Lei Geral de Proteção de Dados aplicada às Clínicas Médicas

 

Rodrigo Carvalho e Silva Canguçu de Almeida

Com a promulgação, publicação e, por que não, a implementação da Lei Geral de Proteção de Dados (LGPD), o impacto seria evidente, especialmente em razão da necessidade de se rever normas e práticas há muito adotadas pelas instituições de saúde que não se coadunam com a proposta da proteção de dados, especialmente no que tange a proteção de dados sensíveis.

 

O Objetivo do presente artigo é apontar e debater questões práticas da implementação da LGPD e toda a mudança de paradigmas necessária para a adequação das clínicas médicas e de saúde.

 

1. Considerações preliminares

 

Primeiramente devemos direcionar algumas questões teóricas antes de se debruçar sobre questões práticas, especialmente por ainda persistirem dúvidas sobre a aplicação da LGPD na área da saúde em razão existirem normativos publicados pelos conselhos de classe que tratam do sigilo profissional.

 

De forma bastante objetiva, o sigilo profissional trata de postura ética do profissional da saúde que obteve informações em razão da sua atividade profissional na área da saúde, sua violação é uma violação ética, pois trata de “segredo profissional” e atinge diretamente direitos da personalidade e da dignidade da pessoa contemplados na Constituição Federal, demais normas legislativas e regulamentos profissionais.

 

A LGPD trabalha de forma mais ampla os direitos de privacidade do indivíduo, que pode ou não estar inserido em um evento de saúde, portanto, as regras impostas pela LGPD, de forma indubitável, se aplicam à relação profissional da saúde x paciente, por um viés complementar e não excludente, da obrigação profissional de sigilo. Por outro aspecto, também de forma inquestionável, a obrigação de sigilo do profissional da saúde será aplicada em conjunto com a LGPD e independente dela.

 

A título de exemplo, podemos concluir que o profissional médico que revela fato de que teve conhecimento em virtude de seu exercício profissional praticou conduta antiética nos termos do Art. 73 do Código de Ética Médica[1], entretanto, não necessariamente praticou conduta contrária à proteção de dados, nos termos da LGPD, vejamos:

 

O incidente de proteção de dado está, necessariamente, relacionado a um vazamento de dado pessoal capaz de identificar ou tornar identificável uma pessoa natural, se a pessoa natural não for identificável, não houve, necessariamente, violação de dados pessoais. Portanto, se a informação compartilhada pelo profissional da saúde diz respeito a uma enfermidade de um paciente, ele pode ter praticado uma conduta antiética, mas se não for possível identificar o paciente, não ocorreu violação à LGPD.

 

Por outro lado, se o compartilhamento de dados diz respeito ao CPF e endereço de um paciente, tornando-o identificável, há um incidente de violação de dados pessoais, mas não necessariamente uma falta ética.

 

Usamos no exemplo acima a expressão “não necessariamente”, pois o caso concreto deverá ser apurado por todos os órgãos competentes, seja o conselho de classe do profissional ou a própria Autoridade Nacional de Proteção de Dados Pessoais (ANPD), cada uma atuando dentro dos limites impostos pela sua competência legal.

 

Outra questão interessante a ser debatida sobre o exemplo está a voluntariedade do compartilhamento do dado pessoal, no nosso entender, respeitadas as posições diversas, a quebra do sigilo profissional prevista no artigo 73 do Código de Ética médica, demanda um comportamento ativo do profissional[2], enquanto a violação da privacidade do titular de dados pessoais, com a ocorrência de um incidente independe da vontade do controlador dos dados, uma vez que a violação culposa deve ser penalizada.

 

Passadas estas considerações preliminares, cumpre esclarecer que o objetivo deste artigo é tratar do incidente (violação) de dados pessoais nos termos da LGPD e não do segredo e sigilo profissional.

 

2. Sujeitos da proteção de dados e outras definições.

 

Necessário reiterar que da análise do artigo 3º da LGPD, podemos concluir que toda operação envolvendo uma clínica de saúde está sob a tutela da norma, não existe qualquer ressalva em sentido contrário, portanto, as definições previstas nos artigos 4 e 5º são plenamente aplicáveis, em especial o conceito de dado pessoal sensível.

