picsite

Lei Geral de Proteção de Dados e COVID-19*

Quarta-feira, 11 de março de 2020, após a confirmação da expansão mundial do COVID-19 – o qual foi confirmado em mais de 123 países dos 195 países mundiais – foi decretado pela OMS[1] (Organização Mundial de Saúde) o estado de pandemia do COVID-19 (coronavírus).

Diante da situação epidêmica atual do coronavírus, o Congresso Nacional com o objetivo de frear a disseminação do vírus, publicou no dia 13/03/2020 o PL 23/2020 (Lei 13.979/2020)[2], que apresenta os conceitos de isolamento e quarentena, abordando medidas técnicas e organizacionais que deverão ser observadas, além de dispor medidas que visam resguardar o bem-estar do cidadão em caso de infecção pelo coronavírus.

É evidente a imprescindibilidade dos órgãos públicos e profissionais de saúde, acaso seja confirmado a contaminação do paciente pelo COVID-19, o pronto compartilhamento de tais informações com o objetivo que seja realizada a cientificação dos profissionais capacitados para gerenciar a propagação do coronavírus.

Sendo assim, dentre as orientações contidas na Lei 13.979/2020, ressalta-se o art. 6º[3], que embasado na finalidade de conter a propagação do vírus, estipula como caráter obrigatório o compartilhamento de dados essenciais à identificação do cidadão infectado, ou que esteja com suspeita de portar o coronavírus, entre órgão e entidades da administração pública federal, estadual, distrital e municipal.

Aliado ao compartilhamento de dados referentes aos pacientes infectados e potenciais portadores do coronavírus, a Lei 13.979/2020 dispõe que os pacientes poderão ser submetidos a exames médicos, testes laboratoriais, coleta de amostras clínicas, vacinação e outras medidas profiláticas ou tratamentos médicos específicos de maneira compulsória[4], ou seja, independente da sua permissão.

Sob esse contexto, fica determinado que cabe ao Ministério da Saúde o tratamento de dados públicos atinentes aos casos confirmados, suspeitos ou sob averiguação, devendo o Ministério resguardar o direito de sigilo das informações pessoais dos pacientes.

A par disso, é inconteste que o PL 23/2020, ainda que esteja fundamentado em conter a disseminação do COVID-19, irá processar dados pessoais sensíveis das pessoas infectadas e, demais pacientes que estejam sob suspeita de portar o coronavírus.

Nessa lógica, carece de elucidação por parte do Ministério de Saúde quais as informações pessoais serão compartilhadas em caso de apuração de infecção do paciente pelo COVID-19, eis que transparece que haverá uma circulação de informações até então sigilosas do titular.

Sob o panorama da Lei Geral de Proteção de Dados e demais regulamentos que visam a proteção de dados vigentes no território Nacional, ainda que não se encontre qualquer dispositivo que impeça o fornecimento de informações pessoais na ocorrência de cuidados de saúde, especialmente em âmbito público e com objetivos específicos[5], é de ressaltar-se o caráter especial das informações tratadas, em vista da sua classificação como dados sensíveis[6], o que exige do órgão público medidas proporcionais na ocasião do compartilhamento.

No âmbito da iniciativa privada, importante aclarar que embora o estado atual de pandemia do coronavírus, não é facultado aos empregadores coletar dos colaboradores quaisquer dados pessoais com objetivo de apurar a existência de sintomas, seja através de consultas coletivas ou então solicitações individuais.

Logo, ainda que a preservação do bem estar dos colaboradores seja ônus legal do empregador, o mesmo deve balizar suas ações em consonância as leis vigentes, devendo implementar ações que visem mitigar os riscos dos seus profissionais à exposição do vírus, devendo fornecer informações sobre o coronavírus e as possibilidade da sua transmissão e, finalmente, adotar meios apropriados para evitar a sua propagação.

Nesse sentido, ante as circunstâncias atuais, muitas empresas têm adotado o regime comumente denominado de home-office (trabalho em casa) como medida de prevenção ao trabalho coletivo, com objetivo de restringir a disseminação do coronavírus.

