Anvisa publica Política de Proteção de Dados Pessoais
Portaria busca a adequação da Agência à Lei Geral de Proteção de Dados Pessoais
A Agência Nacional de Vigilância Sanitária (Anvisa) publicou, no dia 19 de outubro de 2023, a Portaria 1.184/2023 que trata sobre a sua Política de Proteção de Dados Pessoais .
A portaria estabelece diretrizes para a proteção dos dados pessoais para fins de cumprimento da legislação, normas, orientações e demais atos relacionados à privacidade, proteção dos dados pessoais, transparência, acesso às informações públicas e à proteção das liberdades e dos direitos fundamentais dos indivíduos.
A política é aplicável aos servidores, colaboradores, terceirizados, estagiários, fornecedores, prestadores de serviço e todos que realizam atividades que envolvem, de forma direta ou indireta, o tratamento de dados pessoais recebidos pela agência.
Alguns exemplos de atuação da Anvisa no tratamento de dados são:
- Processamento dos requerimentos de obtenção, alteração e renovação dos registros de produtos e serviços submetidos à vigilância sanitária;
- Processamento dos requerimentos de obtenção de autorizações e certificados de serviços submetidos à vigilância sanitária;
- Processamento das notificações de queixas técnicas e eventos adversos, além de ações que se desdobrarem em consequência da análise destas notificações;
- Processamento de requerimentos para inspeção e fiscalização sanitária, no âmbito da agência, além das ações administrativas decorrentes destes procedimentos;
- Processamento de solicitações feitas à Anvisa pelo usuário.
Consentimento do titular e hipóteses de dispensa
A obtenção de consentimento do titular é dispensada nas hipóteses de tratamento de dados listadas acima, uma vez que se referem ao exercício de atividade regulatória da Anvisa. Além do consentimento, existem outras bases legais que justificam o tratamento, tais como o cumprimento de obrigação legal ou regulatória, a execução de políticas públicas previstas em leis, regulamentos, contratos, convênios ou instrumentos congêneres, a tutela da saúde ou a realização de pesquisas por órgãos de pesquisa.
Assim, caso o consentimento do titular for a base legal adequada para o tratamento de dados pessoais, a Anvisa deverá os princípios previstos na norma nova, em especial, o princípio da finalidade com clara explicação do uso dos dados concedidos.
As solicitações feitas pelo usuário (titular dos dados pessoais) devem ser realizadas mediante requerimento expresso à Anvisa através do seu canal oficial, o Fala.BR – Plataforma Integrada de Ouvidoria e Acesso à Informação.
Adequação à LGPD
A norma busca adequar os processos da Agência à Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). Em 2022, o Tribunal de Contas da União (TCU) realizou auditoria para avaliar as ações governamentais e os riscos à proteção de dados pessoais no âmbito da Anvisa, e identificou que o processo de adequação à LGPD estava em fase inicial à época.
As questões sobre o tema são especialmente tratadas pelo Comitê de Governança Digital (CGD) da Anvisa, instância responsável pelas ações de implementação da LGPD e pelo apoio nas demais ações estratégicas relativas à tecnologia da informação (TI), gestão e segurança da informação e governança digital.
A Política de Proteção de Dados Pessoais deverá ser revisada e atualizada periodicamente, no máximo a cada dois anos.
Para mais informações sobre o tema, contate as práticas de Life Sciences e Saúde e Proteção de Dados e Cybersecurity do Mattos Filho.
* Com a colaboração de Andressa Deis Rodrigues.