 

Com objetivo de tornar o presente artigo mais didático, consideraremos o exemplo de uma clínica de fisioterapia, que trata dados de pelo menos três grupos distintos: a) pacientes particulares, b) pacientes de convênio e c) funcionários e colaboradores.

 

Em nosso exemplo, a clínica de fisioterapia é a controladora dos dados, podendo exercer a função de operadora e dados ou não, os pacientes, funcionários e colaboradores serão os titulares de dados.

 

Assim, ao receber um novo paciente na clínica, quando este paciente fornece alguns dados para a recepção, como nome, endereço e telefone, inicia-se uma nova operação de tratamento de dados pessoais. Portanto, neste momento, nasce para a clínica, a obrigação de armazenar e proteger os dados do novo paciente (e agora titular de dados), que possui direito de definir como seus dados poderão ser utilizados pela clínica (agora controladora dos dados).

 

Em neste cenário hipotético, a clínica teria que informar para o paciente quais dados ela vai coletar, com qual finalidade, se irá ou não compartilhar estes dados com terceiros e, por quanto tempo irá armazenar estes dados. Se o paciente não concordar com as propostas da clínica, ele poderá se negar a fornecer as informações, situação que poderá ocasionar uma interrupção da prestação de serviços, salvo em casos de urgência e/ou emergência, como se verá adiante.

 

Seguindo ainda no mesmo exemplo hipotético, e tornando-o um pouco mais complexo, digamos que o paciente é conveniado a um plano de saúde e no momento em que se apresentou na recepção da clínica forneceu a carteira de convenio médico, utilizando um sistema integrado com o referido plano de saúde, a recepção da clínica teve acesso a diversas informações fornecidas pelo convênio sobre o paciente e, em seguida, tais informações foram lançadas no sistema de gestão terceirizado utilizado pela clínica, cujo banco de dados fica na nuvem, em um servidor fora do brasil.

 

Note-se que a cadeia de tratamento de dados do paciente-titular começou a aumentar e a tornar-se cada vez mais complexa e, por que não, muito mais próxima da realidade de uma clínica de saúde.

 

Repetimos, portanto, que todos esses tratamentos que ocorreram com a chegada deste único paciente na clínica de fisioterapia estão tutelados pela LGPD.

 

Continuando com o exemplo da clínica de fisioterapia, esclarecemos que a clínica é o controlador dos dados pessoais dos seus pacientes, que são os titulares de dados, é ela quem define quais dados são capturados e como será o tratamento destes dados capturados.

 

Quaisquer outras pessoas que estejam inseridos nesta cadeia de tratamento de dados, seguindo as orientações da clínica serão os operadores do tratamento. Portanto, a empresa contratada para fornecer o sistema de gestão administrativa da clínica ou o escritório de RH ou contabilidade que prestam serviços para a clínica serão, para a clínica, operadores de dados pessoais.

 

Será importante, também, diferenciar o que são dados pessoais dos dados pessoais sensíveis, uma vez que a LGPD faz diferenciação destas duas informações, sendo que os dados pessoais sensíveis devem possuir uma proteção extra em razão das suas características.

 

3. Princípio da necessidade.

 

De forma bastante objetiva, o princípio da necessidade indica que o controlador de dados pessoas deve solicitar e tratar apenas os dados realmente necessários para sua operação.

 

No caso das clínicas de saúde, iremos dividir os dados coletados entre dados administrativos e dados de saúde, sendo dados administrativos todos aqueles necessários para realizar o cadastro do paciente no sistema da clínica, como por exemplo, nome completo, documento de identificação, endereço, telefone e e-mail.

 

Os dados de saúde serão aqueles relacionados à condição física do paciente, necessários para a prestação de serviço em saúde, como por exemplo, idade, peso, histórico de saúde, tipo sanguíneo etc.

 

No caso o controlador de dados pessoais deve realizar uma análise de quais são os dados absolutamente necessários para realizar o cadastro do paciente em seu sistema, atendendo, assim, ao princípio da necessidade, lembrando que quanto maior a quantidade de informações no banco de dados maior o risco para o controlador.

 

Via de regra, o sistema brasileiro está acostumado a considerar que, quanto mais informação tiver melhor, portanto, um raciocínio contrário ao estabelecido pelo princípio da necessidade.

