A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais. Seu principal objetivo é proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Dado pessoal é a informação relacionada à pessoa natural identificada ou identificável.

IDENTIFICADA: Quando você fornece seu nome, CPF, RG, CNH, etc.

IDENTIFICÁVEL: Quando informações aparentemente não relacionadas permitem, em conjunto, identificar o indivíduo.

Exemplo: Em uma comunidade indígena existe um senhor de 80 anos com uma doença sexualmente transmissível (DST). Nessa comunidade existe apenas uma pessoa do sexo masculino com 80 anos. Portanto, esse senhor será identificado através de informações indiretas.

Dado pessoal sensível é toda informação que envolve aspectos mais íntimos da vida de um indivíduo, como origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações de cunho religioso, filosófico ou político, dados genéticos, biométricos, sobre a saúde ou vida sexual, orientação sexual, dados relativos a menores de idade, entre outros, que merecem uma proteção especial devido ao seu potencial impacto na esfera privada do titular dos dados.

O titular do dado é o “dono” da informação, ou seja, a pessoa natural a quem se referem os dados que serão objeto de tratamento.

E o que é pessoa natural? É a pessoa viva. A LGPD não trata de dados de pessoas falecidas.

Apesar de usarmos o termo “proteção de dados”, na verdade a proteção não é do dado, mas da pessoa titular dele. O critério de dado pessoal não é de privacidade, mas de identificabilidade.

O espaço de privacidade é aquele que você escolhe com quem compartilhar algo seu. Existe uma diferença entre dados pessoais e dados privados. Saber exatamente o que está sendo feito com os seus dados é autodeterminação informativa: para que, desde quando, até quando, etc.

Controlador: Pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais.

No contexto da Rede Ebserh, a Administração Central e as unidades hospitalares vinculadas atuam como controladores, incumbidos de tomar todas as decisões acerca do tratamento dos dados pessoais e garantir a conformidade das ações e atividades relacionadas a esse processamento.

Encarregado: Pessoa natural inequivocamente designada para essa função, responsável por fazer a intermediação entre o titular dos dados e os agentes de tratamento, bem como entre esses agentes e a Autoridade Nacional de Proteção de Dados (ANPD).

Na Rede Ebserh, as atribuições do Encarregado, descritas nos incisos I a IV do § 2º do art. 41 da Lei nº 13.709/2018, são exercidas pelos titulares dos cargos de Ouvidor. O titular dos dados pessoais pode, a qualquer momento, solicitar informações ao Encarregado sobre os dados tratados pela instituição, utilizando os canais de contato da Ouvidoria.

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Na Rede Ebserh, todos os colaboradores são considerados operadores de dados. Isso significa que cada colaborador que lida com dados pessoais deve conhecer e aplicar as diretrizes da LGPD em suas atividades diárias. Além disso, operadores externos, como prestadores de serviços e fornecedores de sistemas, também devem realizar suas atividades de tratamento de dados conforme as instruções fornecidas pela instituição, assegurando o cumprimento das diretrizes estabelecidas pela lei.

Incluem medidas técnicas, como a criptografia, anonimização e pseudonimização, medidas organizacionais, como quem tem permissão anonimização e pseudonimização, medidas para acessar o dado e jurídicas, como normas de sigilo.

A ANONIMIZAÇÃO é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. Uma vez anonimizados, os dados não podem mais ser associados a um indivíduo específico, tornando a pessoa verdadeiramente anônima. Este processo é irreversível, ou seja, não há como recuperar os dados originais a partir dos dados anonimizados.

Aplicações: 

• Usada quando a identificação da pessoa não é necessária.
• Ideal para estudos estatísticos e pesquisas, onde os resultados são importantes, mas a identificação dos participantes não é.
• Protege a privacidade dos indivíduos ao eliminar a possibilidade de reidentificação.

Exemplo Prático: Se em um banco de dados constam informações como nome, CPF, e endereço, a anonimização removeria ou alteraria essas informações de maneira que nenhuma pessoa pudesse ser identificada, mesmo com o acesso aos dados.

A PSEUDONIMIZAÇÃO, por outro lado, é o processo pelo qual os dados pessoais são alterados de forma que eles não possam ser atribuídos a um indivíduo sem o uso de informações adicionais. Essa técnica é reversível, uma vez que é possível reidentificar os dados se houver acesso à chave ou à informação adicional mantida separadamente pelo controlador dos dados.

Aplicações: 

• Útil quando é necessário manter a capacidade de identificar indivíduos posteriormente, como em estudos clínicos ou processos internos de revisão.
• Ajuda a minimizar o risco em caso de violação de dados, pois os dados pseudonimizados são menos úteis para invasores sem a chave de reidentificação.

Exemplo Prático: Imagine uma lista com nomes completos, CPF, sexo, raça e profissão. Para pseudonimizar essa lista, seriam removidos ou alterados esses identificadores diretos e substituídos por números ou códigos. Esses números ou códigos não revelam a identidade das pessoas sem a chave de decodificação, que deve ser armazenada de forma segura e separada.

Um vazamento de dados ocorre quando informações confidenciais são expostas de maneira não autorizada, podendo envolver dados pessoais, financeiros, médicos, entre outros. Isso significa que essas informações, que deveriam estar protegidas, tornam-se acessíveis a indivíduos ou entidades que não possuem permissão para visualizá-las.

Os impactos de um vazamento de dados são graves e variados. Com dados vazados, é possível realizar diversas atividades maliciosas, como roubo de identidade, fraude financeira, chantagem, phishing, entre outros golpes cibernéticos. Esses atos podem causar danos significativos tanto para as vítimas individuais quanto para as organizações envolvidas, incluindo perdas financeiras, danos à reputação e problemas legais.

