Tag: Lei Geral de Proteção de Dados

Publicado em por Deixe um comentário

VIOLAÇÃO DA LGPD: ANPD SANCIONA IAMSPE COM ADVERTÊNCIAS E MEDIDAS CORRETIVAS

No último dia 6 de outubro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) concluiu um processo sancionatório contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) por violação da LGPD. Neste caso, a violação se relacionou à falha do IAMSPE em manter sistemas seguros para o armazenamento e tratamento adequado dos dados pessoais de milhões de servidores públicos e seus dependentes, configurando uma espécie de engenharia social que levou a erros por parte dos usuários, expondo seus dados pessoais, em violação ao artigo 49 da LGPD.

Conforme estabelece o artigo 49 da Lei 13.709/2018, os sistemas utilizados para o tratamento de dados pessoais devem atender a requisitos de segurança, boas práticas, governança e princípios gerais da lei, bem como outras normas regulamentares.

Além disso, o IAMSPE foi considerado responsável por um incidente de segurança no qual não comunicou de forma clara, adequada e tempestiva os titulares dos dados sobre quais dados pessoais poderiam ter sido comprometidos, infringindo o artigo 48 da LGPD, que estabelece os requisitos mínimos para uma comunicação eficaz de incidentes de segurança, tanto para a ANPD quanto para os titulares dos dados.

Diante dessas infrações, a ANPD aplicou ao IAMSPE advertências e apontou medidas corretivas, conforme despacho publicado no Diário Oficial da União. Isso reforça a importância para todas as organizações, sejam públicas ou privadas, de cumprir integralmente as disposições da LGPD. A ANPD tem demonstrado seu empenho em finalizar os processos e aplicar as sanções necessárias diante das violações, ressaltando a necessidade de conscientização e conformidade com a LGPD por parte de todas as empresas.

É importante que os contadores informem a seus clientes sobre a importância de se adequar à LGPD, buscando profissionais qualificados para realizar os procedimentos exigidos. Vale destacar que a cópia de políticas de privacidade ou a oferta de informações genéricas é ineficaz e pode configurar crime, conforme o artigo 184 do Código Penal. A adequação à LGPD é um assunto de extrema seriedade, e qualquer abordagem genérica é insuficiente.

Publicado em por Deixe um comentário

INOVAÇÃO LEGISLATIVA: RECONHECIMENTO DE INVESTIMENTOS NA LGPD PARA CRÉDITOS DE PIS E COFINS

No contexto de cumprimento de obrigações legais vitais para os objetivos sociais de uma empresa e sujeitas a penalidades por não cumprimento, o investimento em conformidade com as normas estabelecidas merece ser considerado como um recurso essencial para o aproveitamento de créditos de PIS e Cofins. Essa foi a conclusão da 4ª Turma Especializada do Tribunal Regional Federal da 2ª Região ao reconhecer o direito de uma empresa de meios de pagamento em aproveitar créditos de PIS e Cofins referentes às despesas incorridas para se adequar à Lei Geral de Proteção de Dados (LGPD).

No entanto, a 2ª Vara Federal do Rio de Janeiro discordou desse reconhecimento de crédito. O juiz argumentou que a implementação das exigências da LGPD não se enquadra como insumo, pois não atende aos critérios de ser essencial ou relevante para o desenvolvimento da atividade econômica, e tampouco está diretamente relacionada à prestação dos serviços ou à produção ou fabricação de bens, como exigido pelo entendimento do Superior Tribunal de Justiça (REsp 1.221.170).

As despesas derivadas do cumprimento da LGPD estão diretamente ligadas à atividade principal da empresa. “Portanto, por ser um investimento obrigatório e fundamental para alcançar os objetivos sociais do impetrante, além de ser uma medida de segurança necessária para proteger os dados de seus clientes e terceiros, inclusive sujeita a penalidades por não cumprimento das normas, as despesas com as adaptações exigidas pela LGPD merecem ser reconhecidas como insumos para fins de aproveitamento no sistema de não-cumulatividade de PIS e Cofins”, resumiu a relatora. O entendimento foi unânime.

Esta representa a pioneira decisão favorável em segunda instância que temos notícia. Trata-se de um marco relevante para as empresas que lidam com despesas substanciais na aquisição de serviços para aderir às diretrizes da LGPD. Especialmente as empresas de tecnologia, cuja operacionalidade depende dos dados como recurso fundamental, se beneficiam significativamente desta determinação.

Publicado em por Deixe um comentário

LGPD E DADOS DE SAÚDE: EXPLORANDO AS IMPLICAÇÕES NA PRIVACIDADE DO PACIENTE

A Lei Geral de Proteção de Dados (Lei 13.709/18) estabeleceu a categorização de dados relacionados à saúde como “sensíveis”, conferindo-lhes um status especial e resguardando a privacidade dessas informações. Essa classificação se aplica a qualquer dado capaz de identificar uma pessoa entre um grupo de indivíduos.

O artigo 5º, inciso II da referida lei define os tipos de dados sensíveis, abrangendo dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de cunho religioso, filosófico ou político, informações referentes à saúde ou vida sexual, dados genéticos ou biométricos, quando associados a uma pessoa.

É notável que a lei não apresenta uma lista fechada de categorias, o que significa que o escopo de dados sensíveis é amplo e abrangente.

Contudo, em um contexto de conjunto de pessoas, um dado sensível isolado por si só não seria suficiente para identificar alguém. A identificação ocorre quando esses dados são combinados com outros, como o CPF, por exemplo. Nesse caso, a anonimização deve ser aplicada para proteger a privacidade do indivíduo.

Dentro dos registros médicos, como prontuários, guias de internação, exames e receitas, há uma concentração significativa de dados sensíveis. O Conselho Federal de Medicina (CFM) estabeleceu regulamentações, como a Resolução 1.639/2002, seguidas pelas Resoluções 1821/2007 e 2.218/2018, para garantir a segurança e integridade dos prontuários eletrônicos dos pacientes.

Entretanto, mesmo com tais diretrizes, o compartilhamento desses dados requer o consentimento expresso do paciente. O artigo 7º da LGPD delimita as situações em que o tratamento de dados pessoais é permitido. Na área da saúde, destacam-se os casos de consentimento do titular, proteção da vida ou incolumidade física, tutela da saúde em procedimentos médicos, e interesses legítimos do controlador ou terceiros, desde que não sobreponham os direitos fundamentais do titular.

Para obter consentimento, é vital que o profissional de saúde explique ao titular de forma clara e compreensível quais dados serão coletados e como serão utilizados. No entanto, existem exceções em que o tratamento de dados sensíveis pode ocorrer mesmo sem o consentimento explícito do titular, como no cumprimento de obrigações legais, estudos de pesquisa com anonimização, proteção da vida ou saúde, entre outros.

A importância do consentimento em relação aos dados de saúde frequentemente é subestimada, em parte devido ao sigilo médico que protege essas informações. A LGPD, ao elevar os dados de saúde à categoria de dados sensíveis, aprimora a proteção da privacidade do paciente e promove sua autonomia ao exigir a adoção de práticas transparentes e confiáveis no tratamento desses dados.