O seu Laboratório é controlador ou operador de dados?

comentários:
Imagem blog TESTE TREINAMENTO Titulares de dados - O seu Laboratório é controlador ou operador de dados?
O seu Laboratório é controlador ou operador de dados?

Em primeira análise, a Lei Geral de Proteção de Dados (LGPD) traz definições muito importantes sobre o tratamento de dados, que influenciam na forma de atuação da lei em várias políticas do seu Laboratório.

Resumidamente, essa definição é que vai ajustar e dividir as responsabilidades dentro da relação entre o seu Laboratório e terceiros, por exemplo.

E, então, o seu Laboratório é controlador ou operador de dados? Você sabe qual é o papel da sua empresa no tratamento de dados dos pacientes?

Em primeiro lugar, vamos entender de onde vêm esses termos e porquê eles são tão importantes. Depois, vamos te mostrar exatamente onde o seu Laboratório se encaixa!

A Lei Geral de Proteção de Dados (LGPD) e o seu Laboratório

A Lei Geral de Proteção de Dados, mais conhecida como LGPD, surgiu em 2018 e demandou muitas mudanças nos processos de diversas empresas.

Neste ponto, isso se deu pois a lei definiu várias regras para o tratamento de dados pessoais, a fim de protegê-los de situações que os levem ao acesso de terceiros não autorizados ou, ainda, de quadros nos quais eles sejam utilizados para fins ilícitos.

Sendo assim, a LGPD define, em seu art. 5º, que dado pessoal é toda “informação relacionada a pessoa natural identificada ou identificável”.

Em outras palavras, qualquer dado que torne uma pessoa identificada ou identificável é considerado um dado pessoal.

Veja mais sobre o que são os dados pessoais e sua importância para a LGPD: O que são dados pessoais e como seu Laboratório de Análises Clínicas deve protegê-los

Nesse sentido, empresas como o seu Laboratório, que tratam diariamente dos dados pessoais dos pacientes, precisaram abrir os olhos para situações que antes passavam despercebidas.

Dados pessoais sensíveis

Além disso, por falar em dados pessoais, os Laboratórios de Análises Clínicas tratam também de dados sensíveis, que são ainda mais frágeis, como, por exemplo:

  • Resultados de exames;
  • Material biológico identificado;
  • Dados clínicos;
  • Lista de exames solicitados;
  • Dado sobre saúde ou vida sexual;
  • Dado genético ou biométrico;

Assim sendo, o vazamento de dados considerados sensíveis pode causar muitos riscos e danos aos seus titulares e ao Laboratório.

Por isso, é tão importante que o Laboratório esteja adequado à LGPD e proteja constantemente esses dados.

Controlador e operador de dados na LGPD

Dessa forma, agora que você já sabe que a sua empresa realiza o tratamento de dados pessoais sensíveis de seus pacientes, é preciso saber se o seu Laboratório é controlador ou operador desses dados.

Em geral, podemos dizer que a LGPD criou a figura de dois agentes de tratamento: o controlador de dados e o operador de dados.

Nesta situação, os agentes de tratamento é que vão manipular os dados pessoais dos titulares durante todo o processo de tratamento.

Antes de entendermos melhor a representação de cada agente de tratamento de dados, é muito importante ter em mente que essa definição tem como base a empresa ou a organização, em seu papel de pessoa jurídica.

Assim, aquele funcionário ou aquela equipe que tratam de dados pessoais dentro da sua empresa não são considerados, de forma isolada, os agentes de tratamento, e sim a empresa como um todo!

Controlador de dados

Para começar, a figura do controlador pode ser encontrada no artigo 5°, inciso VI da Lei Geral de Proteção de Dados.

Sendo assim, controlador de dados é toda pessoa natural ou jurídica de direito público ou privado, a quem cabe as decisões sobre o tratamento de dados pessoais.

Ou seja, o controlador vai decidir tudo o que acontece com esses dados, desde a sua coleta até a sua eliminação.

Então, colocando em outras palavras, pela LGPD, se o Laboratório é o controlador, ele possui o poder de decisão sobre o tratamento de dados.

Vendo isso, esse poder surge por determinação da lei, ou por suas atividades deixarem em evidência um poder de controle sobre a outra parte!

Exemplo de Laboratório como controlador de dados na LGPD

É o que ocorre, por exemplo, quando o seu Laboratório contrata um Escritório de Contabilidade para gerar a folha de pagamento de seus funcionários.