Proteger suas credenciais de acesso é essencial para garantir a segurança de suas informações pessoais e profissionais. Aqui estão algumas práticas recomendadas:

• Criação de Senhas Fortes e Únicas: Utilize senhas complexas que incluam uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Evite utilizar a mesma senha para múltiplas contas. Cada conta deve ter uma senha única.

• Não Compartilhar Senhas com Terceiros: Nunca divulgue suas senhas a outras pessoas, mesmo que sejam familiares ou colegas de trabalho. Caso precise compartilhar acesso temporário, utilize ferramentas seguras de compartilhamento de senhas.

• Ativação da Autenticação de Dois Fatores (2FA): Adicione uma camada extra de segurança exigindo um segundo fator de autenticação, como um código enviado ao seu telefone. Ative o 2FA sempre que possível em todas as suas contas.

• Evitar o Armazenamento de Senhas em Locais Inseguros: Não armazene suas senhas em locais desprotegidos, como post-its, documentos de texto não protegidos, ou emails. Utilize um gerenciador de senhas confiável para armazenar e organizar suas senhas de forma segura.

• Utilização de Perfis Separados no Navegador: Separe suas atividades online utilizando perfis diferentes no navegador para melhorar a segurança. Crie um perfil de navegador específico para acessar páginas sensíveis, como serviços bancários, e outro para navegação geral.

Cookies são pequenos arquivos de texto que os sites armazenam no navegador do usuário. Eles são usados para rastrear informações sobre a atividade do usuário online, como preferências de navegação e histórico de compras, a fim de oferecer uma experiência personalizada.

Embora os cookies ofereçam benefícios significativos, alguns podem ser utilizados para fins de rastreamento invasivo. Isso pode levantar preocupações de privacidade, pois esses cookies coletam dados sobre os hábitos de navegação do usuário sem seu consentimento explícito.

Devido ao potencial de uso invasivo dos cookies, é essencial que os usuários revisem suas configurações de cookies e optem por um controle mais rigoroso sobre eles. Aqui estão algumas práticas recomendadas:

• Revisão de Configurações de Cookies: Acesse as configurações de privacidade do seu navegador e revise os cookies que estão sendo armazenados.

• Bloqueio de Cookies de Terceiros: Muitos navegadores permitem bloquear cookies de terceiros, que são frequentemente usados por anunciantes para rastreamento invasivo.

• Limpeza Regular de Cookies: Limpe regularmente os cookies armazenados para minimizar a coleta de dados desnecessária.

• Utilização de Extensões de Privacidade: Considere usar extensões de navegador focadas em privacidade, que ajudam a controlar e bloquear rastreadores indesejados.

• Não compartilhe suas senhas, crachás ou outras credenciais de acesso;
• Não deixe post it colados no computador com a sua senha;
• Utilize sempre múltiplo fator de autenticação (MFA). Os e-mails @ebserh oferecem suporte para MFA;
• Ao se ausentar da sua estação de trabalho, bloqueie a tela do seu computador (tecla Windows + L);
• Certifique-se de recolher as impressões assim que possível, especialmente se contiverem dados pessoais ou assistenciais;
• Não clique em links recebidos por meio de mensagens eletrônicas (SMS, e-mails, redes sociais, etc desconhecidos e/ou não solicitados);
• Evite acessar seu webmail, internet banking ou outros serviços importantes em computadores de terceiros e, caso seja realmente necessário, ative o modo de navegação anônima;
• Nunca forneça informações sensíveis em sites sem que você tenha solicitado o serviço que o exige, e o faça somente se confiar no site e se o mesmo estiver utilizando criptografia (procure pelo cadeado no navegador e um informativo de certificado digital);
• Evite fazer cadastros em sites de venda desconhecidos pela Internet, especialmente fornecendo seus dados pessoais, pois muitas empresas possuem pouco ou nenhum tipo de segurança para armazenar e proteger seus dados;
• Cuidado ao disponibilizar informações pessoais em sites de relacionamento (telefones móveis, endereços residenciais etc).
• Reduza dados sobre você na internet;
• Pense bem antes de postar algo, porque depois de postado, dificilmente poderá ser excluído;
• Limite a coleta de dados por cookies. Aceite apenas cookies necessários e configure o navegador para não aceitar cookies de terceiros;
• Ao instalar e usar um aplicativo, autorize apenas acessos essenciais a seu funcionamento e operação;
• Só leia códigos QR se tiver certeza de que a fonte é confiável;
• Use sempre conexão segura (https);
• Não deixe mídias (como HD externo de backup) conectadas o tempo todo. Conecte-as apenas quando for realmente usá-las;
• Atualize regularmente seus sistemas e softwares. Instale todas as atualizações e patches de segurança recomendados pelo fabricante.
• Utilize antivírus e ferramentas de segurança. Mantenha o software de segurança sempre atualizado e realize varreduras periódicas.
• Faça backups regulares de seus dados. Armazene cópias de segurança em locais seguros e verifique periodicamente a integridade desses backups.
• Seja cauteloso com redes Wi-Fi públicas. Evite realizar transações sensíveis em redes não seguras e utilize VPNs (Virtual Private Networks) quando possível.
• Eduque-se e mantenha-se informado. Esteja atento às últimas ameaças e técnicas de segurança para proteger suas informações.

Sim! Disponibilizamos o curso Introdução à Proteção de Dados Pessoais na plataforma 3EC.

Este curso é obrigatório para todos os colaboradores, conforme o Ofício Circular - SEI nº 6/2024/CDP/DGP-EBSERH (41244207). Ele visa capacitar os colaboradores para lidar com dados pessoais de maneira segura e em conformidade com a LGPD.