Vai longe o tempo em que a sigla LGPD causava estranheza. De fato, o tema está na pauta do dia entre os empresários de todos os ramos e, como não poderia deixar de ser, também entre as instituições e os profissionais de saúde e, igualmente, entre os consumidores, mais propriamente nominados pela Lei Geral de Proteção de Dados de titulares de dados.

Mas se, de forma genérica, dado é o conjunto de elementos que podem levar a uma informação, de quais a Lei Geral de Proteção de Dados está falando?

A LGPD cuida, em verdade, dos dados pessoais da pessoa natural com a intenção de protegê-los contra o mau uso e/ou uso abusivo, como por exemplo a utilização comercial de dados pessoais coletados sem que seu titular tenha conhecimento dessa prática.

E isto não visa impedir a utilização dos dados pessoais por parte das empresas que os coletam, porquanto poderão fazê-lo se estiverem alicerçadas em uma das bases legais autorizadoras para tanto ou caso tenham o consentimento do titular de dados desde que esse ocorra de forma consciente e livre.

Ao contrário do que se possa pensar, a Lei Geral de Proteção de Dados, ao delimitar a forma de utilização dos dados pessoais visa não só proteger o cidadão, mas também garantir a perpetuação do avanço dos negócios e das inovações na medida em que contribui decisivamente para manter a disponibilidade de dados, evitando, com a normatização, que estes se tornem escassos em razão da não entrega por seus titulares em decorrência da generalização do abuso ou do mau uso.

Como sabido toda informação que possa identificar uma pessoa de forma direta ou indireta, ou seja, não identifica imediatamente, mas a torna identificável, é considerada dado pessoal, exemplos são o RG, o CPF, o gênero, a data e local de nascimento, o número de telefone, o endereço residencial, sua localização geográfica via GPS, fotografias, prontuário do paciente, dentre outros isoladamente considerados ou em conjunto.

Quanto aos dados pessoais sensíveis estes são os que têm maior potencial de causar danos aos titulares em caso de mau uso ou abuso de utilização e estes são relacionados na própria lei 13.709/2018 em seu artigo 5º,II, a saber: dados de origem racial ou étnica, de convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, também os dados referentes à saúde ou a vida sexual e dado genético ou biométrico.

Todos estes dados que dizem respeito às pessoas naturais – e somente a elas – são objeto de proteção da LGPD e seu tratamento por parte das empresas e/ou das pessoas naturais que utilizem os dados com o objetivo de oferecer ou fornecer bens ou serviços ou que façam tratamento de dados de indivíduos localizados no Brasil ou mesmo que estejam no exterior se os dados objeto do tratamento forem coletados no território nacional devem atender as determinações nela contida.

Importante frisar que tratamento de dados pessoais é a prática de quaisquer dos verbos elencados no inciso X do artigo 5º da lei, quais sejam: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em outras palavras tratamento de dados pessoais é toda operação realizada com estes.

E ao pensar na trilha que percorrem os dados pessoais dentro das organizações, sejam elas grandes e de alta complexidade, sejam elas pequenas ou até mesmo individuais fica claro que a adequação vai muito além da proteção de sistemas e, na verdade, começa muito antes dela.

Se trata, verdadeiramente, de um trabalho profundo e contínuo de aculturamento de todos os que estão ou estarão envolvidos no tratamento de dados, tudo com vistas a promover real cultura de proteção de dados dentro da empresa, particularmente nas instituições de saúde que tratam não só de dados pessoais, mas também dados pessoais sensíveis, portanto, é necessário conferir a este trabalho a centralidade que ele merece dentro dos processos de qualidade e controle da instituição, com vista a consolidação da atuação preventiva.

Não é novidade que o consumidor em geral e os pacientes em particular estão cada vez mais “empoderados” de seus direitos e isso é bom porque ao mesmo tempo que esclarece quais direitos os assistem, também aclara quais situações esses mesmos direitos não abarcam.

Ocorre que nesse processo de maior domínio sobre si e suas decisões de vida, ou seja, de promoção e afirmação de autonomia – conceito que LGPD prescreve como fundamento da proteção de dados em seu artigo 2º, II sob o nome de autodeterminação informativa -, os fornecedores de produtos e prestadores de serviços e, em particular, as instituições e profissionais de saúde precisarão manter ainda mais atenção e controle no processo de entrega do tratamento de saúde para evitar ou ao menos minimizar o risco de dano, em especial o dano reputacional, que poderá advir de ocorrências indesejadas tanto na entrega de cuidados de saúde, quanto, agora, na proteção dos dados pessoais dos pacientes.

E esse cuidado não se limita às instalações físicas e aos servidores da instituição que determina como serão tratados tais dados (controlador de dados segundo define a LGPD), mas também aos parceiros de negócio destes, sejam laboratórios, outras clínicas, hospitais ou qualquer outro estabelecimento que realize o tratamento de dados (operador de dados segundo define a LGPD) a mando do controlador.

Por isso se impõe a mesma atenção e controle nesse tipo de relacionamento quando o assunto é o tratamento de dados pessoais, com atenção à necessária “due diligence” no momento da avaliação de novas parcerias, quanto na revisão e aditamento de contratos das empresas que já operam como parceiras de negócio.

Mas afinal, se tudo isso é impositivo haveria algum diferencial para a instituição que se empenha em atender a norma?

Bem, nos parece que para aqueles que já estão empenhados na adequação ou em iniciá-la de maneira consistente a diferenciação já está posta. 

Dito de outra forma, a proteção de dados está rapidamente extrapolando o campo da obrigação legal para se tornar, de fato, um diferencial de mercado aos olhos dos clientes/pacientes/parceiros de negócio na medida em que sua percepção quanto a preocupação da instituição/profissional com a segurança de dados pessoais se solidifica e o cuidado na sua coleta, processamento, arquivamento e quaisquer outros tratamentos se torna uma proposta de valor manifesta. Tanto é que já há propaganda de um grande Banco de varejo no país e de uma grande empresa mundial de tecnologia dando destaque à preocupação que têm e aos cuidados que tomam em relação à proteção de dados de seus clientes.

Todavia o tempo corre, vez que a lei está vigente e não há, ao que se nota, inclusive pela atenção que vem dando o judiciário aos casos relacionados a incidentes de segurança com vazamento de dados e ocorrência de dano aos titulares, sinais de que a lei poderia deixar de ser observada sem riscos de consequências, por outro lado, o prazo da não aplicação de multas administrativas pela autoridade fiscalizadora, a Agência Nacional de Proteção de Dados (ANPD) está, até o momento, para findar em 1º de agosto próximo e, por fim, logo chegará o momento em que a adequação à LGPD passará a ser pressuposto para o exercício profissional/empresarial e, portanto, deixará de ser diferencial de mercado para tomar contornos de condição de existência.