Nesse caso, pela LGPD, o Laboratório é o controlador dos dados, e envia os dados pessoais de seus funcionários para o Escritório, que vai fazer o tratamento com o objetivo de gerar a folha de pagamento da equipe.

Ao mesmo tempo, é o que acontece quando o Laboratório faz um contrato com o chamado Laboratório de Apoio, que faz alguns serviços que a empresa contratante não realiza.

Nessa situação, a instituição que está sendo contratada está limitada a tratar dados de acordo com as determinações do Laboratório contratante, que será o controlador!

Por fim, não podemos esquecer que o seu Laboratório também pode ser um Laboratório de Apoio!

Nesse caso, se sua empresa é um Laboratório de Apoio, será operadora de dados, enquanto o outro Laboratório, que contratou a sua empresa, será o controlador dos dados pessoais.

Em segundo lugar, para entender tudo sobre o operador de dados na LGPD e se o seu Laboratório é um deles, é só seguir para o próximo tópico!

Operador de dados

Por outro lado, de forma semelhante ao que ocorre com o controlador de dados, a definição do operador de dados está no artigo 5°, inciso VII da Lei Geral de Proteção de Dados.

Logo, o operador é aquela pessoa natural ou jurídica, de direito público ou privado, responsável por realizar o tratamento dos dados pessoais em nome do controlador.

Provavelmente, ao falarmos disso, você pensou que tudo anda de acordo com aquele famoso ditado:  “manda quem pode, obedece quem tem juízo”, não é mesmo?

Brincadeiras à parte, não é bem assim!

Sem dúvidas, a atuação do operador apenas está limitada ao que anda de acordo com os interesses do controlador.

Entretanto, na realidade, não se trata de uma relação de completa autoridade, mas significa que o operador não pode desviar da finalidade ou da hipótese de tratamento decidida pelo controlador.

Isso quer dizer que o operador vai apenas fazer o tratamento, e faz isso por meio de suas próprias ferramentas!

Ainda, é muito importante citar que o operador não pode compartilhar esses dados sem a designação do controlador.

Exemplo de Laboratório como operador de dados na LGPD

Para ilustrar, podemos citar um caso no qual o seu Laboratório é contratado para fazer exames médicos ambulatoriais de demandas do Sistema Único de Saúde de determinado Município.

Nesse caso, com base na LGPD, o Laboratório vai ser o operador de dados, por realizar o tratamento dos dados dos pacientes que necessitarem de exames laboratoriais, conforme as determinações do Município.

Mais para frente, ainda vamos ver quais são as responsabilidades do controlador e do operador! Vem com a gente!

Controladoria conjunta

Na sequência, você pode estar se perguntando: É possível que as partes tenham poder de decisão ao mesmo tempo e, assim, sejam controladoras de dados em conjunto?

Então, respondendo à pergunta: Sim!

Dessa forma, é completamente possível que se tenha uma condição de controladoria conjunta! Em vista disso, essa situação pode ocorrer de duas formas:

  • As entidades trabalham e possuem participação conjunta na definição da finalidade e dos meios de tratamento dos dados coletados, ou seja, decidem juntas, com o mesmo propósito, sobre as finalidades e sobre os meios de tratamento;
  • Quando as entidades tomam decisões que são convergentes, mas ao mesmo tempo complementares e importantes em conjunto, já que tem a mesma finalidade, ou seja, o mesmo objetivo.

Para ficar ainda mais claro, podemos falar de um caso no qual o Laboratório e um plano de assistência médica trabalham juntos para atender aos interesses do paciente, que será o titular dos dados tratados.

Nesse exemplo, podemos perceber que ambos têm o mesmo interesse, que é dar assistência ao paciente para a tutela da saúde, como autorizar a realização de um exame pelas custas do plano de saúde contratado.

Ainda, o Laboratório e o convênio tomam decisões que convergem entre si, e também se complementam!

Finalmente, depois de entender sobre a diferença entre o controlador e o operador de dados, podemos seguir para o conhecimento de tudo sobre as responsabilidades de cada agente de tratamento de dados!

Responsabilidades dos agentes de tratamento de dados

Anteriormente, vamos falar da responsabilidade civil de cada um dos agentes.

De maneira simplificada, a responsabilidade civil é a responsabilidade de reparar um dano causado à terceiro, como acontece no caso de um incidente de vazamento de dados, em que o titular do dado é prejudicado.

