Manual de Adaptação das Autogestões à LGPDLei Geral de Proteção de Dados Pessoais

Lei 13.709, de 2018

2

SumárioO que é? .............................................................................................................................5

Momento Atual ...................................................................................................................5

Conceitos Indispensáveis Trazidos pela LGPD ......................................................................6

Aplicabilidade .....................................................................................................................7

Hipóteses de Legítimo Tratamento de dados na Saúde Suplementar ...................................7

A Figura do Consentimento .................................................................................................9

Exceções quanto à aAplicabilidade ....................................................................................10

Responsabilidade dos Agentes de Tratamento ...................................................................10

Direitos do Titular ..............................................................................................................12

Fiscalização ......................................................................................................................12

Sanções LGPD ..................................................................................................................13

O Princípio da Transparência e a Política de Privacidade ...................................................14

Relação entre Controlador e o Operador dos dados ...........................................................14

Revisão dos Contratos ......................................................................................................15

Condutas Internas para Proteção de Dados .......................................................................16

Crianças e Adolescentes ...................................................................................................16

Compartilhamento e Transferência de Dados via E-mail ...................................................16

Término do Tratamento de Dados ......................................................................................17

Períodos para Guarda dos Documentos ............................................................................17

Ensaio sobre Roteiro de Adequação das Autogestões à LGPD ...........................................18

Pontos Finais que Merecem Destaque ..............................................................................20

Bibliografia ........................................................................................................................21

Proteção de Dados Pessoais e Seus Reflexos na Área da Saúde Suplementar - Autogestões

EXPEDIENTE

DIRETORIA EXECUTIVA:PRESIDENTE: ANDERSON MENDESVICE-PRESIDENTE: CLEUDES CERQUEIRA DE FREITASDIRETOR ADMINISTRATIVO-FINANCEIRO: FELIPE FREITASDIRETOR DE COMUNICAÇÃO: MAURÍCIO MESSIASDIRETOR DE INTEGRAÇÃO: WERNER DUARTE DALLADIRETORA TÉCNICA: MARINA YASUDADIRETORA DE TREINAMENTO E DESENVOLVIMENTO: PRISCILLA VIEIRA DE MOURA CONSELHO DELIBERATIVO: Aníbal de Oliveira Valença – ASFALHugo Avelino dos Anjos Lima – AMMPJosé A. Diniz Oliveira – FIOSAÚDEOcione Marques Mendonça – CAMEDIzabella Pacheco Guimarães - E-VIDAPablo Cavalcanti de Andrade Lima Brito - FISCO SAÚDEMarcos Roberto M. Ribeiro – CASU

Selma Fernandes Rodrigues - CASECGeraldo H.Oliveira Nogueira - ASFALRodrigo Collares Arantes - BANCO CENTRAL

SUPLENTES:Carlos Borges Machado (FUNDAÇÃO COPEL)Vinícius Maravalha Paes (CAURJ)Patricia Ribeiro de Oliveira Neto (FAPES)

CONSELHO FISCAL: Fátima Taher Jounis (FUNDAFFEMG) Gildo Alves Pereira (FUPS)

ESTE TRABALHO CONTOU COM A COLABORAÇÃO DE:

TORO & ADVOGADOS ASSOCIADOS: José Luiz Toro da SilvaGisele Ferreira Soares

Rafael Dias da Cunha Bruna Ariane Duque

ECONOMUS: Eline Mazucato de Souza ChinagliaAntonio Carlos PeroccoThais Barcellos Rodrigues

COPASS SAÚDE : ALOISIO PEREIRA DA SILVA VIDIGAL

LEXISNEXIS: OLIVIA F. PINTO

OLIVEIRA RODARTE ADVOGADOS: Ana Paula Pinheiro

4

1. O que é?Essencialmente, a Lei Geral de Proteção de Dados Pessoais (LGPD) é um conjunto de regras que confere aos cidadãos maior controle sobre seus dados pessoais.

Vale destacar o fato de que a LGPD não se limita aos ambientes virtuais e a questões voltadas para tecnologia, sendo, portanto, uma mudança substancial na abordagem referente à privacidade por parte dos cidadãos, órgãos públicos, instituições e entidades privadas.

