Com o intuito de colaborar com o esclarecimento de questões relacionadas a aplicação da LGPD na saúde suplementar, a Subcomissão LGPD da UNIDAS elaborou em FAQ sobre os assuntos relacionados à LGPD aplicada à saúde suplementar. Nosso objetivo não é esgotar o tema, mas contribuir com posicionamentos sobre o assunto, auxiliando na elucidação de questões que envolvem os mais diversos atores no setor.
Neste primeiro momento o trabalho foi focado em abordar questões sobre a agenda regulatória da ANPD. Contudo, a ideia é que o FAQ seja aprimorado com o passar do tempo com maiores esclarecimentos. O teor do FAQ pode ser conferido abaixo:
*Permitida a utilização, desde que mencionada a fonte.
O titular do plano de saúde pode solicitar a correção e o acesso a Informações cadastrais básicas de dependentes menores e tutelados, incluindo os dados da ficha de cadastro.
Contudo, para acesso a dados de saúde, dentre os quais o prontuário médico e ficha de utilização, conforme previsto no Código de Ética Médica¹, considerando que o menor de idade goza do direito à intimidade, a revelação de um segredo profissional médico de um menor somente se justifica quando o mesmo não possui capacidade de discernimento ou quando a sua não revelação possa gerar danos ao próprio paciente.
Assim, recomenda-se que o compartilhamento com o titular do plano de qualquer informação de saúde de seu dependente menor ou tutelado ocorra em situações específicas e fundamentadas, devendo ser realizado em seu melhor interesse, conforme previsto no Artigo 14 da LGPD.
¹CONSELHO FEDERAL DE MEDICINA (CFM-BRASIL). Código de Ética Médica. Resolução CFM n.º 2217 de 27/09/2018.
Considerando que, pela Legislação Brasileira, maiores de 16 anos e menores de 18 anos possuem a presunção do discernimento para o exercício de atividades da vida civil, entendemos ser possível que operadoras de plano de saúde atendam às solicitações feitas por beneficiários nesta faixa etária sem a necessidade da presença dos pais ou responsáveis, desde que esse atendimento se faça no melhor interesse do menor.
Por enquanto a Autoridade Nacional de Proteção de Dados não regulamentou e não definiu um padrão a ser seguido pelos Controladores para atendimento ao que está previsto nos incisos I e II do Artigo 19 da LGPD.
Todavia, com base na experiência Europeia, recomenda-se a implantação do “Dossiê de Dados” de forma automatizada, via portal da operadora, conforme você pode verificar neste modelo.
Pelo fato das operadoras de planos de saúde tratarem uma enorme quantidade de dados pessoais e de dados pessoais sensíveis, recomenda-se que nas solicitações de informações referentes ao tratamento de dados feitas por telefone, a ligação seja gravada e que seja criado um roteiro de atendimento com perguntas específicas que comprovem, de forma inequívoca, que quem está fazendo a solicitação dos dados é o próprio titular dos dados, por exemplo: confirmar a data de nascimento, informar a filiação, número da carteira de identidade, número do CPF, etc.
Depois da confirmação de que a solicitação está sendo feita pelo titular ou por pessoa legítima, o eventual encaminhamento das informações deve ocorrer apenas para e-mails de contato previamente cadastrados.
Além do roteiro de atendimento para solicitações por telefone, as operadoras podem adotar outras formas e ferramentas tecnológicas de confirmação da legitimidade do solicitante, dentre as quais a Tokenização, login e senha, geolocalização etc.
Se o tratamento de determinado dado for feito com base no consentimento, o titular de dados pode a qualquer momento exercer o seu direito de revogá-lo (opt out).
Nesse sentido, recomenda-se que, para uma melhor gestão do consentimento, as Operadoras devem solicitá-lo de forma granular, ou seja, um consentimento para cada tipo de tratamento e deve implantar ferramentas de gestão para controlar quais titulares deram o consentimento e quais titulares não deram o consentimento.
É importante que as Operadoras, antes de eliminarem os dados, esclareçam aos seus beneficiários sobre as consequências da revogação do consentimento para o tratamento do dado, visto que alguns serviços podem estar sendo ofertados ao beneficiário em razão do consentimento para o tratamento daquele dado. (Art.18, VIII)²
Assim, prevalecendo a decisão pela revogação do consentimento, a Operadora de Plano de saúde deve imediatamente cessar o tratamento vinculado a essa base legal e documentar, para fins de auditoria futura, que o titular exerceu o opt out.
