Noronha e Nogueira Advogados

Tag: Proteção de Dados

  • ANPD presta esclarecimentos sobre o relatório de impacto à proteção de dados pessoais

    ANPD presta esclarecimentos sobre o relatório de impacto à proteção de dados pessoais

    Tempo de leitura: 4 minutos

    O relatório de impacto de proteção de dados pessoais (RIPD) é um dos principais documentos a ser elaborado em projeto de adequação à LGPD e deve ser revisado continuamente, principalmente quando fatos novos modificarem os riscos identificados, ou no caso de novas regulamentações.

    A partir de consultas que foram formuladas à ANPD, assim como, ao elencar possíveis dúvidas que possam surgir aos agentes de tratamento e titulares de dados pessoais, a ANPD elaborou perguntas básicas com as respectivas respostadas sobre os conceitos, constituição, elaboração, critérios, requisitos, implementação, registro e aplicação do RIPD.

    Desde 6/4/23, é possível acessar no website da ANPD esclarecimentos sobre o RIPD, para melhor compreensão do relatório e sanar possíveis dúvidas.

    As considerações são preliminares sobre o tema, que ainda está em processo de regulamentação, e buscam orientar melhor os controladores de dados pessoais e agentes de tratamento, para que possam agir em conformidade com a LGPD e normas regulamentadoras da ANPD.

    A formalização do RIPD é de responsabilidade da empresa controladora dos dados pessoais, e de acordo com a definição da ANPD tem como finalidade descrever os processos de tratamento de dados com alto risco à garantia dos princípios gerais de proteção, das liberdades civis e dos direitos fundamentais dos titulares de dados, que estão previstos na LGPD. Além disso, o relatório também deve incluir medidas de proteção e mecanismos com o intuito de diminuir os riscos aos direitos dos titulares.

    A LGPD listou algumas situações específicas em que o RIPD poderá ser exigido pela ANPD, tais como:

    • Nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
    • Quando o tratamento tiver como fundamento a hipótese de legítimo interesse;
    • Para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD;
    • E para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis.

    Segundo a LGPD, a elaboração do RIPD deve ocorrer no início do tratamento de dados pessoais, após a avalição dos possíveis riscos que possam se enquadrar nas situações específicas já previstas na LGPD. No caso dos dados em tratamento, deverá ser elaborado RIPD assim que identificado que uma das vertentes do tratamento possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais, às liberdades civis e aos direitos fundamentais dos titulares em questão.

    De acordo com a ANDP, a gestão dos riscos é um processo sistemático que determina a aplicação do controle diante do perfil de riscos. A identificação e análise desses fatores devem ser documentadas e justificadas, para que possam demonstrar que as decisões tomadas foram as mais adequadas, com base nas informações disponíveis.

    Assim, compete ao controlador identificar o maior número possível de fatores, principalmente os mais relevantes, que possam afetar à proteção os dados pessoais que serão tratados, além de estimar a probabilidade de materialização do risco e o impacto inerente.

    Esse impacto dependerá dos danos que podem ser causados aos titulares, em particular no âmbito dos seus direitos e liberdades, tais como perda de confidencialidade, integridade ou disponibilidade de dados, reversão da anonimização, uso de dados para fins incompatíveis, ou qualquer forma de tratamento inadequado ou ilícito.

    Quais são os requisitos mínimos para elaboração do RIPD?

    • Descrição dos tipos de dados pessoais coletados ou tratados;
    • Metodologia usada para o tratamento e para a garantia da segurança das informações; e
    • Análise do controlador com relação a medidas, salvaguardas e mecanismos adotados para mitigação de riscos.

    No tratamento de dados em geral, quando verificado que as operações de tratamento podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais da LGPD, deve-se adotar como parâmetro a definição de “alto risco” prevista no art. 4º da resolução 2/22 da ANPD, que trata da aplicação da LGPD para agentes de tratamento de pequeno porte, bem como às liberdades civis e aos direitos fundamentais do titular:

    • Critério geral: atividade de larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares; e
    • Critério específico: uso de tecnologias emergentes ou inovadoras, existência de vigilância ou controle de zonas acessíveis ao público, tomada de decisões unicamente com base em tratamento automatizado de dados pessoais, ou utilização de dados pessoais sensíveis.

