LGPD na Medicina do Trabalho

sistema SST eSocial

Em menos de dois meses, entra em vigor a Lei Geral de Proteção de Dados Pessoais, até lá, toda e qualquer empresa, seja de caráter público ou privado, que faça tratamento de dados pessoais em território nacional e de indivíduos localizados no Brasil, deverá estar enquadrada na legislação.

Essa lei vem para resolver um problema que se tornou muito comum, principalmente em tempos de grande avanço tecnológico: o abuso no uso de dados. É importante salientar que ela não se restringe apenas ao ambiente digital, mas ao físico também, garantindo que os dados estejam assegurados por meios de medidas técnicas e jurídicas.

Lembrando aqui que tratamento de dados é toda operação realizada com dados pessoais, referente a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, transferência, difusão ou extração.

Segundo a LGPD, esse tratamento precisa ter um resultado único, específico e legítimo. Além disso, o titular (pessoa a quem se referem os dados) deve ter livre acesso a eles, de forma gratuita e ágil. 

O que são dados pessoais?

São dados que tornam possível de identificar ou que seja identificável de alguma pessoa, como por exemplo: nome; RG; CPF; CNH; Geolocalização (GPS); hábitos de consumo, exames médicos, biometria, perfil cultural, entre outros.

Os dados também podem ganhar uma classificação que demanda ainda mais proteção, é o caso dos dados sensíveis. Seriam aqueles que podem causar uma discriminação de alguém, como orientação sexual, origem racial, religião, dados genéticos, opinião política, etc.

Também há o conceito de dado anonimizado, o que era relativo a alguém, mas que se desvinculou da pessoa depois de certas etapas. Nesse caso, a LGPD não se aplica. 

Como a LGPD atua?

A Lei Geral de Proteção de Dados Pessoais não proíbe o tratamento de dados, mas determina como as empresas deverão realiza-lo, por meio de parâmetros estabelecidos para a COLETA, ARMAZENAMENTO E DESTRUIÇÃO, evitando seu mau uso e conferindo a responsabilidade por incidentes de segurança à empresa.

Com isso, ela passa a garantir ao titular:

  • Proteção à privacidade;
  • Liberdade de expressão, informação, comunicação e opinião;
  • Inviolabilidade da intimidade, honra e da imagem;
  • Desenvolvimento econômico, tecnológico e inovação;
  • Livre iniciativa, livre concorrência e a defesa do consumidor;
  • Direitos humanos, livre desenvolvimento de personalidade, dignidade e exercício da cidadania.

A lei também determina alguns agentes de tratamento, ou seja, pessoa natural ou jurídica, de direito público ou privado, que responderá sobre qualquer incidente e garantirá ao titular a exatidão, clareza, relevância e atualização dos dados.

Controlador: responsável pela tomada de decisões sobre como os dados devem ser tratados;

Operador: realizará o tratamento de dados em nome do controlador.

A LGPD também prevê a criação do cargo de Encarregado / DPO (Data Protection Officer), que é quem fará a comunicação entre o titular e o controlador. Será responsável por receber reclamações, orientar e esclarecer, por meio de um contato simples e de fácil acesso.

Será direito do titular confirmar a existência de tratamento de seus dados pessoais, bem como o acesso, a correção, a anonimização, seu bloqueio ou exclusão, transferência, obtenção de informações sobre compartilhamento dos dados e a revogação do consentimento. 

Como faço para me encaixar dentro da lei:

Ficará a cargo da empresa fornecer meios que deixem claro a concessão para a coleta. Isso pode estar apontado dentro da política de privacidade ou em termos de uso.

Para estar em conformidade com a lei, as empresas deverão providenciar um relatório de impacto à proteção de dados pessoais. Esse relatório, definido como a documentação do controlador, tem o objetivo de mitigar os riscos, por isso, deverá ser realizado antes do tratamento dos dados. Nele, deverá ser descrito os tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações, bem como a análise do controlador com relação às medidas e mecanismos adotados para a redução de riscos.

É importante que a empresa siga um cronograma para ter uma base de trabalho efetiva, iniciando com a conscientização, o mapeamento dos fluxos, plano de ação e adequações técnicas e medidas jurídicas.

E se houver um incidente?

Em caso de algum incidente de segurança, como um vazamento de dados, por exemplo, o controlador deverá informar à autoridade nacional e ao titular, em prazo razoável, determinado pela autoridade, mencionando:

  • Descrição da natureza dos dados afetados;
  • Informações sobre os titulares envolvidos;
  • Indicação de medidas técnicas de segurança utilizadas;
  • Riscos relacionados ao incidente;
  • Os motivos na demora da comunicação, caso não tenha sido imediata;
  • E as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Utilizo o software WOTY, os dados que minha empresa gerencia estão seguros?

Essa deve ser uma das perguntas mais comuns para quem faz uso de um software e a boa notícia é que sim, O WOTY esta 100% em conformidade com a LGPD. Por esse motivo estão seguros. Os dados tratados dentro do WOTY são todos criptografados, garantindo sua total proteção. Além disso, a estrutura do software é baseada e permissões de telas. Isso significa que você pode dizer se um usuário poderá ter acesso a uma determinada informação ou não.