¹Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: […]
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Segundo a LGPD, a transferência internacional de dados é caracterizada pelo tratamento ou transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o Brasil seja membro. Nesse sentido, uma transferência internacional de dados ocorre toda vez que o dado sai do território nacional com destino a um país ou organismo internacional.
Abaixo seguem alguns exemplos de transferência internacional de dados:
- Desenvolvedores(as) de outros países estrangeiros acessarem dados colhidos no território brasileiro;
- Quando uma empresa local utiliza serviços de terceiros que enviam dados para empresas globais e/ou de fora do Brasil, exemplo:
- Apps/serviços de terceiros;
- APIs;
- Agregadores / Análises de Logs (que eventualmente possam conter endereços IP’s e/ou identificadores de usuários); ou
- Outros
Quando uma empresa brasileira utiliza serviços próprios em Cloud fora do território nacional, exemplo:
- Backups; ou
- E-mails / Drives / Sites (intranet, wikis, etc).
Frisa-se que a transferência internacional de dados somente será permitida nas hipóteses, sob determinadas condições, previstas na LGPD.
A transferência internacional de dados somente poderá ocorrer nas hipóteses previstas no artigo 33 da Lei 13.709/18, conforme citado abaixo:
I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei. Sobre essa hipótese é importante esclarecer que a Autoridade Nacional de Proteção de Dados mensurará o nível de proteção de dados do país estrangeiro ou organismo internacional de destino;
II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD. Desse modo, a operadora será responsável por garantir a segurança dos dados e pela proteção dos direitos e garantias dos titulares de dados. Antes de realizar qualquer transferência internacional de dados é relevante que operadora faça essa avaliação, considerando a compatibilidade entre legislações de proteção de dados bem como nível de proteção de dados do país de destino;
III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V – quando a autoridade nacional autorizar a transferência;
VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo necessário dar publicidade nos termos do inciso I do caput do art. 23 da LGPD;
VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades. Nesse caso é importante que operadora esclareça de forma específica ao beneficiário sobre a finalidade, a necessidade e adequação do tratamento de dados, devendo a operadora, conforme citado, se responsabilizar pela segurança dos dados segundo citado no item “II” acima.
IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º da LGPD: o cumprimento de obrigação legal ou regulatória pelo Controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados e para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Antes da regulamentação da ANPD, as Operadoras de Plano de saúde devem inserir cláusulas em seus contratos que garantam que o agente de tratamento localizado no exterior está em aderência à legislação de proteção de dados em seu país de origem e à LGPD, bem como solicitar evidências de que o mesmo trata os dados de forma adequada, solicitando Certificações Internacionalmente reconhecidas de privacidade e proteção de dados (Ex.: ISO 27000).
Dependendo da situação, pode ser recomendável exigir do operador localizado no exterior um seguro contra crimes cibernéticos e, além disso, no contrato deve ser definido como os dados serão descartados após o fim da relação contratual.
Sim. Conforme previsto no Artigo 5º, inciso X¹ da LGPD a transmissão, processamento, arquivamento, armazenamento e transferência são classificados como tratamento de dados.
Além disso, o inciso XV² do artigo citado define que transferência internacional de dados é transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Assim, quando uma Controladora utiliza nuvem no exterior para transferência e armazenamento de dados, ela está fazendo uma transferência internacional de dados.
¹Art. 5º Para os fins desta Lei, considera-se:
[…]
X – Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
[…]
²XV – Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Na hipótese de utilização de nuvem no exterior para armazenamento de dados a base legal recomendada para esse tratamento é o consentimento, conforme previsto no inciso VIII do Artigo 33[1].
Neste modelo consta um exemplo de cláusulas de consentimento para transferência internacional de dados
De toda forma, diante da dificuldade de se conseguir o consentimento recomenda-se que a Operadora de Plano de saúde faça os seguintes questionamentos antes de proceder com a transferência internacional dos dados, com base na orientação do Guia de Proteção de Dados Pessoais para Transferência Internacional elaborado pela Fundação Getúlio Vargas[2]:
1 – A transferência é estritamente necessária para cumprimento da finalidade almejada?
2 – Há outro modo de se alcançar essa finalidade?