Nesse viés, a LGPD deixa claro, em seu artigo 44, parágrafo único, que o controlador e o operador devem responder por violações de segurança, que é o que ocorre, por exemplo, quando há um vazamento dos dados dos titulares. Assim:

Art. 44 (…)

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.”

Dito isso, o controlador tem responsabilidade civil ampla e solidária, respondendo pelos seus atos e também pelas ações dos operadores, já que elas correm de acordo com os seus interesses.

Por outro lado, o operador terá responsabilidade solidária quando não seguir a LGPD ou ir contra alguma das instruções do controlador.

Por isso, quando operador causa um dano ligado ao tratamento dos dados pessoais por algum desses motivos, é responsabilizado.

Além disso, a LGPD descreve ainda as responsabilidades específicas para o controlador e para o operador. E é disso que falaremos a seguir!

Responsabilidades do Laboratório que é controlador pela LGPD

  • Atender aos princípios estipulados pela Lei Geral de Proteção de Dados, como:
  1. finalidade
  2. adequação
  3. necessidade
  4. livre acesso
  5. qualidade dos dados
  6. transparência
  7. prevenção
  8. não discriminação
  9. responsabilização e prestação de contas
  • Garantir que os titulares de dados pessoais possam exercer seus direitos em relação aos seus dados, como o livre acesso aos dados, a correção de dados incompletos, dentre outros.
  • Colocar em prática medidas de segurança que garantam a proteção dos dados pessoais que estão em suas mãos
  • Informar incidentes de segurança de dados pessoais, principalmente aos titulares dos dados e à Agência Nacional de Proteção de Dados (ANPD)
  • Tomar nota de todas as suas operações que envolvam o tratamento de dados pessoais, sensíveis ou não.
  • Formular um Relatório de Impacto de Proteção de Dados, que irá descrever aqueles processos de tratamento de dados pessoais que sejam capazes de causar riscos, além de fixar medidas para mitigar esses riscos.
  • Atender às determinações da LGPD sobre a transferência internacional de dados
  • Nomear, junto com o operador, um encarregado de dados (DPO), que funcionará como um meio de comunicação entre o controlador, os titulares dos dados pessoais e a ANPD.

Veja também: Direitos do titulares de dados pessoais nos Laboratórios de Análises Clínicas

Responsabilidades do Laboratório que é operador pela LGPD

  • Atender aos princípios estipulados pela Lei Geral de Proteção de Dados, como:
  1. finalidade
  2. adequação
  3. necessidade
  4. livre acesso
  5. qualidade dos dados
  6. transparência
  7. prevenção
  8. não discriminação
  9. responsabilização e prestação de contas
  • Colocar em prática medidas de segurança que garantam a proteção dos dados pessoais que estão em suas mãos
  • Informar incidentes de segurança de dados pessoais, principalmente aos titulares e à Agência Nacional de Proteção de Dados (ANPD)
  • Tomar nota de todas as suas operações que envolvam o tratamento de dados pessoais, sensíveis ou não.
  • Seguir as instruções do controlador, já que age conforme seus interesses
  • Atender às determinações da LGPD sobre a transferência internacional de dados
  • Nomear, junto com o controlador, um encarregado de dados (DPO), que funcionará como um meio de comunicação entre o controlador, os titulares dos dados pessoais e a ANPD
  • Solicitar a autorização do controlador para envolver outro operador de dados no tratamento.

Adequação do seu Laboratório à LGPD

Portanto, agora que você já sabe tudo sobre os agentes de tratamento de dados e as suas responsabilidades frente à Lei Geral de Proteção de Dados, basta ver se o seu Laboratório é controlador ou operador de dados!

E, ainda, se o seu Laboratório não está adequado à LGPD, é importante que a adequação seja feita o quanto antes, para evitar que um incidente de vazamento de dados acarrete em prejuízos.

Você pode se interessar:

Laboratório é condenado a pagar indenização por vazamento de dados sobre gravidez

Para isso, conte com uma Consultoria especializada em Privacidade e Proteção de dados!

Caso tenha alguma dúvida, entre em contato conosco!

[wpdevart_facebook_comment/* Para remover esta mensagem, instale e configure o plugin WpDevArt Facebook comments (https://wordpress.org/plugins/comments-from-facebook/) em "Plugins > Adicionar Novo" */]

Artigos relacionados