A LGPD, assim como a General Data Protection Regulation, é uma norma baseada em princípios, e, ao regular a proteção dos dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as operações de tratamento realizadas por órgãos públicos e instituições privadas.

Com o advento da Lei nº. 13.709 de 2018, surge um paradigma voltado à segurança no tratamento de dados na sociedade brasileira e, com isso, a necessidade de se pensar quais as medidas a serem tomadas, para que se garanta a segurança das informações utilizadas durante o exercício de suas respectivas atividades.

Diante disso, se fez necessária a adaptação da realidade à norma, com enfoque atualizado nos princípios que norteiam o direito à proteção da privacidade e intimidade das pessoas, exigindo-se de todos que lidam com dados pessoais a adaptação a esse novo contexto social.

Nesse passo, quando pensamos nas Autogestões, sob a ótica da Lei nº. 13.709 de 2018, conclui-se que, pela natureza dos dados pessoais que são por elas tratados, quais sejam, quaisquer dados relacionados à saúde humana, serão necessárias uma série de providências para que se mantenha o exercício regular de suas atividades, sem com isso, colidir com o determinado pela LGPD.

Este manual foi produzido diante da necessidade de estabelecer critérios para a coleta e tratamento de dados, apresentando as principais mudanças e norteando quais os primeiros passos a serem tomados pelas Autogestões para adequação ética e legal.

O intuito é auxiliar as Autogestões, que obrigatoriamente realizarão o processo de adaptação às regras trazidas pela Lei. Contudo, cada entidade deverá, dentro de suas peculiaridades, demandar a atenção necessária para a adequação à LGPD, considerando para isso suas características organizacionais e de dimensão.

2. Momento AtualHistoricamente, o conceito de privacidade somente é tido como um direito fundamental do ser humano1 no fim do século XIX, a partir do famoso artigo de Brandeis e Warren, The Right to Privacy 2.

Atualmente, as informações possuem capacidade para influenciar tudo, consequentemente surge uma preocupação acerca do que é permitido ou não quando se trata do tratamento de dados pessoais, seja para sua coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão ou qualquer outro ato que possa interferir no direito de privacidade do indivíduo.

As trocas de informações se tornaram cada vez mais rápidas e com isso, torna-se cada vez mais complexa a definição do que é privacidade e quais os limites para as informações que circulam, principalmente em ambiente eletrônico.

1 Sua primeira menção foi em 1948, na Declaração Universal dos Direitos e Deveres do Homem, vindo em seguida a comportar a Declaração Universal dos Direitos do Homem, aprovada pela Assembleia Geral das Nações Unidas; além da Convenção Europeia dos Direitos do Homem, de 1950, e a Convenção Americana dos Direitos do Homem, conhecida também como “Carta de San José”, de 1969 e, a Carta dos Direitos Fundamentais da União Europeia (2000).2 Samuel Warren e Louis Brandeis, “the right to privacy”, in: 4 Harvard Law Review 193 (1890).

5

No momento em que, por exemplo, um cidadão clica em “comprar”, “enviar”, “reservar” ou “visualizar”, instantaneamente inúmeros dados pessoais são capturados e armazenados.

A vigência da LGPD se dará a partir do mês de agosto de 2020 e, até lá, todos deverão estar em conformidade com as diretrizes estipuladas na Lei.

3. Conceitos Indispensáveis Trazidos pela LGPDAlguns termos são indispensáveis para entendermos o intuito da Lei Geral de Proteção de Dados Pessoais e sua abrangência dentro das relações.

Acerca dos dados, se dividem nas seguintes categorias:

Dado pessoal - informação relacionada a pessoa natural identificada ou identificável.

Dado pessoal sensível - dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dado anonimizado - dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Banco de dados - conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Aqui se enquadram as informações localizadas em servidores, backups, e demais locais de armazenamento que possam conter dados pessoais de titulares.

Para os fins da Lei Geral de Proteção de Dados Pessoais, considera-se:

Titular - pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, incluindo, portanto, beneficiários, funcionários e colaboradores.

Controlador - pessoa física ou jurídica de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais.

Operador - pessoa física ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado (EPD) - pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre

6

o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Será responsável por receber reclamações e comunicações de titulares e órgãos competentes, prestar esclarecimentos, adotar providências e orientar funcionários sobre as boas práticas, dentre outras atribuições.

