LGPD para todos: os desafios na aplicação da nova lei nas diferentes realidades brasileiras
Ainda há muito o que se discutir sobre a Lei Geral de Proteção de Dados (LGPD – nº 13.709/2018). Em vigor desde setembro de 2020, a LGPD tem por objetivo proteger os direitos fundamentais de liberdade e de privacidade, motivo pelo qual em seu art. 7° há o rol taxativo que discrimina as 10 hipóteses em que o tratamento dos dados pessoais pode ser realizado.
Dentre eles, há no inciso I o aval do titular dos dados, aqui chamado de consentimento: “mediante o fornecimento de consentimento pelo titular”, isso significa que a pessoa autoriza o tratamento dos seus dados pessoais pelo controlador. Pode parecer simples, mas a obtenção deste consentimento é algo bastante complexo.
A LGPD foi assumidamente baseada na lei relativa à segurança de proteção de dados da União Europeia, a General Data Protection Regulation (GDPR). Logo que iniciamos a implementação por aqui nos deparamos com algumas dificuldades que não foram mencionadas pela lei e, dessa forma, precisamos pensar em como as adaptar e solucionar. Vamos usar o exemplo do setor de saúde, um dos que mais tratam dados considerados sensíveis pela LGPD.
Nesse caso, os dados são disponibilizados pelo próprio titular, ou coletados, no primeiro atendimento, por profissionais ou estabelecimentos de saúde. São dados pessoais que, pelo potencial de dano e constrangimento que podem causar ao titular, devem ser tratados de forma mais criteriosa. O art. 11 da LGPD estabelece que o tratamento de dados pessoais sensíveis somente poderá ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
Uma das grandes dificuldades com a qual nos deparamos ao aplicar a LGPD é obter o consentimento de pessoas desprovidas de discernimento e de analfabetos funcionais - cidadãos que apenas assinam o próprio nome ou são capazes de fazer cálculos simples e ler palavras e frases isoladas, mas não conseguem interpretar textos. Essa parcela da população brasileira não foi abordada de forma direta pela nova lei.
Como levar a LGPD a todas as realidades?
Primeiro, é de suma importância tornar o termo de consentimento fácil - e isso pode ser feito de diversas maneiras. Por exemplo: alterando o nível de dificuldade de leitura do texto; usando frases curtas, com informações claras sobre o que precisa ser decidido; formulando o conteúdo em linguagem leiga; usando palavras e termos que sejam familiares; estruturando a narrativa de maneira dirigida ao leitor (como se fosse um diálogo); repetindo termos para facilitar a compreensão e até mesmo incluindo ilustrações.
Ao mesmo tempo, é necessário treinar os colaboradores - quem irá ter o primeiro contato com o paciente, no nosso exemplo -, e tornar possível a leitura do termo de consentimento junto com o titular dos dados ou seu responsável legal. Assim, algumas eventuais dúvidas já podem ser sanadas de imediato.
E como formalizar esse consentimento para que esteja de acordo com a LGPD? Conforme a Lei nº 14.063/20, a assinatura eletrônica e suas três modalidades (simples, avançada e qualificada) possuem validade jurídica e apresentam conformidade com a LGPD. Mas é necessário que essa assinatura utilize uma tecnologia de segurança da informação que garanta as seguintes características: integridade (o documento não pode ter seu teor modificado após sua assinatura); irretroatividade (o documento não pode ser gerado de forma retroativa no tempo); e não repúdio (impede que o autor negue ter criado e assinado o documento).
Desde que esses três requisitos sejam respeitados, até esse momento a LGPD não anula a validade das assinaturas feitas de modo virtual. Portanto, a assinatura eletrônica pode ser feita em tablets e dispositivos, onde pode-se colher o desenho do nome (como definição, a assinatura é o sinal produzido por uma pessoa para representar seu nome em um dado documento) ou a identificação por impressão dactiloscópica, para o caso daqueles que não sabem escrever.
Lembre-se: ainda mais importante do que a ciência expressa emitida pelo titular dos dados é a certeza de que o mesmo compreendeu integralmente o conteúdo do termo de consentimento. E mais: vale lembrar que a saúde é um setor regulado no Brasil pela Agência Nacional de Vigilância Sanitária (ANVISA).
A LGPD prevê em seu art. 7º, II que o cumprimento de dever legal ou regulatório é a base legal que autoriza o tratamento de dados pessoais. Já em seu art. 11, II reforça o entendimento de que os dados pessoais podem ser tratados sem o fornecimento de consentimento do titular, por exemplo, nos casos em que o paciente precisa que o atendimento seja realizado de forma emergencial.
Os desafios na implementação da LGPD entre as diferentes realidades brasileiras são constantes e precisamos, ainda, preencher algumas lacunas na legislação. Mas vale ressaltar que a intenção da LGPD não é atrasar ou complicar procedimentos e processos que já estão na rotina das empresas, mas sim tornar o ambiente mais seguro e referência dentro da proteção de dados.
*Bárbara Maroso é advogada no escritório Rücker Curi Advocacia e Consultoria e especialista em Proteção de Dados pela Data Privacy Brasil.