read_more
Campus Virtual Fiocruz

Introdução à Saúde Digital

Módulo 3 | Aula 2
Proteção de dados pessoais em Saúde Digital

Tópico 3

A Lei Geral de Proteção de Dados (LGPD)

A Lei Geral de Proteção de Dados Pessoais (LGPD) é a legislação brasileira que regula o tratamento de dados pessoais, inclusive nos meios digitais, realizado por pessoa natural ou por pessoa jurídica pública ou privada, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade dos indivíduos (art. 1°).

A LGPD foi criada para proteger os direitos de privacidade das pessoas e assegurar que as empresas e organizações tratem os dados de maneira responsável e segura. Esta legislação se aplica a qualquer operação de tratamento de dados (coleta, tratamento, armazenamento, compartilhamento, descarte) realizada no Brasil ou que tenha impacto em indivíduos localizados no país (art. 3°).

Princípios da LGPD

Todas as atividades que envolverem tratamento de dados pessoais deverão observar a boa-fé, além dos princípios listados no artigo 6° da LGPD:

  • Princípio da adequação (inciso II): compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
  • Princípio da finalidade (inciso I): realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
  • Princípio da não discriminação (inciso IX): impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
  • Princípio da necessidade (inciso III): limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
  • Princípio da prevenção (inciso VIII): adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
  • Princípio da qualidade dos dados (inciso V): garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
  • Princípio da responsabilização e prestação de contas (inciso X): demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
  • Princípio da segurança (inciso VII): utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
  • Princípio da transparência (inciso VI): garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
  • Princípio do livre acesso (inciso IV): garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Requisitos para Tratamento de Dados Pessoais (art. 7°)

O artigo 7º da LGPD estabelece os requisitos legais para o tratamento de dados pessoais e especifica que este tratamento somente pode ser realizado em determinadas hipóteses. Estas determinações visam garantir que o tratamento de dados seja sempre justificado, transparente e em conformidade com a lei, assegurando a proteção dos direitos dos titulares dos dados, como se verifica:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

  • I - mediante o fornecimento de consentimento pelo titular;
  • II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  • IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Estes requisitos buscam equilibrar a necessidade de tratamento de dados pessoais pelas empresas e instituições com a proteção dos direitos dos titulares, garantindo que todas as operações de tratamento sejam realizadas de maneira ética e responsável. O intuito principal da legislação é promover um ambiente mais seguro e transparente para o uso de dados pessoais no Brasil, fomentando a confiança entre os cidadãos e as organizações que manipulam suas informações pessoais.

Requisitos para tratamento de dados pessoais sensíveis (art. 11)

A principal diferença entre o tratamento de dados pessoais e o tratamento de dados pessoais sensíveis está na natureza e na proteção requerida para cada tipo de dado.

Dados pessoais

São informações que identificam ou podem identificar uma pessoa física, como nome, endereço, e-mail e número de telefone.

Dados pessoais sensíveis

São uma categoria especial de dados pessoais que incluem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Estes dados possuem características sensíveis e, consequentemente, mais propensa à maior possibilidade de discriminação ou danos aos titulares.

Por esta razão os dados pessoais sensíveis estão sujeitos a um regime mais rigoroso de proteção e tratamento pela LGPD. Isso significa que o tratamento de dados pessoais sensíveis exige bases legais específicas, como o consentimento explícito do titular, e medidas de segurança mais robustas para garantir a sua proteção adequada, como se verifica:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

  • I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  • II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
  • a) cumprimento de obrigação legal ou regulatória pelo controlador;
  • b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • e) proteção da vida ou da incolumidade física do titular ou de terceiro;
  • f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

A garantia de que os dados sensíveis sejam tratados com maior cautela protege os titulares contra riscos potenciais de discriminação e violações de privacidade, fortalecendo a confiança no ambiente digital e nas práticas de tratamento de dados.

Direitos dos Titulares de Dados

A LGPD estabeleceu uma série de direitos aos titulares de dados que garantem a transparência e o controle sobre suas informações pessoais. Esses direitos são fundamentais para proteger a privacidade e promover a segurança dos dados. O artigo 18 da LGPD apresenta a lista dos direitos dos titulares que podem requerer a qualquer momento ao controlador mediante requisição:

Permite ao titular solicitar e obter confirmação sobre a existência de tratamento de seus dados pessoais e acessar essas informações.

Permite ao titular solicitar a correção de dados pessoais incorretos, incompletos ou desatualizados.

Permite ao titular solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Permite ao titular solicitar a transferência de seus dados pessoais para outro fornecedor de serviço ou produto.

Permite ao titular ser informado sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.

Permite ao titular revogar o consentimento dado para o tratamento de seus dados pessoais a qualquer momento.

Permite ao titular ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa negativa.

Permite ao titular se opor ao tratamento de dados pessoais, caso discorde da justificativa dada pelo controlador.

A LGPD garante ao titular de dados o direito à correção, anonimização, quando aplicável e exclusão de dados, consentimento explícito para coleta e uso de informações pessoais nas hipóteses que a lei determinar. A lei também estabelece sanções para quem não cumprir suas diretrizes, promovendo a segurança e a confiança nas relações digitais.

O controlador e o operador de dados têm a responsabilidade de obter consentimento explícito dos titulares para o tratamento de seus dados pessoais, garantindo transparência sobre a finalidade e duração do tratamento. Por isso, devem implementar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e incidentes de segurança, comunicando tais incidentes à ANPD e aos titulares.

Além disso, estes atores devem assegurar o exercício dos direitos dos titulares e designar um Encarregado de Proteção de Dados para facilitar a comunicação com a ANPD e com os titulares.

Em casos de alto risco aos de dados pessoais sob sua custódia, o controlador deve realizar avaliações de impacto, assim como a promoção de treinamentos contínuos para funcionários sobre práticas de proteção de dados. Os contratos com os operadores de dados também devem estipular claramente as obrigações de conformidade com a LGPD.