Autoridade Nacional de Proteção de Dados (ANPD) - órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei.

É importante também, compreender as operações realizadas com os dados pessoais. Acerca disso, a LGPD apresenta definições que merecem atenção. Tais como:

Tratamento - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Anonimização - utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Eliminação - exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Uso compartilhado de dados - comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

4. AplicabilidadeA LGPD se aplica em qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, incluindo, portanto, as Autogestões, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

A. A operação de tratamento seja realizada no território nacional;

B. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e

C. Os dados pessoais objeto do tratamento que tenham sido coletados no território nacional, isto é, quando o titular dos dados aqui se encontre no momento da coleta.

Assim, através de princípios e regras, a LGPD traça novos limites para o relacionamento daquele que controla as informações (controladores), quem as manipula (operadores) e o proprietário dos dados pessoais (titular).

No âmbito da Saúde Suplementar, especificamente no que se refere às Autogestões, temos como sujeitos de tratamento de dados:

Controlador – O Controlador é o agente que possui legitimidade e poder de gerência sobre dos dados pessoais do titular, neste caso, podemos citar a Instituição de Autogestão como Controladora de dados pessoais de seus Beneficiários.

7

Operador – O Operador aparece como sujeito designado pelo Controlador para cumprimento de determinado processamento de dados pessoais. Podemos citar, a título de exemplo, quando enquadrado nessas descrições, os hospitais credenciados pelas Autogestões.

Encarregado (EPD) – O Encarregado aparece como um agente de mediação entre o Titular, o Controlador e a Autoridade Nacional de Proteção de Dados.

Titular – Em caráter exemplificativo, podemos considerar tanto o Beneficiário, como os colaboradores da Instituição como Titulares dos Dados Pessoais dentro da Autogestão.

Esses são alguns dos exemplos de como as Autogestões poderão se enquadrar os agentes do mercado de saúde suplementar sob o prisma da LGPD, contudo, considerando as diversas variáveis de negociação e tratamentos possíveis, o rol exemplificativo trazido nos parágrafos anteriores não esgota todas as hipóteses abrangidas pela Lei.

5. Hipóteses de Legítimo Tratamento de dados na Saúde Suplementar

A Lei prevê dez hipóteses onde há legitimidade nos tratamentos de dados pessoais, sendo importante esclarecer que tais hipóteses possuem caráter alternativo, não sendo exigível a presença cumulativa para o exercício regular do tratamento.

Quando pensamos no âmbito da Saúde Suplementar, se observa que, devido a própria natureza da prestação dos serviços seria impossível o seu exercício sem o tratamento de dados pessoais.

A título de exemplo, podemos citar, como tratamento de dados pessoais na área da Saúde Suplementar, todos os atos voltados a autorização de procedimentos, auditorias, declarações de saúde, análise de diagnósticos e resultados, pagamento de honorários médicos e até a troca de dados entre a Agência Reguladora e a Operadora.

É necessário se ter em mente que dados pessoais referentes à saúde, juntamente com as informações acerca da origem racial ou étnica, convicção religiosa, opinião política e à vida sexual, dados genéticos ou biométricos – quando vinculados a uma pessoa natural se enquadram na categoria denominada de dados pessoais sensíveis.

Dito isso, é importe saber que não será possível realizar o tratamento de dados pessoais sensíveis com base no legítimo interesse ou na proteção do crédito3.

Especificamente para as Autogestões, é legitimo o tratamento de dados pessoais quando do cumprimento de obrigação legal ou regulatória, para o exercício regular de direitos e para proteção da vida ou integridade física do titular ou terceiros.

Dessa maneira, considerando a extrema importância do tema, será realizada a seguir, uma análise mais detalhada sobre mencionadas hipóteses.

I. Para o cumprimento de obrigação legal ou regulatória pelo controlador

Essa hipótese de tratamento de dados pessoais está prevista no artigo 11, II, “a” da LGPD e nesta situação se enquadram muitos dos tratamentos de dados pessoais de seus beneficiários realizados pelas Autogestões, uma vez que são estipuladas diversas normas reguladoras pela Agência Nacional de Saúde Suplementar que para o seu cumprimento, exigem o tratamento de dados.

