DADOS EM JOGO NA GESTÃO UNIVERSITÁRIA – BLOG Volume 1 – Número 4
AS SANÇÕES, AS MULTAS E ADVERTÊNCIAS FRENTE À CULTURA DE DADOS EM SAÚDE
PARTE I
Com a entrada em vigência de vários dispositivos da Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709, de 14 de agosto de 2018), em 14/08/2020 (BRASIL, 2021), depois de um longo período de vacatio legis1, começou a ser estruturada a Agência Nacional de Proteção de Dados – ANPD, e a produzir as primeiras normas para uma fiscalização e regulação mais incisiva deste importante marco regulatório, cuja finalidade primeira, dá conta de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, a inferir um significativo avanço, sobretudo porque fixa as responsabilidades e as sanções, multas e penalidades para quem as infringir.
Seja como for, em relação às sanções, multas, infrações e demais dispositivos pertinentes, ainda não vigentes, as mesmas encontram-se especificadas no art. 52 e seguintes da LGPD, indicadas conforme consta do caput do art. 52, da LGPD (BRASIL, 2021), na qualidade de “sanções administrativas”, aplicáveis pela autoridade nacional, e são da seguinte natureza: i)advertência, com indicação de prazo para adoção de medidas corretivas; ii)multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, observado o limite de 50.000.000,00 (cinquenta milhões de reais) por infração; iii)multa diária, observado o igual limite referido anteriormente; iv) publicização da infração; v)bloqueio dos dados pessoais a que se refere a infração até a sua regularização; vi)eliminação dos dados pessoais a que se refere a infração; vii)suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses; viii)suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses; ix)proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Há ainda um aspecto por demais significativo, o qual encontra-se inserido no art. 53, da LGPD, (BRASIL, 2021), in verbis:
Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
Tais dispositivos dão conta de duas questões bastante interessantes, as metodologias e a consulta pública. A última delas, atende os bons sinais da democracia. As metodologias demandarão conhecimento técnico que, muitas vezes, foge do senso comum do usuário. Seja como for, tais dispositivos servem como pressuposto para equilibrar interesses. Vainzof pontua que, dar conta do equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança, que jamais podem se contrapor, antes, ao contrário, devem ser indissociáveis, complementares e absolutamente compatíveis, compreende o maior desafio e a pedra de toque em termos regulatórios (2018, p. 38).
A LGPD segue a tendência moderna, expressa principalmente pela lei europeia, de proteção e de tratamento de dados pessoais, sendo que a lei brasileira buscou inspiração na GDPR (General Data Protection Regulation), que, a seu modo, fora precedida pela Diretiva 95/1946, revogada em 25 de maio de 2018 pela própria GDPR, que, segundo Vainzof, se tornou a legislação reconhecida mundialmente por sua robustez necessária em tempos de evolução tecnológica (2018, p. 38).
Também, nos EUA há leis federais voltadas à algumas matérias, portanto, de cunho setorial, dentre as quais, o Health Insurance Portability and Accountability Act (1966), o Electronic Communications Privacy Act (1986), o Video Privacy Portection Act (1988), para citar alguns exemplos, de que dão conta, segundo Vainzof (2018, p. 38), em face de “práticas razoáveis de segurança da informação”.
O grande objetivo das leis de proteção de dados, em sua especificidade, é conferir proteção aos dados pessoais, sobretudo, tendo-se em conta o tratamento de dados pessoais e o livre desenvolvimento da personalidade natural. Em termos de dados pertinentes à saúde, sobretudo pela configuração de dados sensíveis, e como a expressão sugere, de significativa e tradutora gestão em face da privacidade e da segurança.
Nesse viés, os conceitos, fundamentos e características de dados, são decisivos para compor o alcance que a legislação confere, tais como, segundo a lição de Vainzof (2018, p. 39): i) dados pessoais, compreendidos pela informação concernente a uma pessoa natural identificada ou identificável; como, também, ii) dados genéticos relativos às características genéticas, hereditárias ou adquiridas; iii) dados biométricos, dados que resultam de um tratamento técnico alusivo às características físicas, fisiológicas ou comportamentais, a dar conta de sua identificação; e, em especial, iv) dados relativos à saúde, que são dados pessoais pertinentes à saúde física ou mental de uma pessoa, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
Ambas as leis, a europeia e a brasileira, detêm uma matriz semelhante: fazer frente aos novos desafios presentes nos grandes bancos de dados pessoais que crescem continuamente, além de dar garantias de proteção de dados pessoais, especialmente com as facilidades proporcionadas pela internet que representam risco de mau uso e de exposição indevida dos dados pessoais.