 

4. Dados sensíveis.

 

Nos termos da LGPD, artigo 5º, II, dado pessoal sensível é aquela informação que revela origem racial ou étnica, convicções religiosas, filosóficas ou políticas e filiação sindical, além destes, mais importante para o objeto de estudo deste artigo, dados pessoais sensíveis são aqueles que revelam questões genéticas, biométricas, de saúde ou sobre a vida sexual de uma pessoa.

 

Importante deixar claro que a doutrina majoritária é alinhada no sentido de que a lista de dados sensíveis é exemplificativa, uma vez que não seria possível estabelecer um rol taxativo sobre esse ponto[3].

 

Portanto, as informações coletadas pelas clínicas de saúde que sejam classificadas como dados sensíveis, devem possuir uma camada extra de proteção.

 

A LGPD em seu artigo 11 e seguintes estabelece regras envolvendo o tratamento de dados pessoais sensíveis. A lei determina que tais dados só podem ser tratados quando há autorização expressa do titular (ou representante legal), de forma destacada e para finalidade específica.

Inclusive o § 1º do mesmo artigo 11 possibilita o reconhecimento de dados que apesar de não serem sensíveis podem revelar outros dados (estes sim) sensíveis e, portanto, merece igual proteção[4].

 

Importante esclarecer que a alínea “f” do inciso II do artigo 11 da lei assim estabelece:

 

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

1. f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

 

Existe entendimento, da qual discordamos, que sustenta que o mencionado texto legal permite o tratamento de dados de saúde sem consentimento do titular, entretanto, não nos parece que seja essa a exegese correta.

Nosso entendimento é no sentido em que em casos de urgência/emergência, para que profissionais – da área da saúde – realize atendimento (ou procedimento) do titular, para salvaguardar sua vida ou saúde.

Portanto, o artigo 11, II, f, da lei se aplica, por exemplo, em casos em que o paciente é levado para o hospital ou clínica e precisa de atendimento com urgência e não para o caso de consulta ou atendimento eletivo do paciente, onde este não esteja em risco e tenha plena condição de fornecer seu consentimento.

Considerando ainda que a proteção de dados pessoais se tornou direito fundamental, eventual análise demasiadamente ampliativa do supramencionado art. 11 colocaria em risco a proteção do dado,

 

Desta forma, limitando ao objeto deste artigo, o paciente atendido para uma consulta em uma clínica de saúde deve, obrigatoriamente, dar seu consentimento expresso e específico para que a clínica trate seus dados sensíveis, caso contrário, o dado não poderá ser tratado.

 

5. Integração com outros profissionais e planos de saúde

 

Um dos principais riscos relacionados às clínicas de saúde é o alto fluxo de dados pessoais destinados a diversos destinatários.

Deixaremos para outro momento a questão do tratamento de dados dos próprios profissionais e demais colaboradores da clínica, mas consignamos que os profissionais da saúde e qualquer colaborador da clínica também são titulares de dados, portanto fazem jus a mesma proteção.

O objetivo neste momento é apresentar a complexa rede de transferência, formal ou informal, de dados pessoais existentes na clínica de saúde.

Como dito o fluxo de dados pessoais e dados pessoais sensíveis são em grande número e, muitas das vezes a clínica pode deixar de figurar apenas como controladora de dados para atuar, também, como operadora de dados pessoais.

Nos termos do artigo 5º, VII da LGPD, operador de dados pessoais é aquele que realiza o tratamento de dados pessoais em nome do controlador.

A clínica de saúde, credenciada de uma operadora de saúde, que recebe os dados pessoais de um beneficiário do plano atua, também, como operador destes dados, uma vez que compete à operadora decidir sobre o tratamento.

Por outro lado, a clínica pode encaminhar dados pessoais para um laboratório parceiro que realizaram exames complementares para a tutela da saúde do paciente.

 

Portanto, durante toda essa cadeia, seja recebendo dados pessoais de outros controladores, ou seja, atuando como controlador que faz a transferência de dados para outros, cada operação de dados pessoais deve estar revestida da segurança necessária.

 

A clínica deve garantir que a forma como irá armazenar os dados recebidos seguirá, além das normas e regulamentos acerca do tema[5], como também as determinações da operadora de saúde suplementar, uma vez que ela exerce a função de controladora dos dados pessoais enviados.