3 COTS, Op. Cit. p. 137.

8

Importante lembrar que a nova legislação não exclui a obrigação das Autogestões em se atentar e cumprir com as Resoluções já existentes da Agência Nacional de Saúde Suplementar acerca da proteção de informações do beneficiário.

Registre-se que a LGPD busca a flexibilização do tratamento de dados de saúde entre controladores, desde que para adequada prestação dos serviços de saúde suplementar.

Ainda estabelece a LGPD, que é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

II. Para a proteção da vida ou da incolumidade física do titular ou de terceiros

Há previsão legal para o tratamento de dados em situações onde está em risco a integridade física do titular ou de terceiros. Tal premissa vai ao encontro das garantias fundamentais previstas na Constituição Federal.

III. Para o exercício regular de direitos

Essa é considerada uma das hipóteses de tratamentos de dados pessoais mais importantes, em que a legitimidade para o tratamento encontra fundamentação no exercício regular de direitos do Controlador.

O tratamento fundamentado nessa categoria, abrange contratos, processos judiciais, administrativos e arbitrais, porém, diferente do que se faz entender em primeiro momento, o exercício regular de direitos não acolhe todos os atos de tratamento realizados pelas Autogestões.

A Lei Geral de Proteção de Dados Pessoais define entre os princípios a serem observados, a boa-fé, a finalidade, a adequação, a necessidade, a segurança, a não-discriminação, a responsabilização e a prestação de contas na realização do tratamento.

Significa dizer que, a cada vez que for realizado o tratamento de dados pessoais do beneficiário fundamentado no exercício regular de direito do Controlador, deverá ser realizada a ponderação acerca dos princípios presentes na norma e os impactos do ato realizado nos direitos do Titular dos dados.

IV. Para a Portabilidade

Considerando a peculiaridade dos dados de saúde, a LGPD traz em seu texto a impossibilidade de comunicação ou o uso compartilhado entre os Controladores de dados pessoais sensíveis referentes a saúde com o objetivo de obter vantagem econômica.

A exceção à vedação mencionada acima aparece quando há hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses do titular dos dados.

Ainda, há permissão para realização da comunicação de dados pessoais sensíveis referentes aos titulares no caso de portabilidade, tendo como requisito prévio a solicitação do titular dos dados.

Por fim, não se aplica a impossibilidade prevista acima em caso de transações financeiras e administrativas resultantes do uso e da prestação de serviços de saúde.

6. A Figura do ConsentimentoConsiderando as hipóteses tratadas no tópico acima, ao menos neste primeiro momento, entendemos que não haver necessidade da figura do consentimento para realizar o tratamento de dados pessoais dos

9

beneficiários, vez que tais dados, são contemplados pela Lei, como sendo aqueles referentes à saúde.

Isso porque, quando pensamos na relação contratual existente entre as Autogestões e seus beneficiários, depreende-se por características determinantes uma relação contínua e de longa duração.

Essas relações contratuais são marcadas por seu prolongamento temporal, que supera uma mera troca isolada ou pontual de interesses, e que inviabiliza prever todos os desdobramentos advindos do contrato.

Uma vez que a LGPD exige, quando há necessidade da realizar o tratamento de dados pessoais fundamentado pelo consentimento, que este deverá ser específico para tanto, torna-se inviável a colheita de um consentimento expresso acerca de cada ato contratual a ser realizado.

Durante todo o período de existência do contrato, o tratamento de dados vai se modificando, na medida em que, por exemplo, o beneficiário solicita um determinado exame ou quando há atualização no Rol de Procedimentos e Eventos em Saúde editado pela Agência Reguladora.

Pelos motivos anteriormente expostos, bem como por aqueles registrados na LGPD, repisa-se que o consentimento não se faz obrigatório na relação explicitada nos parágrafos acima, todavia, poderá eventualmente estar presente na relação contratual, como por exemplo nos programas de promoção à saúde e prevenção de riscos e doenças, haja vista os elementos contextuais inerentes à mencionada relação.

Sendo assim, neste primeiro momento, entendemos que não há necessidade de realização de coleta de consentimento específico tratado na Lei, junto aos beneficiários, baseando-se no conteúdo obrigacional inerente à relação entre as partes.