A luz da LGPD e das regras emanadas do Ministério do Trabalho e Emprego, cabe ao empregador possibilitar os mesmos níveis de medidas de segurança para atividades desempenhadas de casa pelo seu colaborador, sendo de sua inteira responsabilidade a ocorrência de vazamento de informações pessoais.

Com efeito, ainda que o objetivo dos empregadores ao possibilitar a adoção de home-office, seja estar em conformidade com a sua obrigação legal de proteger a saúde de seus funcionários, faz-se necessário a elaboração de um protocolo de regras por parte dos empregadores que devem servir para balizar as atividades desempenhadas pelos funcionários fora da empresa.

Ainda que seja notório que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) terá eficácia somente a partir de 16 de agosto de 2020, importante referir que as empresas que se encontram em fase de implementação e adequação aos seus termos, ao se deparar com o cenário atual do coronavírus, irão defrontar um grau de complexidade inferior na tomada de decisões envolvendo informações pessoais.

Isso porque a LGPD exige que os agentes de tratamento detenham no seu quadro de colaboradores a figura de Encarregado de Proteção de Dados (DPO)[7], pessoa que será responsável pela proteção de dados, razão pela qual deverá deter conhecimentos aprofundados no domínio das leis de privacidade vigentes e práticas de proteção de dados.

Se não bastasse isso, a par dos ditames da LGPD, é possível observar a importância de o agente de tratamento contar com um comitê de gestão de incidentes, o qual será dotado de monitorar as informações em eventual ocorrência de crise, bem como gerir as recomendações e instruções recepcionadas das autoridades competentes.

Nesse sentido, incumbe ao comitê de gestão de incidentes o acompanhamento do nível de conformidade das regras e políticas de proteção de dados adotadas pelo agente de tratamento em relação às normas de proteção de dados pessoais vigentes, incluindo delegação de responsabilidades, conscientização e treinamento do pessoal envolvido nas operações de tratamento de dados.

Sendo assim, transparece aos olhos os benefícios das empresas que encontram-se em processo de adequação e implementação à LGPD, em vista da orientação da Lei no que tange a estruturação de governança (incluindo DPO, Comitê de Privacidade, Gestão de Crise, etc.), setor responsável por apresentar o plano de ação detalhado, incluindo o nível mínimo de medidas técnicas e sistemáticas de proteção de dados pessoais a serem adotadas, possibilitando à empresa contingenciar e dirimir os impactos ocasionados pelo panorama atual do COVID-19, além de propiciar a empresa identificar as medidas organizacionais e preventivas a serem adotadas no sentido de evitar a propagação do vírus (ex. confinamento, home-office, orientações e indicações de prevenção aos colaboradores, etc.).

*Dr. Saymon Leão – OAB/RS 99.623

Integrante da Comissão Especial de Seguro e Previdência Complementar da OAB/RS, integrante do Grupo Nacional de Trabalho Novas Tecnologias da AIDA BRASIL (Associação Internacional do Direito do Seguro), integrante do capítulo Legal Hackers Porto Alegre

[1] https://www.who.int/es/dg/speeches/detail/who-director-general-s-opening-remarks-at-the-mission-briefing-on-covid-19---13-march-2020
[2] https://legis.senado.leg.br/norma/31933184/publicacao/31933667
[3] Art. 6º É obrigatório o compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação.
[4] Art. 3º  Para enfrentamento da emergência de saúde pública de importância internacional decorrente do coronavírus, poderão ser adotadas, dentre outras, as seguintes medidas:
I - isolamento;
II - quarentena;
III - determinação de realização compulsória de:
a) exames médicos;
b) testes laboratoriais;
c) coleta de amostras clínicas;
d) vacinação e outras medidas profiláticas; ou
e) tratamentos médicos específicos;
[5] Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
[6] Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
[7] Art. 5º Para os fins desta Lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)




Quem Somos

Image

Formada por uma equipe de advogados com alto nível de especialização e vasta experiência jurídica, é uma empresa sólida que prima pela competência, pela ética e pelo comprometimento com parcerias consolidadas. Valores estes que se traduzem na excelência da prestação de serviços e da defesa dos interesses de seus clientes.

Facebook

Últimos Posts