 

Importante mencionar que o parágrafo 4ª do art. 11 veda o compartilhamento e a comunicação de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica.

 

Sobre vantagem econômica, nossa posição é a mesma de Caio César Carvalho Lima[6] onde o termo deve ser analisado de forma ampla, contemplando vantagem direta e indireta, inclusive quando a vantagem não tiver característica monetária.

 

Portanto, de forma bastante objetiva, a transferência só poderá ocorrer com finalidade de tutelar a saúde do titular, mesmo assim, mediante consentimento prévio deste, ou seja, a clínica, ao redigir seu termo de consentimento informado, deverá já informar ao paciente-titular de dados, com quais terceiros poderá compartilhar os dados com a finalidade de realizar a tutela da saúde.

 

Seguindo com o nosso exemplo, nossa clínica de fisioterapia deverá, antecipadamente, consultar ao titular se pode compartilhar eventuais informações com determinado laboratório.

 

Ainda, o termo de consentimento informado deverá, obrigatoriamente, informar ao titular-paciente, que seus dados serão lançados/inseridos em determinado sistema de gestão, pois, nos termos do art. 5º, X da LGPD, tratamento de dados pessoais é TODA OPERAÇÃO realizada, como por exemplo, processamento, arquivamento, armazenamento e controle da informação.

Sobre a utilização de sistemas de gestão terceiros, especialmente aqueles denominados como SaaS (software as a Service), cuidado extra se faz necessário para identificar o local onde fica o servidor no qual os dados são armazenados, pois se estiver fora do território nacional será caso de “transferência internacional de dados”.

 

Sobre a “transferência internacional de dados”, LGPD exige que haja consentimento específico do titular do dado para a realização da transferência, bem como o destinatário dos dados esteja localizado em países que proporcionem grau de proteção adequado às regras da LGPD.

 

6. Atendimento telepresencial

 

O atendimento assíncrono, virtual ou telepresencial já era praticado por diversas especialidades de profissionais da saúde, notadamente por psicólogo, psiquiatras dentre outros. A questão foi muito debatida pelos conselhos de classe e chegou a ser regulada por duas vezes pelo CFM.

 

Com a crise mundial decorrente da COVID-19, muitos profissionais da área da saúde tiveram que recorrer à tecnologia para prestar serviço aos pacientes. Finalmente, em abril de 2022 o CFM editou e publicou a resolução nº 2.314[7] que define e regulamenta a telemedicina.

 

A LGPD não trata propriamente da telemedicina, mas certamente foi base para a elaboração da referida resolução.

 

Verifica-se, por exemplo, no artigo 3º da referida resolução que a captura, de dados pessoais como imagens devem ser preservados nos termos das leis aplicáveis e demais normas do CFM. O Art. 15, por sua vez diz que o paciente e seu representante legal devem autorizar o atendimento por telemedicina e a transmissão das suas imagens e dados por meio de consentimento livre e esclarecido.

 

Ainda, a resolução informa que todo atendimento por telemedicina deve ser assegurado consentimento explicito, “no qual o paciente ou seu representante legal deve estar consciente de que suas informações pessoais podem ser compartilhadas e sobre o seu direito de negar permissão para isso”.[8]

 

Necessário também esclarecer que a resolução do CFM menciona a lei 13.787/2018 que “Dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente.”

 

Da análise da resolução 2.314/2022 é possível notar a pluralidade de modalidades de telemedicina, podendo ser empregada por diversos meios e plataformas.

 

Apesar de sempre prensarmos em telemedicina como sendo uma “chamada” por vídeo, ela pode ocorrer por troca de mensagens seja por e-mail ou por qualquer aplicativo de mensagem, instantâneo ou não.

 

Por certo, o avanço tecnológico, por muitos aspectos, é um grande colaborador para o avanço na promoção da saúde, no entanto, por outro lado, o risco atrelado à digitalização dos documentos de saúde e a facilidade com a qual estes documentos são transferidos aumentou significativamente.

 

Para fins da LGPD, importante consignar que o paciente deve consentir, além da divulgação de sua imagem, que seus dados sejam transmitidos e transferidos pelos meios escolhidos pelo profissional ou clínica de saúde.