Contudo, em que pese ter sido sancionada a Lei nº. 13.853, de 2019 que cria a Autoridade Nacional de Proteção de Dados, com histórico nada fácil para tal criação, a mesma até a presente data, não foi efetivamente constituída, ficando ressalvado, portanto, que futuramente, com a constituição da ANPD, poderão ser emitidos novos entendimentos acerca da necessidade de coleta de consentimento dos beneficiários.

Entendemos que a Autoridade Nacional de Proteção de Dados, além de fiscalizar e punir, deve divulgar orientações quanto à melhor interpretação e aplicabilidade de alguns dispositivos da Lei e por isso, assim que integralmente constituída, espera-se dela ser a primeira intérprete das novas regras.

Reitera-se, com a contextualização acima, que com exceção às situações expressamente previstas em Lei, se faz mister a obtenção de consentimento expresso, mesmo que de forma mitigada.

10

7. Exceções quanto à AplicabilidadeA LGPD não se aplicará ao tratamento de dados pessoais quando:

• Realizado por pessoa natural para fins particulares;

• Realizado para fins jornalísticos ou artísticos ou acadêmicos;

• Realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (que será objeto de lei específica); ou

• Provenientes de fora do território nacional e que não seja objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de proveniência, desde que este país de proveniência proporcione grau de proteção adequado aos da lei brasileira.

8. Responsabilidade dos Agentes de TratamentoA LGPD prevê que o Controlador ou Operador que, em razão do exercício de atividade, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Assim, buscando assegurar a indenização ao Titular, a Lei prevê uma série de instrumentos que garantem a indenização por eventuais violações.

De modo que elaboramos para composição deste manual a tabela a seguir, que elucida as formas de responsabilizações dos Agentes de tratamento de Dados Pessoais.

Medidas previstas na LGPD para responsabilização dos Agentes

Responsabilidade solidária entre os Agentes

Os Operadores serão responsabilizados solidariamente pelos danos causados pelo tratamento quando descumprirem as obrigações da LGPD ou quando não seguirem as instruções do Controlador e, nessa hipótese, o Operador se equipara ao Controlador.

Os Controladores que estiverem diretamente envolvidos no tratamento, do qual decorreram danos ao Titular, respondem solidariamente.

Ambos os casos possuem exceções, tratadas posteriormente neste manual.

A inversão do ônus da prova em favor do Titular

Ocorrerá quando for plausível a alegação do Titular ou quando houver hipossuficiência ou onerosidade para fins de produção de prova.

Significa dizer que as Autogestões, no âmbito das ações judiciais, quando da inversão do ônus da prova terão que demonstrar a inexistência de violações aos dados do Titular.

As ações de reparação por danos coletivos

Há a possibilidade dos Titulares quando lesados, ajuizarem ações coletivas buscando reparação por danos em face do Controlador ou Operador dos Dados Pessoais violados.

11

Fica assegurado pela LGPD o direito de regresso por aquele que reparar o dano ao titular, contra os demais responsáveis, na medida de sua participação no evento danoso.

As exceções trazidas pela Lei, versam que os Agentes de tratamento não serão responsabilizados pelo vazamento de dados pessoais, desde que se comprove:

I. que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II. que, embora tenham realizado o tratamento de dados pessoais que lhes é

III. atribuído, não houve violação à legislação de proteção de dados; ou

IV. que o dano é decorrente de culpa exclusiva do Titular dos dados ou de terceiros.

É irregular o tratamento de dados pessoais quando se deixar de observar a LGPD ou quando não fornecer a segurança no tratamento que o Titular pode minimamente esperar.

Para aferição da irregularidade, a Lei estabelece fatores e circunstâncias relevantes, dentre elas:

I. o modo pelo qual o tratamento é realizado;

II. Io resultado e os riscos que razoavelmente são esperados do tratamento realizado;

III. as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Registre-se que, o Controlador ou o Operador que, ao deixar de adotar medidas de segurança, técnica e administrativas aptas a proteger os dados pessoais, é responsável pelos danos decorrentes da violação da segurança dos dados, como por exemplo, acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

9. Direitos do Titular A Lei estabelece diversos direitos ao Titular e, é de extrema importância conhecê-los, para que as Autogestões diminuam os riscos de sanções eventualmente fixadas pela ANPD. Destaca-se que existe no texto da Lei, a possibilidade de o Titular peticionar junto a ANPD contra o Controlador em relação aos seus dados.

