O que significa e quais os impactos da dosimetria da LGPD para empresas ligadas à área da saúde?

Com o advento da LGPD (Lei Geral de Proteção de Dados Pessoais - Lei 13.709/18) todas as empresas tiveram que se adaptar ao previsto na lei com relação à proteção de dados pessoais. Porém alguns setores, como a área da Saúde, acabaram tendo uma maior complexidade nessa adaptação em decorrência dos dados que são tratados, que em sua maioria são considerados dados pessoais sensíveis.

Dados pessoais considerados sensíveis são aqueles que podem gerar discriminação ou tratamento diferenciado, tais como: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Desta forma, um dos principais fatores que acaba tornando mais complicada a adaptação das empresas como Hospitais, Operadoras de Planos de Saúde, Clínicas, dentre outras, à LGPD, é o fato de que os dados pessoais sensíveis têm suas hipóteses de tratamento mais restritas.

Divulgado em fevereiro deste ano, o Regulamento da Dosimetria e Aplicação das Sanções Administrativas trouxe mais insegurança e evidenciou o desconhecimento sobre o tema, que está na origem da própria LGPD.

O que é Dosimetria?

Trata-se de um método que visa orientar a ANPD (Autoridade Nacional de Proteção de Dados) para escolher a penalidade mais apropriada para os casos de infração à LGPD. Mesmo havendo uma certa simplicidade na interpretação deste conceito, o regulamento não se mostra tão descomplicado assim.

Isso porque muito embora o objetivo do regulamento seja estabelecer parâmetros e critérios para apuração das sanções administrativas pela ANPD e formas para cálculo das multas, o texto possui muitos critérios subjetivos para aplicação, o que resulta em ainda mais insegurança para as empresas e para os operadores de segurança em proteção de dados.

O regulamento pontua parâmetros e critérios a serem adotados que já haviam sido listados na LGPD, no art. 52, parágrafo primeiro. Dispõe sobre agravantes e atenuantes, com percentuais que podem reduzir ou elevar os valores das multas aplicadas.  A norma traz em anexo os métodos a serem aplicados para cálculo das multas, considerando todos os itens anteriormente dispostos.

Todos esses pontos são revestidos de interpretação que irão mensurar se a infração será considerada leve, média ou grave, para que então seja adotado o artigo 52 da LGPD, e nos casos de multa o valor a ser cobrado. Isso significa que haverá infrações iguais ou similares, com penalidades diferentes, de acordo com critérios adotados.

Porém, o que pode parecer para muitos uma imparcialidade importante no momento de julgar administrativamente os processos, certamente para aqueles que ainda possuem baixa maturidade sobre proteção de dados e privacidade será um caos.

Muitas empresas da área da saúde ainda possuem dúvidas primárias sobre o que são dados pessoais, ou ainda nos piores casos, há muitos questionamentos se devem ou não se adequar à legislação em vigor há quase 3 anos.

Então, antes de pensar nos processos administrativos que virão, os operadores, profissionais de TI e jurídico continuam tendo a árdua tarefa de fazer o trabalho de construir degrau por degrau a adequação das empresas, investindo prioritariamente em treinamento e conscientização. Além disso, é necessário ampliar ao máximo a adoção de mecanismos internos capazes de reduzir os riscos dos dados pessoais tratados no dia a dia, assim como adotar e colocar em prática políticas e processos de governança.

Criar procedimentos específicos para cada nicho de mercado, estruturando departamentos e áreas para que os colaboradores e prestadores entendam onde estão os dados pessoais, por onde passam, com quem compartilham e qual o destino da sua utilização, são não só os primeiros passos, como os mais importantes para evitar a aplicação de penalidades, que num futuro muito breve será a realidade de muitas empresas, independentemente de estarem adequadas ou não.

Sendo assim, é evidente que se os dados tratados na área da saúde têm hipóteses de tratamento mais restritas do que o normal, é natural que as penas aplicadas pela ANPD no caso de incidente de vazamentos de dados ou outros descumprimentos à LGPD sejam ainda mais rigorosas do que em outros setores, devido aos agravantes previstos na Lei.