 

Portanto, se o e-mail será uma ferramenta utilizada pelo profissional para receber, por exemplo, laudos, pareceres e outros exames de imagens do paciente, faz-se necessário constar na política de privacidade da clínica o consentimento específico para tanto.

 

Evidentemente, a telemedicina mostra-se como uma solução para muitos profissionais da saúde, mas também como um desafio para a implementação de medidas de segurança e proteção de dados, eis que há um aumento significativo no fluxo de dados pessoais, especialmente os dados sensíveis.

 

Em razão dessa maior complexidade, muitas clínicas de saúde optam por contratar serviços de terceiros como sistemas, plataformas e softwares na modalidade SaaS, como soluções para adequação para prática de telemedicina. Não obstante a facilidade decorrente destas soluções, faz-se necessário uma análise bastante profunda da política de privacidade, os termos de uso e normais de segurança da informação destes softwares terceiros.

 

A integração da clínica de saúde com terceiros já foi abordada no tópico anterior.

 

 

7. Termo de consentimento informado e de proteção de dados pessoais.

 

Conforme restou demonstrado ao longo deste artigo, o tratamento de dados pessoais e, especialmente, o tratamento de dados pessoais sensíveis necessita de autorização prévia por parte do titular.

 

Assim, o principal documento a ser elaborado pela clínica de saúde tem por objetivo informar os pacientes-titulares e coletar seu consentimento expresso e prévio acerca dos tratamentos de dados que serão realizados.

 

Esse termo deve ser apresentado aos pacientes na modalidade física ou digital, em se tratando de modalidade digital, a clínica deve assegurar o registro da opção do paciente caso seja necessário comprovar formalmente que houve a autorização por parte do titular de dados. Normalmente, as clínicas optam por apresentar este documento aos pacientes novos juntamente com ficha de Anamnese ou quaisquer outros documentos de cunho técnico de preenchimento pelo paciente.

 

Necessário esclarecer que a clínica de saúde deve, obrigatoriamente, possuir política de privacidade e normas de segurança da informação que podem ser referenciadas no Termo de consentimento informado e de proteção de dados pessoais.

 

Considerando que a clínica terá uma política de privacidade ampla e detalhada acerca de quais dados coleta e como estes dados são tratados, o Termo de consentimento informado e de proteção de dados pessoais pode ser elaborado de forma mais objetiva devendo, no entanto, abordar pelo menos estes pontos:

 

• Quem é o controlador dos dados.
• Quem é o titular dos dados.
• Quais dados são coletados.
• Quais dados sensíveis são coletados.
• Com qual finalidade os dados são coletados.
• Quais são os tratamentos realizados com os dados coletados.
• Onde estes dados são armazenados.
• Por quanto tempo os dados são armazenados.
• Se os dados são compartilhados com terceiros ou não.
• Se os dados são objeto de transferência internacional de dados.
• Quais são os direitos dos titulares de dados.
• Como os titulares de podem exercer seus direitos
• Quem é o Encarregado de proteção de dados pessoais da clínica.

 

8. Encarregado de Proteção de Dados

 

O encarregado de proteção de dados, comumente chamado de DPO em alusão à norma europeia, é a pessoa indicada pelo controlador de dados pessoais par atuar como uma “ponte” entre o controlador e o titular e entre o controlador e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), o encarregado também tem a função de zelar pela proteção de dados e educar os colaboradores sobre as políticas e normas de proteção de dados pessoais.

 

Recentemente a ANPD publicou a resolução nº 2/2022[9] na qual regulamenta e flexibiliza a necessidade de nomeação de encarregados em determinados tipos societário. No entanto, em que pese a dita flexibilização, a ANPD define que são tratamentos se risco: “tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares”, desta forma, ainda que a clínica se enquadre em uma das hipóteses de exceção prevista na resolução, o fato de tratar dados que podem afetar significativamente o direito fundamental dos pacientes.

 

Portanto, em nosso entendimento, a nomeação de um encarregado é obrigatória em clínicas de saúde.

 

9. Relatório de impacto à proteção de dados (RIPD)

 

Relatório de impacto é, nos termos da LGPD, documentação que deve ser elaborada pelo controlador de dados (clínica) no qual sejam apresentados os processos de tratamento de dados pessoais que podem gerar riscos à liberdade e afetar significativamente o direito fundamental dos pacientes.

