a gente falou do controlador e do operador então eu vou falar também das obrigações desses agentes de tratamento por se o titular tem direito o controlador e e o e o e o operador tem obrigações Quais são as obrigações aplicáveis ao controlador são as maiores responsabilidades ele é obrigado a fazer a notificação de incidentes para quem Para npd gente quando vocês veem uma empresa falando assim conect SUS vazou dados há um tempo atrás foi o que me veio agora aí ele informa informamos que vazaram 50 5 milhões de dados do Connect SUS ele não tá
avisando porque ele é bonzinho ele tá avisando que ele é obrigado a avisar primeiro ele tem que notificar a autoridade Nacional de Proteção de dados sobre o vazamento e ele tem que fazer essa notificação formal para ela e tem que comunicar aos titular de dados ele tem que fazer gente o o relatório de impacto à proteção de dados esse documento aí ele ele junto com eu Eu não coloquei o outro aí mas esse documento relatório de impacto a proteção de dados junto com o registro de operações de tratamento eles são os documentos mais importantes que
a clínica tem que ter guardem isso tá quando vocês forem contratar uma consultoria para fazer a adequação da Clínica vocês vão cobrar esse esses dois documentos eles comprovam que a clínica está adequada recentemente todas todas as consultorias fazem isso e todos os dpos fazem isso eh eu como DPO Eu encaminhei pro grupo de a gente chama de colaboradores que são aquelas pessoas com quem eu tenho interação no tratamento de dados Eu encaminhei para todos os colaboradores um documento chamado Du diligence esse documento é uma série de perguntas que a clínica precisa responder para mim aí
ela vai respondendo uma série de perguntas ela vai respondendo pois ela manda para mim eu sou obrigada a fazer isso como encarregada de dados ela manda mim E aí eu vou analisar Tudo Que Ela respondeu E aí quando eu analisar eu vou jogar em uma planilha que eu vou entender o grau de risco que ela oferece na nossa relação porque a gente pode ser juntas naquele tratamento de dados có controlador ou controlador e operador quando eu analiso eu vou ligar para para aquele oradora e vou falar me encaminho o seu relatório de impacto a proteção
de dados por quê Porque é o seu relatório de impacto que eu vou juntar no meu relatório de impacto e vou ficar garantida em relação ao grau de risco que eu corro aí eu fico assegurada entendem então é obora sim Oi doutora nós temos uma pergunta aqui stepan Ah desculpe gente eu tava com a tela cheia eu não vi pode pode perguntar eh eu só perdi tava anotando as coisas que você tava explicando Quais são os dois desculpa eu vou te pedir para iniciar novamente que teve um uma interrupção ah eh aquela hora que você
falou que teria que saber dois documentos específicos eu perdi o nome dele só porque eu tava anotando as coisas sim os documentos são eh são vários tá gente porque senão vocês vão falar assim ah D Aline falou que é tem dois documentos não são vários mas os dois mais importantes são o riped a sigla é r i p d i riped relatório de impacto a proteção de dados d o d muda né relatório de impacto à proteção de dados tá esse documento é obrigatório a sua Clínica tem que fazer esse documento e ela vai colocar
neste relatório de impacto todo o risco que ela corre em todas as suas relações então suponha O que que você vai pôr no seu relatório é claro gente que não é é necessário conhecimentos mais técnicos para fazer esse relatório né Eu não tô falando que é para vocês fazerem estou dizendo que ele é obrigatório então vejam bem lá no relatório de impacto eu vou colocar eu tenho uma relação com a Unimed que é uma operadora de saúde Qual é o grau de risco aí eu vou colocar e eu vou ter feito do diligence com a
Unimed também é um efeito Cascata vai ficar todo mundo envolvido entende por isso que uma hora isso chega na npd porque alguém vai ter que mandar o relatório de impacto então voltando à pergunta da stepan relatório de impacto a proteção de dados e o outro é o roupa a sigla é roupa registro registro de operações de tratamento de dados por gente não dava para ficar tão fácil assim pra gente embora a lei geral de proteção de dados ela seja uma lei que tem um caráter muito mais preventivo do que repressivo mas ela nos obriga a