Caso o tratamento seja estritamente necessário, não havendo outro modo de consecução da sua finalidade, prosseguir à próxima pergunta.
3 – A transferência será feita para país com nível de adequação coerente com aquele estabelecido pela LGPD, avaliado pela ANPD?
(art. 33, I, da LGPD.[3] Em caso negativo prosseguir.
4 – O Controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos dos titulares e do regime de proteção de dados previstos na LGPD? (art. 33, II da LGPD[4]) Por meio de quais instrumentos?
Em caso negativo prosseguir.
5 – A transferência tem como base alguma outra hipótese autorizativa prevista nos incisos III a IX do art. 33 da LGPD[5]?
Em caso negativo, a transferência não pode ser realizada.
[1] Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos: […]
VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou”.
[2] Fundação Getúlio Vargas, Guia de Proteção de Dados Pessoais – Transferência internacional, versão 1.0 – Outubro, 2020
https://portal.fgv.br/sites/portal.fgv.br/files/u12834/guia_transferencia_internacional.pdf
[3] “Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
[4] II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
- a) cláusulas contratuais específicas para determinada transferência;
- b) cláusulas-padrão contratuais;
- c) normas corporativas globais;
- d) selos, certificados e códigos de conduta regularmente emitidos.
[5] III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V – quando a autoridade nacional autorizar a transferência;
VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.”
Caso a operadora de plano de saúde opte em fazer uma transferência internacional de dados, é recomendável que certifique se o país de destino proporciona grau de proteção adequados à LGPD. Conforme tabela abaixo elaborada pela CNIL/França¹ é possível ver o grau de adequação de alguns países:
¹FRANÇA. Comissão Nacional de Informática e Liberdade, CNIL. Data protection around the world (07/02/2022). Disponível em: https://www.cnil.fr/en/data-protection-around-the-world. Acesso em: 1 jul. 2022.
Segundo a própria LGPD (art. 41, §3º), a Autoridade Nacional poderá estabelecer normas complementares sobre as hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Isso foi feito na Resolução CD n. 2/22, que estabeleceu a dispensa da necessidade de um encarregado para agentes de pequeno porte.
Contudo, observando a Resolução CD n. 2/22, apesar das autogestões serem entidades sem fins lucrativos, é certo que não estarão abarcadas pelo tratamento diferenciado da referida norma. A um, pois algumas autogestões superam o teto da receita bruta permitido pelo art. 3º, inciso II, que é de R$ 4.800.000,00. A dois, pois, mesmo que não superado este teto, dificilmente, seja pelo volume ou pela criticidade as autogestões conseguiriam superar as barreiras previstas no art. 4º da Resolução CD n. 2/22 para a afastar o enquadramento de seus tratamentos como de alto risco, conforme os critérios gerais e específicos ali envolvidos. Pode-se, inclusive, usar como parâmetro na área da saúde as diretrizes das Guidelines on Data Protection Impact Assessment (DPIA) da EDPB, que define quais agentes realizam tratamentos de menor risco e, portanto, não necessitariam de um relatório de impacto. Os agentes da área da saúde ali descritos que não necessitam de um relatório de impacto possuem dimensão muito menor do que operadoras de planos de saúde.
Por fim, entendemos que a ideia de incluir o DPO previsto na CBO sob a designação de “Oficial de proteção de dados pessoais” (código 1421-35) foi a de regulamentar a função de encarregado prevista no art. 41 da LGPD. A CBO trouxe competências ampliativas, a nosso ver, ao definir para o DPO funções que não estão previstas na LGPD, como planejar “processos financeiros”. Assim, caberá ao agente de tratamento observar o devido alinhamento da função com a LGPD e até evitar conflitos ou desvios da função.
Não existe uma regra sobre como o DPO deve ser alocado, o que irá variar de acordo com o porte, estrutura, finalidade e recursos de uma organização. Entendemos que para a garantia da sua independência, seria fundamental que o DPO não ficasse alocado dentro de setores que ele mesmo ficará responsável por fiscalizar, como a tecnologia da informação. Por isso, o ideal em uma operadora de planos de saúde é que a sua alocação seja assemelhada a do ouvidor (RN 323 da ANS). De toda sorte, se o DPO for alocado no setor de TI, seria importante que não houvesse subordinação com o chefe do setor, e que a sua vinculação fosse direta com a alta administração.