É fato que houve uma demora sem precedentes para entrada em vigência da lei brasileira – com exceção das medidas sancionatórias, ainda em vacatio legis – creditadas que foram à pouca ou inexistente cultura de dados e ao desaparelhamento do próprio mercado que, então, influenciaram diretamente por demonstrar a ausência de condições para aplicação da LGPD até que, se passa a conferir à referida lei, a qualidade de promoção de uma mudança de paradigma. Se, as instituições sentiam-se donas dos dados que possuíam, esse pensamento está sendo invertido pela nova regulamentação, pois é preciso entender que o dado é titularidade da pessoa e apenas pode estar na posse das instituições. Aliás, a demanda em saúde, potencializada pela presença da COVID-19, está a cobrar criteriosas medidas em termos de vigilância de dados pessoais.
As justificativas para tanto vão desde os sinais de altos custos financeiros, da falta ou da presença de poucos especialistas no mercado, do insuficiente preparo e desconhecimento técnico e educacional quanto ao tema, da não plena vigência, sobretudo em relação às multas, da condição e qualidade dos dados sensíveis, motivos pelos quais, restam presentes uma falsa aparência de negativa de reconhecimento da LGPD.
Referências:
BRASIL. Lei 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 18 abr. 2021.
VAINZOF, Ron. Dados pessoais, tratamento e princípios. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Ópice. Comentários ao GDPR – Regulamento Geral de Proteção de Dados da União Europeia. 1ª ed., 4ª tiragem, São Paulo: Thomson Reuters, 2018, p. 37-83.
___________________________________________
1 Em uma linha do tempo, desde que foi aprovada, a LGPD passou por várias alterações, sendo seus principais destaques: 10 de julho de 2018: O Projeto de Lei da Câmara 53/2018 foi aprovado no Senado Federal, o qual detalha sobre o tratamento e a proteção de dados pessoais, resultando em alteração do Marco Civil da Internet; 14 de agosto de 2018: A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) foi sancionada, com vetos; 27 de dezembro de 2018: A Medida Provisória 869/2018 alterou a LGPD e seu novo texto incluiu a criação da Autoridade Nacional de Proteção de Dados (ANPD), ocasião em que prorrogou o prazo de início da lei para agosto de 2020; 8 de julho de 2019: Lei 13.853/2019 foi sancionada e vetou alguns trechos da LGPD, mas confirmou a ANPD. Em dezembro de 2019, os vetos foram retirados; 3 de abril de 2020: o Senado aprovou o PL 1.179/2020, e alterou a data de vigência da lei para janeiro de 2021, enquanto as multas e sanções tiveram prorrogação para agosto de 2021; 29 de abril de 2020: publicada a MP 959/2020, que prorrogava a LGPD para maio de 2021; 19 de maio de 2020: Substitutivo da PL 1.179/2020 foi aprovado e a lei volta a ter vigência para agosto de 2020, enquanto as multas e as sanções ficaram definidas para agosto de 2021.
Por:
1 – Geralda Magella de Faria Rossetto
- Doutoranda pelo Programa de Pós-Graduação em Direito pela Universidade Federal de Santa Catarina – UFSC, sob a orientação da Profa. Dra Josiane Rose Petry Veronese.
- Mestre em Direito Público pela Universidade do Vale do Rio dos Sinos (UNISINOS).
- Membro da Rede Universitária para Estudos sobre a Fraternidade (RUEF), que reúne pesquisadores de diversas instituições, nacionais e internacionais.
- Pesquisadora do DataLab – Laboratório de Desenvolvimento e de Pesquisa em Gestão de Dados – UFSC; do Núcleo de Pesquisa Direito e Fraternidade – UFSC; e do Núcleo de Estudos Jurídicos e Sociais da Criança e do Adolescente – NEJUSCA;
- Procuradora Federal da Advocacia Geral da União (AGU), aposentada.
- Advogada, com ênfase em LGPD.
- Organizadora e Autora de diversos capítulos de livros.
2 – Messias Silva Manarim
- Mestre em Filosofia pelo Programa de Pós-Graduação em Filosofia da Universidade Federal de Santa Catarina – UFSC.
- Bacharel e Licenciado em Filosofia pela Universidade Federal de Santa Catarina – UFSC.
- Graduado em Direito pela Universidade do Extremo Sul Catarinense – UNESC.
- Advogado.
Em: 28/04/2021