registrar todos os tratamentos de dados isto significa dizer que todas as operações serão mapeadas dentro da sua Clínica dentro a sua Clínica e eu vou ter que fazer esse relatório de operação de tratamento de dados lembra que lá no slide anterior a gente falou da do direito do titular de ter acesso aos dados tratados eu não vou só dizer para ele quais são eu tenho que mostrar o relatório de operação de tratamento de dados entendem Esses são os documentos mais importantes e ainda é obrigação do controlador eu não sei se vocês sabem mas a lei
geral de proteção de dados além de todas as questões que ela regulamentou ela criou uma profissão eu disse para vocês que eu sou de o que que é o DP ele é o encarregado de dados é uma profissão criada pela lei Geral de proteção de dados e todas as pessoas jurídicas que tratam dados com finalidade Econômica tem que ter um encarregado de dados quem esta figura o nome dela tem que estar lá no site da sua Clínica Obrigatoriamente se ele não estiver é infração a legislação que que essa pessoa faz responsável por todas as situações
ligadas ao tratamento de dados dentro da Clínica Ela quem convera com a npd e com o titular só ela que conversa com a npd e o titular que é essa figura chamada no Brasil pela lei geral de proteção de dados de encarregado de dados Mas para ficar mais bonito a gente pega lá do gdpr e chama de DPO então o controlador é obrigado a ter esta figura quem pode ser ele ele pode ser um seletista Eu vou contratar este funcionário e ele vai ser o ele tem que ter habilidades específicas ele tem CBO desde 2022
tá quem quiser pesquisar ou ele pode ser um DPO service uma empresa pessoa jurídica que eu contrato e ela vai exercer esse papel e aí tá tudo na mão dela a clínica fica né tranquila porque as responsabilidades são do encarregado de dados Estas são as principais obrigações que a lei traz para para o controlador de dados e o operador de dados o oper de dados junto com o controlador porque é mais pesado para ele ele tem que adotar medidas de segurança aptas a protegerem os dados o que que são medidas de segurança eu estou falando
de medidas de seguranças técnicas Então vou lá chamar o meu ti e vou chamar a segurança da informação e aí nós vamos entender tudo que é feito em termos técnicos para proteção dos dados eu tenho por exemplo um antivírus quado todas as minhas eh os meus softwares são licenciados e São originais Eu tenho um backup seguro porque perder dado de titular de dado de paciente de pai de paciente de funcionário é incidente de segurança então eu tenho um backup adequado seguro se pegar fogo na minha clínica eu vou ficar prejudicado em termos de proteção dos
dados das pessoas e então eu tenho que criar medidas técnicas de segurança ele tem que adotar medidas jurídicas de segurança Quais são as medidas jurídicas isso tudo que eu falei com vocês aqui agora o especialista em proteção de dados ele vai escrever isso lembra que eu falei da autorização legal ninguém lança dado de paciente sem hipótese legal específica então quando eu falo eu trato o dado do paciente com base em qual autorização legal consentimento todo mundo acha que só existe um consentimento o consentimento é uma base legal que eu não recomendo na maioria das vezes
nas empresas das quais eu sou de po eu faço uma uma triagem o último que eu utilizo é o consentimento ele é frágil ele é revogável ele é questionável então eu tenho que saber qual que eu vou usar aí eu vou usar tutela da SA de execução de contrato obrigação legal tá tudo lá na lei e eu vou lançar onde lá no roupa que é o documento obrigatório porque a hora que alguém bater na minha porta seja por denúncia ou por fiscalização espontânea ou pelo próprio exercício do direito titular eu vou ter que mostrar a
base legal que vai tá escrita lá no meu roco compreendem eu espero que não esteja sendo muito prolixo e técnico mas essa parte ela é assim eu tenho que adotar medidas a administrativas de segurança Quais são as medidas administrativas essas vão competir ao meu gestor Quais são as medidas administrativas aí eu vou criar por exemplo um código de conduta paraa clínica a política da mesa limpa a política do descarte entendem isso tudo é obrigação do controlador e do operador de dados também e o principal deles que é a prestação de conta por a hora que