    No mais, o RIPD deve ser suficientemente detalhado contendo as informações necessários para que tanto a ANPD quanto os agentes de tratamento tenham ampla compreensão do que envolve, e da forma como ocorre o tratamento, assim como os riscos associados, tal qual especificado pela ANPD:

    • Identificação dos agentes de tratamento, encarregado e outras partes envolvidas ou interessadas;
    • Justificativa da necessidade de elaboração do relatório (por exemplo: identificação de alto risco, solicitação da ANPD, prevenção etc.);
    • Sistemas de informação;
    • Tratamento de dados, incluindo a descrição do tratamento (desde a coleta até a eliminação); dados pessoais coletados; dados pessoais sensíveis; categorias de titulares envolvidos; se há coleta de dados de crianças e adolescentes ou outra categoria de titulares (como clientes, funcionários, beneficiários ou familiares do controlador) e de vulneráveis (como idosos, se aplicável); volume de dados pessoais tratados e número de titulares envolvidos; a fonte de coleta dos dados; finalidade do tratamento de cada dado; compartilhamento externo e interno, incluindo transferência internacional; e política de armazenamento dos dados com descrição dos prazos de retenção e métodos de descarte;
    • Identificação da(s) base(s) legal(is) e análise do atendimento de princípios da LGPD;
    • Riscos identificados com avaliação da probabilidade de materialização do risco e o impacto efetivo ao titular;
    • Medidas adotadas para mitigação de cada risco, reavaliação do risco após a adoção de medida e indicação de eventual risco residual.

    O RIPD deve ser revisado?

    O RIPD deve ser revisado continuamente, principalmente quando fatos novos modificarem os riscos identificados, ou no caso de novas regulamentações.

    Enquanto o procedimento não é totalmente regulamentado, os controladores de dados possuem flexibilidade para determinar estruturas e formatos do RIPD, tal qual disposto na LGPD. O processo de regulamentação do RIPD, previsto na Agenda Regulatória da Autoridade para o biênio de 2023-2024, já foi iniciado pela ANPD e se encontra em fase de elaboração.

    Fonte: https://www.migalhas.com.br/depeso/385228/relatorio-de-impacto-a-protecao-de-dados-pessoais

    O intuito da ANPD é orientar e esclarecer a sociedade sobre o relatório, que ainda será regulamentado pela Autoridade.

    O processo de regulamentação do RIPD, previsto na Agenda Regulatória da Autoridade para o biênio 2023-2024, já foi iniciado e encontra-se em fase de elaboração.

    Se você tem dúvidas quanto a implementação da LGPD na sua empresa, entre em contato conosco agora mesmo clicando aqui.

    Sua empresa precisa de CONSULTORIA E ADEQUAÇÃO PARA A LGPD?

    O escritório Noronha & Nogueira Advogados, auxilia empresas na iniciação ou na adequação dos projetos para a LGPD, dentro dos requisitos exigidos pela lei bem como, nos processos de compliance trabalhista.

    Melissa Noronha Marques de Souza é sócia no escritório Noronha e Nogueira Advogados.

    Pós-graduada em Direito e Processo do Trabalho pela Universidade Mackenzie e em Coaching Jurídico pela Faculdade Unyleya

    Com formação em Professional & Self Coaching, Business and Executive Coaching e Analista Comportamental pelo Instituto Brasileiro de Coaching – IBC.

    É membro efetivo da Comissão Especial de Advocacia Trabalhista OAB/SP.

    É membro efetivo da Comissão Especial de Privacidade e Proteção de Dados OAB/SP.

  • Laboratórios e a realização de exames complementares em seus próprios colaboradores: gera alto risco sob o viés da proteção e dados

    Laboratórios e a realização de exames complementares em seus próprios colaboradores: gera alto risco sob o viés da proteção e dados

    Tempo de leitura: 4 minutos

    É através dos exames admissionais, periódicos, de retorno ao trabalho, de mudança de riscos ocupacionais e demissionais ser possível fazer um acompanhamento do estado de saúde de um empregado e pelos exames clínicos e complementares o acompanhamento de eventuais doenças ocupacionais, cabendo ao empregador realizar a gestão desses exames e subsidiá-los a seus empregados, de acordo com a legislação trabalhista vigente.

    A Norma Regulamentadora – NR7 estabelece a competência para a realização de exames complementares aos laboratórios que atendam ao disposto na RDC/ANVISA nº 302/2005, no que se refere aos procedimentos de coleta, acondicionamento, transporte e análise.

    Entretanto, apesar de os laboratórios de análises clínicas terem a competência para realizar os exames supracitados, por esta ser a sua atividade fim e obrigação legal enquanto empregadores, ainda que não haja expressa proibição de realizá-los em seus próprios empregados, existem alguns riscos envolvidos que merecem ser considerados.

    A Lei Geral de Proteção de Dados Pessoais (LGPD) classifica as informações de saúde e genéticas como dados pessoais sensíveis, conferindo-lhes proteção especial e restrições, inclusive no que tange à possibilidade de tratamento e de compartilhamento.

