LGPD – BSH Blawg

Setor farmacêutico e o tratamento de dados pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) vem publicando uma série de pareceres técnicos envolvendo questões específicas sobre o tratamento de dados. Um exemplo recente é a nota técnica com constatações sobre o tratamento de dados pessoais e dados pessoais sensíveis no setor farmacêutico, compreendendo tanto as indústrias farmacêuticas quanto as empresas intermediadoras e varejistas (farmácias). O documento relata as investigações que a ANPD conduziu nos últimos anos em relação ao setor e aponta possíveis medidas que serão adotadas pela autarquia.

Início das avaliações

O setor farmacêutico foi um dos primeiros a merecer atenção especial da ANPD por conta de diversas denúncias na mídia, pela provocação do Instituto Brasileiro de Defesa do Consumidor (Idec), e em razão de diversas reclamações de titulares feitas à Autoridade.

Nesse cenário, a ANPD se reuniu com associações que representam parcela significativa do setor farmacêutico: Abrafarma (Associação Brasileira de Redes de Farmácias e Drogarias), Febrafar (Federação Brasileira das Redes Associativas e Independentes de Farmácias), Abrafad (Associação Brasileira das Redes Associativas de Farmácias e Drogarias) e ABCFarma (Associação Brasileira do Comércio Farmacêutico). Por meio dessas reuniões, obteve-se um entendimento de como funcionam (i) os Programas de Benefícios em Medicamentos – PBMs, (ii) os convênios e (iii) os programas de fidelização, seja por ofertas exclusivas, publicidade ou programas de pontos.

Depois dessas reuniões iniciais, a ANPD analisou as políticas de privacidade disponibilizadas por diversas empresas do setor.

Constatações da ANPD

Pontos de atenção elencados pela ANPD

A ANPD demonstrou uma preocupação quanto ao desrespeito de princípios da LGPD, destacando-se os princípios da necessidade, adequação, transparência e finalidade.

Outra preocupação demonstrada pela ANPD refere-se à capacidade das empresas do setor de atender os direitos dos titulares de dados, de forma simples e acessível. Em especial, os direitos de acesso dos titulares e oposição ao tratamento de dados foram aspectos que mais se destacaram negativamente.

Também não ficou claro para a ANPD se as medidas de segurança adotadas pelos agentes de tratamento do setor farmacêutico são suficientes para proteger os dados pessoais coletados.

Todas as preocupações apontadas no documento se tornam mais relevantes e graves, se considerarmos que a associação e cruzamento dos dados coletados no contexto farmacêutico podem gerar dados de natureza sensível, relacionados à saúde e vida sexual do titular.

Próximos passos – medidas urgentes de adequação

A Coordenação-Geral de Tecnologia e Pesquisa encaminhou a nota técnica para apreciação da Coordenação-Geral de Fiscalização, de modo que eventuais medidas cabíveis possam ser tomadas, nos termos da Resolução CD/ANPD n. 1, de 28 de outubro de 2021. Não será surpresa se o setor farmacêutico passar a ser objeto de atenção especial da Coordenação-Geral de Fiscalização.

Pelo teor da nota técnica, está claro que a medida mais urgente e imediata para fins de adequação é a revisão das políticas e avisos de privacidade disponibilizados por cada agente de tratamento aos titulares. Em um segundo momento, a realização de uma revisão aprofundada das práticas de tratamento de dados, com registro formal das avaliações que foram realizadas para justificar o tratamento de dados pessoais e dados pessoais sensíveis por cada agente de tratamento, seria a medida esperada e recomendada.

Cabe lembrar que a ANPD já disponibilizou o regulamento sobre aplicação de sanções administrativas e pode, portanto, punir quem infringir a LGPD com multas e publicação da infração, além de outras medidas mais severas que podem implicar a suspensão do tratamento de dados.

Fontes
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-nota-tecnica-sobre-tratamento-de-dados-pessoais-no-setor-farmaceutico/NotaTecnica4Atualizada.pdf/view

Open banking no Brasil: Bacen publica comunicado, dando início à implementação do sistema

O Banco Central do Brasil publicou em 24.04.2019 o Comunicado 33.455, dando início à implantação do Open Banking – Sistema Financeiro Aberto.

O que é Open Banking?

O Open Banking, referido pelo Banco Central do Brasil como Sistema Financeiro Aberto, é um sistema que permite que dados e serviços de clientes de instituições financeiras tradicionais sejam compartilhados com outras empresas por meio de API abertas. O compartilhamento pressupõe autorização do cliente – já que todo o sistema se baseia no princípio de que os dados bancários pertencem ao cliente.

Um exemplo no Brasil mais próximo ao conceito de compartilhamento de dados, um dos pilares do open banking, é o do aplicativo Guiabolso. Por meio do acesso aos extratos de contas bancárias e cartões de crédito de seus usuários, o app funciona como um guia financeiro, organizando e categorizando as transações, além de oferecer outras funcionalidades como monitoramento do CPF do usuário e possibilidade de contratação de crédito.

O Open Banking já é uma realidade no exterior

É fato que o Open Banking veio para ficar. Em recente painel promovido pela Capital Aberto e o BSH Law, constatamos ainda que a expectativa de fintechs, bancos tradicionais e especialistas em regulação é de que o Open Banking promoverá uma mudança mais profunda para população desbancarizada brasileira (em 2018, cerca de 60 milhões de brasileiro não possuíam conta em banco, segundo o IBGE). Espera-se que o Open Banking democratize principalmente o acesso a serviços de pagamento e linhas de crédito.

