Após completar um ano de sua entrada em vigor, a Lei Geral de Proteção de Dados Pessoais (LGPD) ainda tem causado confusão para as empresas, que precisam se adequar o quanto antes, já que a aplicação de penalidades pela Autoridade Nacional de Proteção de Dados (ANPD) passou a vigorar desde agosto de 2021, com multas que podem chegar a R$ 50 milhões.
Os laboratórios de análises clínicas estão segmentados na categoria de empresa que coleta dados pessoais e dados pessoais sensíveis, já que lida com dados de saúde e genéticos, por exemplo. Porém, muitos deles têm se perguntado: o que de fato muda para o setor laboratorial?
A mudança vai além de implementar ações e contratar serviços jurídicos especializados. É necessária uma transformação na cultura da empresa, que deve começar a pensar em cada tarefa feita no dia a dia, saindo do automático. Não adianta a diretoria de um laboratório nomear um encarregado para a área, se um colaborador da recepção continuar a solicitar dados sem nenhuma finalidade na hora da coleta, por exemplo. É preciso que haja treinamento para todos.
Conversando com os meus clientes, eu sempre digo: mesa limpa, gavetas trancadas, qualquer saída da mesa de trabalho precisa ser feita apenas após o travamento do computador por senha e nenhum acesso deve ser compartilhado, mesmo com parceiros.
Além das adequações comuns a todas as empresas, os laboratórios precisam seguir, também, normas específicas, como a RDC 302, em que a Agência Nacional de Vigilância Sanitária (Anvisa) dispõe sobre o Regulamento Técnico para funcionamento de laboratórios de análises clínicas. A competência para multar é multidisciplinar, ou seja, não apenas a ANPD pode fiscalizar, mas também a própria Anvisa, a Agência Nacional de Saúde Suplementar (ANS) e o Programa de Proteção e Defesa do Consumidor (Procon).
Deixo aqui algumas medidas importantes para os laboratórios implementarem:
- Procurar ajuda especializada multidisciplinar (Jurídica, Segurança da Informação, Tecnologia, Processos);
- Nomear o Encarregado dos Dados ou Data Protection Officer (DPO);
- Exigir que fornecedores e parceiros estejam adequados à Lei, combinar prazos, formalizar por meio de aditivos contratuais. Eventual troca de fornecedores e parceiros, caso necessário;
- Inventariar os dados e fluxos, revisar, documentar, treinar e atualizar;
- A coleta e tratamento só deve ser feita sobre dados estritamente necessários para atingir a finalidade;
- Mantenha o registro de todas as operações de coleta, tratamento, alteração e descarte de dados pessoais;
- Demonstre comprometimento com a Lei, implementando políticas e salvaguardas adequadas. Estas ações podem ser consideradas, em caso de penalidades e infrações;
- Crie o fluxo para cumprimento do prazo de 15 dias para resposta às solicitações dos titulares de dados;
- Revise todos os contratos de trabalho com funcionários, com fornecedores de sistema e demais fornecedores e parceiros, além de clientes pessoa jurídica;
- Revise todos os termos utilizados pelo laboratório e crie novos termos antes não utilizados;
- Revise o tempo de guarda de dados, amostras e documentos.
Izabela Rücker Curi é advogada e sócia fundadora do escritório Rücker Curi Advocacia e Consultoria Jurídica, board member pelo Instituto Brasileiro de Governança Corporativa IBGC-São Paulo, mediadora ad hoc e consultora da Global Chambers na região Sul. Fundadora da Smart Law, uma startup focada em soluções jurídicas que mesclem inteligência humana e artificial. É mestre em Direito pela PUC-SP e negociadora especializada pela Harvard Law School. Está entre os advogados mais admirados do Brasil, conforme ranking da revista Análise Advocacia 500. Há 25 anos atua como advogada para corporações, é pesquisadora em blockchain e reconhecida pelas práticas de conformidade às normas de proteção de dados. E-mail: izabela@curi.adv.br.