precisar que acontecer qualquer problema a lei geral de proteção de dados Como eu disse ela é muito mais preventiva do que repressiva ela não vai chegar com os dois pés na sua porta ela vai chegar vai bater delicadamente e vai te perguntar assim e então o problema Até que enfim aconteceu o que que você me mostra aí você vai lá chama o seu encarregado de dados e ele começa a pegar documento e aí ele vai mostrar para npd ele vai mostrar adotei todas as medidas de segurança que me cabiam adotei todas as medidas jurídicas que
me cabiam adotei estas medidas administrativas que eu poderia ter adotado Então está tudo aqui através do meu roupa e do meu riped aí a npd vai dizer assim É de fato você mitigou os riscos então a sua penalidade ela vai ser Branda baixa e você não vai sofrer impacto na sua atividade econômica entendem então Estas são as principais obrigações dos agentes de tratamento bom a gente já tá praticamente partindo para o final e eu não poderia deixar de falar das sanções e das multas as multas é o que as pessoas mais falam em termos de
punição a respeito de descumprimento da lei geral de proteção de dados a multa pode chegar a 50 milhões por incidente gente para uma multa chegar a 50 milhões por incidente A empresa ela tem que tá muito desajustada muito desajustada então a multa não é o maior perigo que a empresa corre nós podemos pensar em outras sanções se eu adotei todas as as medidas eu vou ter uma advertência com prazo para dotar aquilo que eu preciso corrigir mas pensem vocês na questão da publicização uma pequena empresa do Espírito Santo no ano passado ela foi punida todo
mundo ficou sabendo desse assunto por qu a npd entendeu que deveria dar publicidade sobre as más práticas daquela empresa pensem no compli hoje em dia toda empresa que tem uma política de compli bem estabelecida ela tem uma visão no mercado que é diferente em relação àquelas que não tem principalmente empresas que são mais expressivas então se eu faço a publicização da infração eu estou demonstrando LG eh proteção de dados é prática de compliance então se a npd ela lança em todos os meios de comunicação que aquela empresa não tratou os dados de acordo com não
teve com o dado pessoal o cuidado que ela deveria ter isso é um assunto que interessa para todos os adversários para todos os seus concorrentes é uma das penalidades previstas na lei eliminação dos dados pessoais também é uma sanção Ou seja a depender da gravidade praticada você fica sem acesso à aqueles dados ou então com o bloqueio parcial do seu banco de dados agora você imagine se a depender do grau de infração você foi denunciado a npd chegou e você não fez nada na sua Clínica Ela não vai te multar mas ela vai falar assim
eu vou bloquear o acesso aos dados você fica sem atender Crianças vocês entendem isso ah mas o direito à saúde ele se sobrepõe ao direito à proteção de dados migra para outro lugar é muito sério a multa a pecúnia não é o mais grave de todas as sanções são estas olha só o que que é as investigações que foram feitas da feitas da da conduta dessa empresa do Espírito Santo era uma empresa pequena olha só ela foi multada eu até coloquei aqui as condutas ela foi multada por estas quatro infrações é uma das poucas leis
que pune assim ela aplica uma penalidade para cada infração ausência de comprovação de hipótese legal de tratamento lembra que eu falei ninguém mais trata dado de forma aleatória eu preciso ter hipótese legal a empresa não tinha hipótese legal do tratamento ausência de registro de operações Tô falando daquele documento que a stepan perguntou que é o roupa ausência de relatório de impacto de proteção de dados tô falando do riped que é o outro documento obrigatório que a Stephanie perguntou e ausência de quê encarregado de dados se vocês quiserem pesquisar vocês vão lançar lá no Google depois
assim empresa capixaba que empresa capixaba infração lgpd vocês vão ler a matéria na íntegra e vão verificar exatamente eh essa informação que eu passei para vocês