O papel do DPO é o de recomendar e dar conselhos, que poderão ser seguidos ou não pelo controlador ou operador.[1] O CNIL ressalta que o papel do DPO é dar conselhos e suporte à proteção de dados, disseminar a cultura da privacidade, monitorar o compliance, ser o ponto de contato da organização em relação a assuntos relativos a legislação, e assegurar a documentação do processamento de dados.[2] Quem efetivamente decide sobre as questões relativas a privacidade e/ou segurança é o agente de tratamento, ou seja, quem está à frente da operadora de planos de saúde.
Um detalhe muito importante é o de que nos casos das autogestões a governança é exercida por um Conselho Deliberativo na forma do estatuto, e a partir de suas diretrizes a Diretoria executa as tarefas, tomando decisões mais relacionadas ao dia a dia. Entendemos que essa mesma visão deverá ser aplicada para a privacidade nas autogestões, deixando a cargo do conselho as decisões mais estruturais (como aprovar uma Política de Privacidade) e da Diretoria as decisões mais próximas, como alocar recursos, tomar decisões imediatas, etc.
[1] UNIÃO EUROPÉIA. European Data Protection Board. Guidelines on Data Protection Officers (‘DPOs’). Bruxelas, Bélgica: 2017, p. 23 e 24. Disponível em: file:///C:/Users/luizp/Downloads/wp243_rev_01_en_D8C7A64C-9064-B4B5-543CB5093ACA4937_44100%20(2).pdf. Acesso em: 1 jul. 2022.
[2] FRANÇA. Comissão Nacional de Informática e Liberdade, CNIL. Practical Guide on DPO: Data Protection Officers. Paris, França: 2022, p. 4 a 8. Disponível: https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf. Acesso em: 1 jul. 2022.
Sim. Isso é recomendado pela EDPB, CNIL e outras entidades. Essa ressalva pode ser feita por meio de um Relatório de Impacto (quando cabível) ou de algum modo formalizado, como um e-mail interno, relatório interno ou outro meio. O DPO Handbook Guide alerta que é natural que o DPO se envolva em tarefas que seriam, na verdade, de competência do controlador, pois será procurado pela alta administração para fazer tais tarefas em virtude da sua expertise.[1] Isso ocorrerá, por exemplo, quando o controlador precisar tomar uma decisão e, ao se sentir inseguro, resolver deixar a decisão a cargo exclusivamente do DPO.
Para resolver esta questão, recomenda-se a utilização de técnicas como a matriz RACI[2] para demonstrar a segregação de responsabilidades e fazer uma conscientização sobre os papéis.[3]
[1] KORFF, Douwe; GEORGES, Marie. The DPO Handbook: Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation. Roma, Itália: T4DATA Programme, 2019, p. 141.
[2] Responsible, Accountable, Consulted e Informed.
[3] KORFF, Douwe; GEORGES, Marie. The DPO Handbook: Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation. Roma, Itália: T4DATA Programme, 2019, p. 142.
No trabalho “Guidelines on Data Protection Officers”, a EDPB estabeleceu que não é o DPO o responsável pela adequação da organização à proteção de dados, mas sim o controlador ou operador.[1] A ANPD entende nessa mesma linha e, inclusive, reformou o seu Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, retirando a menção de que o encarregado seria o responsável pela adequação da LGPD nas organizações.[2]
Entendemos que, muito embora uma mesma pessoa possa desempenhar as duas funções — o que muitas vezes ocorre em uma autogestão — existe uma importante diferença entre o DPO e o gestor de privacidade. O gestor de privacidade é a pessoa, submetida a organização, que é responsável pela criação e gestão de um Programa de Governança em Privacidade (art. 50 da LGPD). O DPO é o agente independente responsável aceitar reclamações e comunicações dos titulares, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas, e até executar atividades determinadas pelo controlador, mas sempre com a autonomia que a função garante.
Entretanto, de modo a atingir melhor regulação e aplicação da LGPD âmbito das autogestões, independente de tais funções, sugere-se a criação de um Comitê de Privacidade e Segurança, esse composto ao menos pelo encarregado de dados, gestor de privacidade (quando houver), jurídico e gestor de segurança (TI). Este Comitê deverá ter uma estrutura permanente compartilhando a responsabilidade pela adequação da operadora à LGPD. Além desses cargos, é importante que uma equipe multidisciplinar composta por vários stakeholders da organização também participem desse Comitê, e que este grupo possa observar os diversos aspectos da aplicação da LGPD, tanto no âmbito legal quanto no prático.
