Unimed Paraná e Singulares iniciam o Projeto de adequação à Lei Geral de Proteção de Dados – LGPD

Lei Geral de Proteção de Dados
Foto: Ilustração - Freepik

Os treinamentos e as ações para se adequar à lei devem ocorrer até maio. Serão 15 encontros, com diferentes públicos        

Foi dado início, no dia 27 de janeiro, ao projeto de adequação da Unimed Paraná às diretrizes da LGPD (Lei Geral de Proteção de Dados, a Lei nº 13.709/2018), em vigor desde agosto de 2020. Conduzida pelos consultores da Datalege, Janete Bach Estevão e Guilherme Guimarães, o primeiro encontro reuniu a diretoria executiva e gerentes da Federação, além das áreas de Gestão de Comunicação e Marketing e Assessoria de Imprensa, para apresentação das etapas do Projeto (Road Map), abordando conceitos sobre cultura de segurança da Informação e proteção de dados, vazamento de dados e impactos para as organizações, além das melhores práticas. A abertura foi feita pelo advogado Glauco Rodrigues, responsável pelo Compliance da Federação.

O projeto, viabilizado pela Unimed Paraná, atenderá também a Unicall, empresa da Holding Compar e dez Singulares do Estado (Unimeds Guarapuava, Costa Oeste, Norte Pioneiro, Norte do Paraná, Campo Mourão, Apucarana, Cianorte, Noroeste, Foz do Iguaçu e Francisco Beltrão), as quais tiveram seus encontros iniciais nos dias 21 e 28 de janeiro.

A preocupação com o tema é bastante antiga. A primeira vez que se discutiu com mais seriedade a questão da privacidade foi na Declaração dos Direitos Humanos, em 1948, no pós-guerra. A temática vem ganhando mais e mais importância desde então.  No Brasil, dados de 1978 já apontam a preocupação e em 2010, as discussões começaram a dar corpo à lei que temos hoje.  O Marco Civil da Internet – MCI (Lei n.º12.965/2014) já havia tratado da proteção de dados pessoais em seu art. 7º, exigindo a apresentação de justificativa para a coleta de informações, consentimento do titular, o não fornecimento desses dados a terceiros, informações sobre o tratamento desse material e regulando a sua exclusão.

Leia também: Da vacina contra Covid-19 ao alinhamento à LGPD: desafios da saúde brasileira em 2021

Segundo Rodrigues, com a vigência da Lei Geral de Proteção de Dados – LGPD, promulgada em agosto de 2018, “essas exigências se intensificaram, permitindo o uso dessas informações apenas nas hipóteses autorizadas pela lei ou mediante o consentimento expresso do titular, exigindo de todas as organizações que se utilizam desses dados a adaptação ao novo modelo legal, sob a fiscalização da Autoridade Nacional de Proteção de Dados – ANPD, que irá monitorar o cumprimento da lei pelas empresas”, explica.

Consentimento

Durante a apresentação, Janete frisou o fato de os direitos do titular dos dados incluírem propriedade, consentimento para o tratamento dos dados, direito de informação, livre acesso, garantia de segurança dos dados, responsabilidade dos agentes de tratamento (controladores e operadores), revisão de decisões automatizadas, não-discriminação, retificação, anonimização, eliminação ou bloqueio de dados e portabilidade, revogação de consentimentos, entre outros.

A consultora explicou algumas hipóteses do tratamento dos dados pessoais, o que exige consentimento do titular ou sem consentimento do titular. As hipóteses de tratamento sem consentimento implicam questões de cumprimento de obrigação legal ou regulatória, proteção da vida ou da incolumidade física do titular ou terceiro, garantia de prevenção à fraude e à segurança do titular, proteção do crédito, tutela da saúde nos casos exclusivos de procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária e no atendimento aos interesses legítimos do controlador, as empresas que coletam os dados para sua utilização (veja glossário).

Leia também: Por dentro da Federação: conheça a Gerência de Estratégias e Regulação da Saúde

Quando o consentimento é requerido ele deve ser feito de forma clara, previamente e com finalidade bem definida, de forma a não deixar dúvidas.  Segundo os consultores, a necessidade de tratamento também precisa ser bem delineada para que a limitação do tratamento seja direcionada ao mínimo possível para a realização de suas finalidades, conforme os art.6º, da LGPD, e 16º, do MCI. Janete frisa que é vedada a guarda de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado o consentimento pelo seu titular.

 Os controladores devem tomar cuidado e demonstrar a responsabilidade com o processamento de dados pessoais e conformidade com as obrigações legais de processamento a que estão sujeitos. Por outro lado, os operadores, que tratam os dados pessoais a partir da base do controlador, também têm responsabilidade de garantir que as pessoas autorizadas a processar esses dados estejam sob uma obrigação de confidencialidade.

Treinamento

Ao finalizar essa primeira apresentação, Janete lembrou que a segurança da informação envolve processos, tecnologias e pessoas. O que por sua vez vai implicar mapeamento de toda a empresa para a implantação de uma cultura que zele pela segurança da informação e cuidado com a privacidade de dados, assim como a construção de uma política de segurança da informação e conhecimento e treinamento de todos os colaboradores da organização.

Do mesmo modo, para prosseguimento e monitoramento dessa política é importante a criação de um Comitê de Segurança que possa apresentar respostas aos incidentes. Esse comitê precisa de um encarregado (DPO) e representantes de pelos menos quatro setores da empresa: Jurídico, R.H, T.I e Comunicação.  A própria lei prevê que os agentes não serão responsabilizados se provarem, em casos de vazamentos, que não violaram a LGPD, seguindo à risca as orientações dos cuidados.

Os treinamentos e o desenvolvimento das ações de adequação à LGPD para a Federação, as Singulares e a Unicall já estão programados e vão acontecer até maio. São cerca de 15 encontros, com públicos diferenciados, com o objetivo de promover a compreensão sobre o dever de privacidade de dados pessoais à luz da LGPD, executar o mapeamento dos processos de tratamento desses dados e orientar medidas de aperfeiçoamento dos processos de segurança da informação, com o objetivo de atender as novas exigências da Lei.

GLOSSÁRIO

Titular: aquele de quem o dado ou a informação se refere

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável

Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde ou vida sexual, dado genético ou biométrico

Encarregado/DPO (Data Protection Officer): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Operações com dados pessoais: envolve coleta, acesso, acesso, classificação, armazenamento, processamento, arquivamento e eliminação

Controlador: empresa que coleta originalmente os dados. Ela determina as finalidades e os meios de tratamento desses dados

Operador: organização contratada que trata os dados pessoais em nome do Controlador