As Healthechs estão ganhando cada vez mais espaço no mercado, com soluções que visam melhorar a qualidade de vida das pessoas. Contudo, encontram dificuldades em um ponto importante: o tratamento de dados pessoais sensíveis protegidos pela LGPD.
Toda empresa de tecnologia da saúde precisa de dados mais detalhadas para suas análises e pesquisas, mas quanto maior esse detalhamento maiores são os riscos.
Qual a relação das Healthechs e os dados pessoais sensíveis?
Antes de falar sobre dados sensíveis, é importante lembrar de dois pontos-chave da LGPD: dados pessoais e tratamento de dados.
O dado pessoal é considerado toda informação que possa identificar ou permitir a identificação de uma pessoa, independente se são fragmentos de informação ou dados completos.
Já tratamento de dados é qualquer tratativa direcionada a essas informações, tanto no meio físico, como no digital, como:
- Coleta;
- Armazenamento;
- Uso;
- Classificação;
- E descarte.
Nos dados pessoais, existe uma subcategoria denominada dados pessoais sensíveis. Que são informações relacionadas a:
- Origem racial ou étnica;
- Opinião política;
- Convicção religiosa;
- Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
- Dado genético ou biométrico;
- Dado referente à saúde ou à vida sexual.
Partindo desse consenso, as Healthechs são empresas fortemente afetadas pela LGPD, pois lidam diretamente com o tratamento de dados sensíveis, portanto, precisam tomar cuidados redobrados.
Em suma, o setor da saúde lida diretamente com dados biométricos e genéticos referentes a saúde do indivíduo como base para pesquisas, criação de medicamentos, entre outros.
Com a Lei Geral de Proteção de dados, as Healthechs precisam mudar a forma como coletam suas informações e as tratam, se adequando à nova legislação, assim como as demais empresas.
O que a empresa precisa para poder tratar dados sensíveis?
Na Lei Geral de Proteção de Dados, todo o tratamento de dados é realizado atendendo os requisitos de bases legais. Expliquei melhor sobre elas nesse post aqui: Entenda o que são as bases legais LGPD.
Contudo, não se engane, as bases que regem os tratamentos de dados comuns não são as mesmas dos dados sensíveis, por isso cuidado!
Sem o auxílio de um advogado especialista é muito fácil se confundir. Caso as Healthechs não estejam de acordo com a norma legal e seguindo as orientações corretas, sofrerão sanções.
O primeiro ponto é a empresa realizar uma análise jurídica cuidadosa sobre a forma como essas informações sensíveis estão sendo tratadas, já que existem duas opções:
- A Healthech possui o consentimento do titular de dados de forma específica e com as finalidades de uso claras, onde ele autoriza esse tratamento ou;
- Não possui o consentimento, porém atende os requisitos abaixo que dispensam o aceite:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Exercício regular de direitos;
- Proteção da vida ou da integridade física do titular, ou de terceiro;
- Tutela da saúde;
- Garantia da prevenção à fraude e à segurança do titular.
Se sua empresa não se enquadra em nenhuma dessas duas opções, então o tratamento de dados é considerado ilegal e está sujeito às sanções administrativas por parte da ANPD (Autoridade Nacional de Proteção de Dados Pessoais), inclusive sujeita a ações judicias movidas pelos titulares de dados e de órgãos como Ministério Público.
Como as Healthechs podem tratar os dados sensíveis?
O primeiro passo é o mapeamento, para verificar a real necessidade de coleta de dados sensíveis. Lembrando que, quanto maior o volume de elementos tratados, a responsabilidade por eles também aumenta.
O segundo passo é identificar se o tratamento dessas informações sensíveis é realmente necessário, por meio de uma análise crítica dos processos internos, é possível entender se essa quantidade de dados realmente é pertinente aos objetivos da empresa ou não.
Tratamentos desnecessários, geram riscos desnecessários ao negócio.
Agora, se é de fato preciso coletar e armazenar todas essas informações, então alguns processos devem ser adotados além daqueles já informados pelas bases legais, pois se tratando de informações sensíveis, a proteção é ainda mais rigorosa.
Veja abaixo algumas medidas que devem ser implementadas para evitar as multas e sanções da LGPD:
- Tenha total visibilidade e controle sobre cada informação sensível coletada, sua finalidade e sua real necessidade;
- Reforce a segurança e controle de acesso a essas informações;
- Restrinja o máximo possível as formas de acesso a esses dados;
- Implemente medidas de segurança extra para que esses dados não sejam expostos;
- Esteja sempre preparado em qualquer momento para prestar esclarecimentos a ANPD, explicando que o tratamento de dados sensíveis pela sua Healthech é justificado e segue a LGPD.
A cobrança pela adequação à Lei Geral de Proteção de Dados é grande, as multas e sanções previstas entraram em vigor em agosto de 2021. Para que o processo seja realizado de maneira correta, e as empresas consigam informar com facilidade aos titulares como suas informações são tratadas, é muito importante o acompanhamento de um advogado especializado em LGPD
A LGPD é uma realidade no Brasil e deve ser levada a sério. Por isso, quanto mais cedo as empresas se alertarem e implementarem o tratamento de dados, melhor será a adequação.
Caso esteja pensando em um advogado de Startup experiente, com todos os requisitos necessários para adequar o seu negócio e lhe trazer clareza na tomada de decisões, eu, Amanda Michelin sou especialista no assunto.
Com vasta experiência no mercado digital em defesa de grandes empresas, desenvolvo soluções jurídicas personalizadas para cada empreendimento.
Porém, como dar o primeiro passo? Faça um diagnóstico da sua startup comigo, avaliarei com você todos os pontos de melhorias para a implementação da LGPD na sua empresa.