[1] UNIÃO EUROPÉIA. European Data Protection Board. Guidelines on Data Protection Officers (‘DPOs’). Bruxelas, Bélgica: 2017, p. 23 e 24. Disponível em: file:///C:/Users/luizp/Downloads/wp243_rev_01_en_D8C7A64C-9064-B4B5-543CB5093ACA4937_44100%20(2).pdf. Acesso em: 1 jul. 2022.
[2] BRASIL. Autoridade Nacional de Proteção de Dados – ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado: versão 2.0 do Guia Orientativo. Brasília: ANPD, 2022, p. 22 a 26.
Segundo o Guia do CNIL, o DPO deve se reportar ao mais alto nível de liderança da organização, para quem ele deverá enviar relatórios periódicos.[1] No trabalho “Guidelines on Data Protection Officers” da EDPB, é aconselhado ainda que o seu trabalho seja constante e diretamente apoiado pela alta administração, inclusive a nível de conselho. Além disso, ele deve ser convidado a participar de reuniões regulares de gerência intermediária e sênior.[2] Uma diretriz a ser utilizada por analogia pelas operadoras é a do art. 3º da RN 323 da ANS, que ao regulamentar a posição do ouvidor na organização afirma que lhe deve ser garantido, dentre outras questões: a) a vinculação ao representante legal da operadora, respeitada a estrutura organizacional de cada operadora, b) constituição de equipe de trabalho, capaz de atender o fluxo de demandas, com dedicação exclusiva para exercício na unidade, c) instituição de canal ou de canais específicos para atendimento, d) garantia de acesso às informações de quaisquer áreas técnico-operacional da operadora.
O Guia da ANPD estabelece que “como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições”.[3] O Garante Della Privacy estabelece a necessidade de que o DPO receba o apoio adequado em termos de recursos financeiros, infraestrutura e, se for caso disso, de pessoal.[4] O mesmo é dito pela ANPD em seu Guia Orientativo.[5]
[1] FRANÇA. Comissão Nacional de Informática e Liberdade, CNIL. Practical Guide on DPO: Data Protection Officers. Paris, França: 2022, p. 32. Disponível: https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf. Acesso em: 1 jul. 2022.
[2] UNIÃO EUROPÉIA. European Data Protection Board. Guidelines on Data Protection Officers (‘DPOs’). Bruxelas, Bélgica: 2017, p. 13 e 14. Disponível em: file:///C:/Users/luizp/Downloads/wp243_rev_01_en_D8C7A64C-9064-B4B5-543CB5093ACA4937_44100%20(2).pdf. Acesso em: 1 jul. 2022.
[3] BRASIL. Autoridade Nacional de Proteção de Dados – ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado: versão 2.0 do Guia Orientativo. Brasília: ANPD, 2022, 23.
[4] FRANÇA. Garante Per La Protezione Dei Dati Personale. Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato. Disponível em: https://www.gpdp.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato. Acesso em: 1 de jul. 2022.
[5] BRASIL. Autoridade Nacional de Proteção de Dados – ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado: versão 2.0 do Guia Orientativo. Brasília: ANPD, 2022, p. 23.
A ANPD define em seu Guia que, no que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador, levando em conta conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.[1]
O “DPO Handobook Guide” estabelece que o DPO deverá ter conhecimento expert na legislação e em suas atividades. O guia afirma que o DPO deve também ter um excelente conhecimento sobre como a instituição para a qual ele foi apontado funciona, e a importância do conhecimento técnico sobre sistemas de TI. Deverá ainda conhecer sobre sistemas de gerenciamento e tratamento de dados, tipos de software, arquivos, sistemas de armazenamento de dados, bem como padrões de confidencialidade, de modo que ele possa fazer um controle adequado de projetos de TI.[2]
Na França, o CNIL não estabelece uma certificação específica, mas sim recomenda um estudo geral com base em seus próprios materiais e cursos, bem como outras fontes que garantam o conhecimento necessário para o exercício da atividade.[3] Na Itália, o Garante Della Privacy não obriga o DPO a possuir nenhum certificação específica deve ter um conhecimento aprofundado da legislação e das práticas relativas à proteção de dados pessoais, bem como das normas e procedimentos administrativos que caracterizam o setor específico de referência.[4]
[1] BRASIL. Autoridade Nacional de Proteção de Dados – ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado: versão 2.0 do Guia Orientativo. Brasília: ANPD, 2022,.23.
