Entenda os principais tópicos sobre a Lei Geral de Proteção de Dados e como adequar sua clínica
A cena é cotidiana: o paciente entra no estabelecimento para o atendimento, ou talvez entre em contato em busca de informações ou agendamento. Após a recepção, o próximo passo é garantir informações sobre ele para estreitar o relacionamento. Criando assim uma base de dados consistente para entender seu público e criar estratégias de marketing. Certo?
De fato, não há nada de errado nessa prática, no entanto, ela exige diversas responsabilidades por parte dos empreendedores. Desde setembro de 2020, entrou em vigor a Lei Geral de Proteção de Dados, de número 13.709, que estabelece regras e diretrizes para o tratamento de informações de pessoas físicas, garantindo os direitos fundamentais de liberdade e de privacidade dos cidadãos.
A LGPD não se aplica apenas a grandes empresas de tecnologias, mas a qualquer negócio, do salão de beleza a redes de clínicas de estética. Considerando todo tipo de dado coletado, não apenas no ambiente digital, mas informações colhidas em papel ou até mesmo por som ou imagem.
Para esclarecer as principais dúvidas sobre o tema o como adequar sua empresa, o advogado especializado em Healthcare e Life Sciences e mestre pela PUC SP, Silvio Guidi, conversou com o Portal Estética e Mercado, confira:
-
Para que e quem a LGPD se aplica:
A LGPD se aplica para todos aqueles que têm informações de outras pessoas. Há exceções, por exemplo, a Lei não se aplica para os dados de uma pessoa física que são utilizadas por outra, quando essa utilização for particular e não tiver finalidade econômica. A LGPD também não se aplica quando os dados forem utilizados para fins jornalísticos, artísticos, acadêmicos, judiciais e para a segurança.
-
O que muda:
São instituídas ferramentas para garantir a preservação dos dados pessoais. Não basta que as empresas garantam o sigilo desses dados, elas precisam garanti-lo seguindo o procedimento criado pela LGPD. A Lei consegue, assim, dar grande efetividade a importantes direitos fundamentais, tais como: intimidade, privacidade e autodeterminação.
-
Como se adequar:
A adequação à LGPD é inevitavelmente custosa. Por isso, a primeira medida a ser tomada pelas empresas é eliminar e/ou devolver aos clientes, todas as informações que não são efetivamente necessárias. Assim, com menos dados a serem preservados, esse custo diminui.
Para esse último grupo de dados que seguirá na posse das empresas, algumas medidas são essenciais para adequação à Lei. A primeira é instituir um sistema de proteção de dados, capaz de dificultar o acesso a quem não deve com eles ter contato. Além disso, a empresa terá de identificar quem e em que condições poderá ter acesso a esses dados.
Outras obrigações surgem, como a eleição do DPO (data protection officer), espécie de auditor dentro da empresa. Esse funcionário será o responsável pelo controle do que é coletado, como é administrado e quem tem acesso a eles.
Finalmente, os dados pessoais devem ficar sob os cuidados das empresas o menor tempo possível. Por isso, a LGDP impõe que esses dados sejam eliminados, ao término do tratamento, ou desvinculados de seus titulares (por meio do processo de anonimização).
-
Armazenamento o consentimento dos dados:
O consentimento deve ser formalizado por via documental (um termo digital ou físico). Esse documento deve conter informações de quais dados serão utilizados e por quanto tempo isso ocorrerá. A depender da espécie de dado, se sensível (raça, ética, religião, opinião política, saúde, vida sexual), aumenta o rigor aos detalhes desse consentimento.
-
O que o cliente deve saber:
O cliente pode solicitar quais dados a empresa utiliza, ainda que sem seu consentimento, e para quais finalidades. Também como poderá solicitar o descarte desses dados, desde que tal procedimento não invada algum outro direito da empresa, como o de ter posse desses dados para exercer sua defesa em um processo judicial, por exemplo. A não realização do descarte poderá gerar penalizações.
Lembrando que é papel da empresa não só respeitar a decisão do cliente, mas também informá-lo quais serão as consequências desse descarte. Como deixar de receber informações sobre a empresa, vantagens em serviços etc.
-
Mudança de planos sobre o uso dos dados:
O objetivo do uso dos dados, assim como qualquer alteração desse objetivo, deverá ser solicitado ao cliente previamente.
-
Implicações legais:
Apesar de exceções, a regra é sempre buscar o consentimento. Caso não haja consentimento ou ele seja incorreto, podem surgir sanções previstas na própria LGPD, que vão desde a multa (calculada com base no faturamento bruto da empresa) até a proibição do exercício da atividade empresarial (toda vez que esse exercício implicar a utilização de dados). Além disso, outras implicações podem ser aplicadas, como aquelas impostas por órgãos de proteção ao consumidor. Finalmente, se essa utilização trouxer danos ao cliente, a empresa poderá ainda ser condenada a pagar uma indenização.
As sanções para quem desrespeitar as regras só entrarão em vigor a partir de 1º de agosto de 2021. Porém é válido que as empresas se adequem o quanto antes e criem processos para isso. Já as punições podem chegar até 2% do faturamento até o limite de R$50 milhões.
-
Fiscalização
A fiscalização da LGPD ocorre inicialmente, dentro da própria empresa, pelo DPO (data protection officer). Além disso, o próprio cliente tem direito de fiscalizar. A Lei também criou a Autoridade Nacional de Proteção de Dados (ANPD), que tem, inclusive, autorização para aplicar as penalidades previstas na LGPD. Outros órgãos podem também fiscalizar o cumprimento da Lei, como os PROCONs e o Ministério Público.