No exterior, o Open Banking já é uma realidade. A União Europeia, por exemplo, já adota uma série de normas que regulam a atividade (como a PSD2 – Payment Services Directive), tratando desde os protocolos mínimos de segurança a serem observados tanto por bancos como pelas aplicações OTT (como são conhecidos os aplicativos de open banking por serem “over the top”), até a questão da neutralidade no tratamento das OTTs pelas instituições financeiras e da responsabilidade pelo custo da aplicação e vazamento de dados.

O que se pode esperar no Brasil, a partir do Comunicado 33.455 do Bacen?

O Comunicado ressalta, logo em seu início, que a implementação do Open Banking “tem como objetivo aumentar a eficiência no mercado de crédito e de pagamentos no Brasil, mediante a promoção de ambiente de negócio mais inclusivo e competitivo, preservando a segurança do sistema financeiro e a proteção dos consumidores”. A discussão sobre a regulação para o Open Banking ganha contornos mais relevantes, também, em razão da LGPD – Lei Geral de Proteção de Dados, cuja entrada em vigor está prevista para agosto de 2020.

Espera-se que os atos normativos do Bacen sejam submetidos à consulta pública já no 2º semestre de 2019. O Comunicado menciona ainda iniciativas de autorregulação das instituições participantes (bancos, instituições de pagamento e demais instituições autorizadas a funcionar pelo Bacen) em relação a padronização tecnológica, processos operacionais e padrões e certificados de segurança.

Para os entusiastas do Open Banking que o enxergam como uma ferramenta essencial para democratizar os serviços financeiros e fomentar um ambiente de negócios mais competitivo e transparente, a regulação do Bacen será bem-vinda, sobretudo se não dificultar o acesso de novos players para fornecer o recurso.

Sancionada a Lei Geral de Proteção de Dados Pessoais – veja o que foi vetado e o que isso significa na prática

Foi sancionada a Lei Geral de Proteção de Dados Pessoais – LGPD. O projeto de lei nº 53/2018 foi convertido na Lei nº 13.709 de 14 de agosto de 2018. A partir de agora, empresas e empresas públicas terão 18 meses para se adaptar aos novos padrões de proteção de dados pessoais.

Uma análise detalhada sobre o que a nova LGPD determina pode ser encontrada aqui. Nesse artigo, abordaremos o que foi vetado do PLC 53/2018 e não chegou a virar lei, bem como as implicações desses vetos. Os vetos podem ser divididos em três categorias (a) vetos de obrigações que seriam aplicáveis às pessoas jurídicas de direito público, limitando o compartilhamento de dados pessoais pelo Poder Público; (b) vetos de penalidades previstas na lei; e (c) vetos à criação da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

Mais flexibilidade para compartilhamento de dados pelo Poder Público. Foram vetados alguns dispositivos que proibiam o Poder Público de compartilhar dados no âmbito do Poder Público e com pessoas jurídicas de direito privado, ou que impunham severas restrições para que o Poder Público pudesse realizar esse compartilhamento. Com o veto, o Poder Público poderá compartilhar dados nos termos da LGPD, sem obrigatoriedade de previsão legal específica que o permita ou contrato, convênio ou instrumento similar que respalde essa transferência.

Ainda, foi vetada a obrigação do Poder Público dar publicidade sobre a comunicação ou uso compartilhado de dados pessoais entre órgãos e entidades de direito público. Com isso, o Poder Público poderá compartilhar dados de forma mais ampla, sem precisar informar ativamente sobre esse compartilhamento.

Vetadas algumas sanções. Foram vetadas algumas penalidades previstas no PLC 53/2018, e mantidas as situações que levam à dosimetria dessas sanções e que podem levar a uma pena mais severa ou mais branda. Foram excluídas as hipóteses de o infrator ser punido com a suspensão do funcionamento do banco de dados; com suspensão do exercício da atividade de tratamento; e com a proibição do exercício de atividades relacionadas com o tratamento. Dessa forma, somente serão bloqueados ou eliminados os dados específicos relacionados com a infração. Será necessário identificar e segregar esses dados do resto da base de dados do infrator e aguardar que todos os dados armazenados sejam comprometidos para que a atividade seja suspensa.

Autoridade Nacional de Proteção de Dados. A Presidência da República alegou vício de iniciativa com relação a criação da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Afirmou que apenas o Poder Executivo poderia criar uma autoridade de fiscalização. A criação por lei de iniciativa do Poder Legislativo, portanto, violaria essa norma constitucional.

Alegando querer evitar maiores discussões sobre o tema da iniciativa e constitucionalidade da criação da ANPD, os artigos relacionados foram vetados sob a promessa de que a Presidência da República encaminhará um projeto de lei para criar autoridade semelhante à prevista no Projeto 53/2018 (ANPD). Se essa autoridade, ou outra empresa não for criada até a entrada em vigor da LGPD, alguns de seus dispositivos permanecerão sem regulamentação necessária. E mais: a fiscalização da aplicação da LGPD pode ficar prejudicada.

Todas as demais disposições da LGPD permaneceram no texto final. A partir de hoje, 15 de agosto de 2018, data da publicação da LGPD, começa a ser contado o prazo de dezoito meses para que empresas, públicas ou privadas, se adequem ao texto legal. Aqueles que não cumprirem os dispositivos legais estarão sujeitos a penalidades que irão desde advertência até multa que pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais).