?
Glades Chuery – Os dados de saúde são considerados, pela Lei, dados sensíveis. Não obstante, conforme comentamos, o dono do dado deve ter clareza por qual motivo a empresa e/ou ferramenta quer coletar e utilizar os dados.
Adicionalmente, as empresas e/ou ferramentas que coletam dados sensíveis de saúde devem garantir a proteção dos dados pessoais e garantir também que os dados não serão utilizados para objetivos que não foram determinados ou conhecidos pelo usuário.
PME NEWS – Cite exemplos de documentos aplicados na área da saúde necessários para atender a LGPD.
Termos de Consentimento;
Contrato de Prestação de Serviços com o paciente;
Termo de Recusa de Tratamento;
Termo de Sigilo e de Confidencialidade;
Regimento interno;
Código de Conduta;
Política de agendamento de consulta;
Política de Privacidade (Lei Geral de Proteção de Dados);
Notificação extrajudicial de inadimplentes;
Termo de quitação de serviços;
PME NEWS – Em função do advento da LGPD, quais áreas interagem mais com os dados pessoais?
Glades Chuery – Nas organizações, as áreas que possuem maior interação com dados pessoais, internos ou externos, devem garantir da lisura dos processos de proteção de dados, além de garantir que o dado coletado, com o consentimento do usuário, será utilizado com um propósito específico. Dentre estas áreas estão:
a) RH Interno, coleta e trata dados pessoais para cadastramento do colaborador em sistemas e plataformas digitais. Inclusive, recebe informações relativas à saúde do colaborador, em função do que destacarei mais a frente sobre os exames médicos admissionais, demissionais e periódicos.
b) Área de relacionamento com cliente (UX), coleta e trata dados para criar experiências para os usuários e principalmente direcionar o comportamento de consumo;
c) Área financeira e contabilidade, coleta e trata dados em função dos registros de folha de pagamento de impostos
PME NEWS – Que área é responsável pelo tratamento de dados da saúde dos colaboradores de uma empresa?
Glades Chuery – Nas organizações, o RH é um dos principais detentores das informações de saúde dos profissionais, isto porque é uma prática comum e por força de lei a realização de exames médicos denominados:
a) “Adminissionais”- quando da contratação de um novo colaborador,
b) “Demissionais” – quando da demissão de um colaborador; e
c) “Periódico” – para se cumprir os requisitos da legislação.
Nestes, também são coletados dados pessoais relativos à saúde. Ao coletar, tratar e armazenar estes dados, a empresa deve garantir a proteção dos mesmos, sejam eles físico ou digital.
É a área de RH que consolida as informações advindas, por exemplo, dos exames médicos admissionais e demissionais, por isso, deve garantir a proteção destas informações.
A proteção de dados pessoais (sensíveis ou não) deve ser priorizada, este é um cuidado primário e fundamental que deve ser adotado pelas empresas.
PME NEWS – De forma resumida, que soluções podem ser usadas para ajudar as empresas na adequação à LGPD?
Glades Chuery – Inicialmente, realizar um trabalho de levantamento de áreas que recebem, tratam e armazenam dados pessoais, de profissionais internos e/ou clientes. A partir deste mapeamento, identificar o propósito da utilização dos dados pessoais.
Outro ponto importante é manter uma ferramenta de tecnologia para garantir a proteção dos dados de forma adequada.
Realizar teste de penetração (pen test), para avaliar vulnerabilidades sistêmicas e outros.
Realizar também a atualizações de proteção sistêmicas obrigatórias.
E o mais importante, definir um DPO – Data Protection Office, responsável interno por garantir um processo de proteção de dados e por responder aos órgãos competentes quando da ocorrência de incidentes, como vazamento de dados.
A LGPD altera a operação das empresas, isto é, anteriormente uma empresa poderia utilizar de formas distintas dos dados pessoais registrados, com a lei, a empresa passa a ser obrigada a definir e delimitar a utilização dos dados pessoais.