 

Outra função do relatório é identificar possíveis pontos de riscos e as medidas adotadas pelo controlador para minimizar tais riscos.

 

Em caso de um incidente de vazamento de dados pessoais, o controlador deverá adotar, num curto espaço de tempo, medidas para minimizar o impacto aos titulares de dados. Portanto, o referido relatório mostra-se documento essencial para uma rápida resposta por parte do controlador.

 

Deste modo, a elaboração de um RIPD mostra-se absolutamente necessário para a perfeita adequação da clínica às normas da LGPD.

 

10. Conclusão

 

As normais de proteção de dados pessoais estão em constante evolução sendo revisitadas com frequência pela ANPD, portanto, o presente artigo não tem por objetivo encerrar o assunto, mas sim, apresentar, de forma ampla questões e temas para debate.

 

Como dito, nosso objetivo até aqui foi fomentar a discussão e demonstrar, de forma clara e prática que a LGPD impele a adoção de novos costumes e políticas por parte das clínicas de saúde.

 

Diante da complexidade da cadeia de tratamento de dados pessoais experimentados na área de saúde e da pluralidade de leis, normas e obrigações infralegais, a adequação de uma clínica de saúde à LGPD demanda um grande conhecimento não só das citadas regras, mas também do dia a dia da clínica, seus profissionais e dos pacientes.

 

11. Referências bibliográficas

 

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do
consentimento. Rio de Janeiro: Forense, 2019.

 

DANTAS, Eduardo e COLTRI, Marcos. Comentários ao Código de Ética Médica. Salvador: Juspodivm, 2020

 

KONDER, Carlos Nelson. O tratamento de dados sensíveis à luz da Lei 13.709/2018. In: TEPEDINO, Gustavo;  FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: Revista dos Tribunais, 2019.

 

MULHOLLAND, Caitlin. Dados pessoais sensíveis e consentimento na Lei Geral de Proteção de dados pessoais. Revista do Advogado. São Paulo, a. 39, n. 144, nov./2019.

 

MALDONADO, Viviane Nóbrega e BLUM, Renato Opice, coordenadores. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo, Thomson Reuters, 2019.

 

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados
Pessoais (LGPD). Publicado no DOU de 15.08.2018.

 

BRASIL. Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Publicado no DOU de 28.01.2022.

 

CFM. Resolução CFM nº 2.217/2018. Aprova o Código de Ética Médica. Publicada no DOU de 1 de novembro de 2018, seção I, p. 179.

 

CFM. Resolução CFM nº 2.314/2022. Define e regulamenta a telemedicina, como forma de serviços médicos mediados por tecnologias de comunicação. Publicado em: 05 de maio de 2022, seção I, p. 227

 

1. COMISSÃO EUROPEIA. Saúde em linha (e-Saúde): Saúde e cuidados de saúde digitais, https://health.ec.europa.eu/ehealth-digital-health-and-care_pt

ISO/IEC 27001:2013

[1] Resolução 2.217/2018 do CFM

[2] DANTAS, Eduardo e COLTRI, Marcos. Comentários ao Código de Ética Médica. 3ª Edição Salvador: JusPodivm, 2020. p. 316

[3] KONDER, Carlos Nelson. O tratamento de dados sensíveis à luz da Lei 13.709/2018. In: TEPEDINO, Gustavo;

FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito

brasileiro. São Paulo: Revista dos Tribunais, 2019. p. 455

[4] MULHOLLAND, Caitlin. Dados pessoais sensíveis e consentimento na Lei Geral de Proteção de dados pessoais.

Revista do Advogado. São Paulo, a. 39, n. 144, nov./2019, p. 47-54 (trecho da p. 49). No mesmo sentido: KONDER,

Carlos Nelson. Ob. cit., 2019. p. 455.

[5] ISO/IEC 27001:2013 e ISO/IEC 27002

[6] LGPD: Lei Geral de Proteção de Dados comentada. MALDONADO, Viviane Nóbrega e BLUM, Renato Opice, coordenadores. São Paulo, Thomson Reuters, 2019

[7] https://www.in.gov.br/en/web/dou/-/resolucao-cfm-n-2.314-de-20-de-abril-de-2022-397602852

[8] Art. 15, parágrafo único Resolução 2.314/2022.

[9] https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019