    Para emitir um Atestado de Saúde Ocupacional (ASO), o médico do trabalho analisa as características da função laboral desempenhada juntamente com as informações de saúde do empregado conforme os exames realizados, laudos e prontuários, avalia o estado geral da capacidade e o atendimento aos requisitos necessários ao exercício de determinada atividade ou função. Ressalte-se que os prontuários médicos contêm, em sua maioria, dados pessoais sensíveis relacionados diretamente à saúde e à intimidade do paciente (artigo 5º, incisos I e II e 11 da LGPD).

    Ocorre que, sob a óptica da proteção de dados, a realização de exames complementares pelo laboratório em seus próprios empregados é uma atividade de alto risco, na medida em que há se considerar o sigilo médico previsto no Código de Ética Médica e na Resolução CFM 1.821/2007 e que o empregador não está autorizado a ter ciência do prontuário médico do colaborador, mas apenas do resultado da avaliação de aptidão ou inaptidão ao exercício da função, através do Atestado de Saúde Ocupacional (ASO) emitido pelo médico do trabalho.

    A avaliação da gravidade do impacto de incidente de segurança relacionado à realização dos exames complementares pelos laboratórios em seus empregados é alta, pois os dados sensíveis e sigilosos dos titulares/empregados são coletados pelo empregador sem fundamentação adequada, tampouco tratamento conforme uma das bases legais do artigo 11, da LGPD.

    As disposições contidas na Constituição Federal e na LGPD visam proteger o direito à privacidade do titular que, na qualidade de empregado, não tem a obrigação de informar ao empregador sobre seus dados de saúde, especialmente com relação àquelas com alto potencial danoso e discriminatório.

    A LGPD admite o tratamento de dados pessoais sensíveis com maiores restrições que os dados comuns, não sendo possível utilizá-los para a execução do contrato, mas apenas mediante consentimento ou, sem consentimento, mas quando indispensável ao cumprimento de obrigação legal ou regulatória; execução de políticas públicas pelo poder público; realização de estudos por órgão de pesquisa; exercício regular de direitos; proteção da vida ou da incolumidade física do titular ou de terceiros; tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; garantia da prevenção à fraude e à segurança do titular.

    O tratamento de dados pessoais sensíveis, deve ser feito com mais cautela, haja vista que caso ocorra eventual incidente de segurança as consequências podem ser graves aos direitos e liberdades dos titulares.

    Nesse sentido, o Tribunal Regional do Trabalho da 3º Região condenou uma empresa por disponibilizar o acesso a laudos e atestados médicos a qualquer empregado em seu sistema interno, expondo dados sensíveis relacionados às informações de saúde de um empregado que, sentindo-se exposto, ajuizou uma ação, cujo dano foi confirmado e o Tribunal entendeu que a conduta do empregador causou lesão à imagem, honra e intimidade ou vida privada do referido empregado, fixando uma indenização moral por violação ao artigo 5º, X, da Constituição Federal que versa sobre o direito à privacidade, intimidade, honra e imagem, assegurando o direito à indenização pelo dano material ou moral decorrente de sua violação.

    Conferindo a necessidade de especial cautela no que tange ao tratamento dos dados pessoais sensíveis, foi promulgada a Lei nº 14.289/2022, que obriga a preservação do sigilo sobre a condição da pessoa com HIV, hanseníase, tuberculose e hepatites virais. A divulgação dessas informações que permitam a identificação da condição de pessoa é vedada a agentes públicos ou privados, inclusive, a hospitais, escolas, no trabalho, no serviço público, em órgãos de segurança, em processos judiciais ou na mídia, com previsão de multa e indenização por danos decorrentes do vazamento dos dados.

    Conclui-se que a realização dos exames complementares para a relação de emprego, pelos laboratórios em seus próprios colaboradores, oferece risco tanto aos titulares dos dados quanto ao empregador. Por isso, sob a óptica da LGPD, recomenda-se muita cautela e atenção quando ao tratamento desses dados pessoais, a fim de reduzir eventuais danos e evitar maiores prejuízos.

    Se você tem dúvidas quanto a implementação da LGPD na sua empresa, entre em contato conosco agora mesmo clicando aqui.

    Sua empresa precisa de CONSULTORIA E ADEQUAÇÃO PARA A LGPD?

    O escritório Noronha & Nogueira Advogados, auxilia empresas na iniciação ou na adequação dos projetos para a LGPD, dentro dos requisitos exigidos pela lei.

    Melissa Noronha M. de Souza Calabró é sócia no escritório Noronha & Nogueira Advogados.

    Pós-graduada em Direito e Processo do Trabalho pela Universidade Presbiteriana Mackenzie e em Coaching Jurídico, pela Faculdade Unyleya, com formações em Professional & Self Coaching e em Business and Executive Coaching, ambas pelo IBC.