[2] KORFF, Douwe; GEORGES, Marie. The DPO Handbook: Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation. Roma, Itália: T4DATA Programme, 2019, p. 126 e 127.
[3] FRANÇA. Comissão Nacional de Informática e Liberdade, CNIL. Practical Guide on DPO: Data Protection Officers. Paris, França: 2022, p. 42. Disponível: https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf. Acesso em: 1 jul. 2022.
[4] FRANÇA. Garante Per La Protezione Dei Dati Personale. Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato. Disponível em: https://www.gpdp.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato. Acesso em: 1 de jul. 2022.
Não há uma formação específica a nível acadêmico ou profissional. É importante que o DPO possua conhecimentos específicos sobre o setor de saúde suplementar, em especial as Resoluções Normativas da ANS que fundamentam requisitos de tratamento das informações, normas de segurança e de privacidade a serem observadas no referido setor. Exemplos são as Resoluções Normativas n. 501, 507, 509, todas da ANS dentre várias outras. Entendemos ainda que ter a vivência e experiência dentro da rotina da saúde suplementar será um diferencial importante para que o encarregado possa averiguar situações que muitas vezes não lhe são repassadas, como a coleta de alguns tipos de dados sensíveis indiretos, dentre outras.
Segundo o Garante Della Privacy, quando o DPO é uma figura externa à organização, não se mostra compatível com a sua independência que ele realize funções com conflitos de interesses como provedor de serviços de TI, software-house, etc.[1]
O CNIL afirma que não há impedimento que um advogado atue como DPO desde que ele não atue em casos que importem em decisões sobre o tratamento dos dados que ele está fiscalizando.[2]
Entendemos ainda que as mesmas funções que geram conflitos para um DPO interno também devem ser evitadas. Por exemplo, não é aconselhável que uma empresa externa que preste serviços de tecnologia da informação para o controlador também seja o seu DPO.
A ANPD ainda afirma que “conquanto a LGPD não impeça que um mesmo encarregado atue em nome de diferentes organizações, é importante que ele seja capaz de realizar suas atribuições com eficiência”. Portanto, o controlador deve considerar antes de apontar um encarregado se ele será mesmo capaz de atender às suas demandas e às de outras organizações concomitantemente.
[1] FRANÇA. Garante Per La Protezione Dei Dati Personale. Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato. Disponível em: https://www.gpdp.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato. Acesso em: 1 de jul. 2022.
[2] FRANÇA. Comissão Nacional de Informática e Liberdade, CNIL. Practical Guide on DPO: Data Protection Officers. Paris, França: 2022, p. 18. Disponível: https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf. Acesso em: 1 jul. 2022.
A ANPD estabelece em seu Guia Orientativo de Agentes de Tratamento que é recomendado que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.[1]
Segundo o Garante Della Privacy, a função de DPO pode ser exercida por um funcionário do proprietário ou gerente (sem conflito de interesses) que conheça a realidade operacional em que os tratamentos ocorrem. A escolha deverá ocorrer por meio de ato de designação específico.[2] O CNIL estabelece ainda que o DPO interno não deve ter qualquer conflito de interesse com a proteção de dados, deve ser qualificado, e deverá ter recursos para desempenhar as suas funções.[3]
Importante que seja criada uma área voltada para a privacidade ou, caso não haja recursos, que o DPO designado seja vinculado a uma área com recursos suficientes para a atuação. Na escolha ainda de um DPO interno, seria importante a escolha de um colaborador com afinidade no assunto como, por exemplo, a jurídica e de tecnologia.
Modelo de Nomeação de Encarregado.
[1] BRASIL. Autoridade Nacional de Proteção de Dados – ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado: versão 2.0 do Guia Orientativo. Brasília: ANPD, 2022, 23.
[2] FRANÇA. Garante Per La Protezione Dei Dati Personale. Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato. Disponível em: https://www.gpdp.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato. Acesso em: 1 de jul. 2022.
[3] FRANÇA. Comissão Nacional de Informática e Liberdade, CNIL. Practical Guide on DPO: Data Protection Officers. Paris, França: 2022, p. 24. Disponível: https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf. Acesso em: 1 jul. 2022.