Há a possibilidade de o Titular obter junto ao Controlador, mediante requerimento expresso pessoal ou de seu representante legal, a qualquer momento e mediante solicitação:

I. confirmação da existência de tratamento de dados;

II. acesso aos dados;

III. correção de dados incompletos, inexatos ou desatualizados;

IV. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI. eliminação dos dados pessoais, ressalvadas as exceções aqui tratadas.

A LGPD confere ao Titular o direito de requisitar a confirmação de existência ou o acesso a dados pessoais, sendo que caso o requerimento seja em formato simplificado, deverá ser providenciado pelo Controlador, imediatamente.

Noutro giro, caso o Titular exija uma declaração completa, que indique a origem dos dados, a inexistência de

12

registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, esta, deverá ser fornecida no prazo de até 15 (quinze) dias, contados da data do requerimento.

Quando o tratamento tiver origem em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação a ser definida pela Autoridade Nacional de Proteção de Dados.

Lembrando que a defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente.

Por fim, a LGPD nos apresenta situações onde haverá a impossibilidade de adoção das providências solicitadas pelo Titular. Nesse caso, cabe a Autogestão comunicar que não realiza o tratamento dos dados ou indicar as razões de fato ou direito que impedem a adoção imediata da providência.

10. FiscalizaçãoSe dará pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), como órgão da administração pública federal, integrante da Presidência da República, que dentre outras competências será responsável por:

• Zelar pela proteção dos dados pessoais;

• Editar normas e procedimentos sobre a proteção de dados pessoais;

• Deliberar, na esfera administrativa, sobre a interpretação da Lei Geral de Proteção de Dados, suas competências e os casos omissos;

• Requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais, inclusive, relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial;

• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com LGPD;

• Fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

• Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;

• Comunicar aos órgãos de controle interno o descumprimento do disposto na Lei praticado por órgãos e entidades da administração pública federal;

• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;

• Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;

• Realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;

• Realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e;

• Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação.

13

11. Sanções LGPDA LGPD prevê a possibilidade de aplicação de diversas sanções em razão das infrações cometidas à norma, sendo que em caso de descumprimento, ficam sujeitas as seguintes sanções:

Aplicação de advertência – com indicação de prazo para adoção de medidas corretivas.

Multa simples – de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Multa diária – observado o limite total a que se refere o item acima.

Publicização da infração – após devidamente apurada e confirmada a sua ocorrência;

Bloqueio dos dados pessoais – o bloqueio afeta os dados pessoais a que se referem a infração e surtirá efeito até a sua regularização;

Eliminação dos dados pessoais – exclusão dos dados a que se refere a infração.

Registre-se que quaisquer das sanções aqui expostas só poderão ser aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios contidos na LGPD.

12. O Princípio da Transparência e a Política de Privacidade

A LGPD traz a transparência como um princípio basilar, na medida em que torna obrigatória a demonstração ao titular dos dados sobre o que está sendo feito com suas informações, tal como se extrai da leitura do artigo 6º, VI da LGPD, senão, vejamos:

“VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;”

Quando pensamos em tratamento de dados pessoais, falar em transparência traz à tona a necessidade de fornecer ao beneficiário acesso facilitado, para que este, em qualquer momento, possa exercer o direito à informação, retificação ou exclusão de seus dados. Este último, apenas em casos onde não exista mais qualquer base legal que legitime o tratamento pela Instituição.

14

Dessa maneira, é de suma importância criar ou revisitar as Políticas de Privacidade das Instituições de Autogestão, para que assim fiquem em conformidade com a norma.

A Política de Privacidade deve apresentar fácil leitura e concisão, com inclusão indispensável das seguintes informações:

• Tipos de dados pessoais recolhidos e armazenados;

• Formas em que os dados pessoais serão utilizados (em um contexto médico, isso pode por exemplo incluir o uso de dados para treinamento, avaliação de serviços e auditoria clínica, bem como o objetivo principal da prestação de cuidados);

• Categorias de terceiros em potencial, com quem dados pessoais possam ser compartilhados;

• Os critérios utilizados para determinar o período de retenção de dados;

• A base jurídica para o tratamento de dados pessoais;

• Os direitos dos titulares de dados no âmbito do LGPD;

• Detalhes de contato do controlador de dados;

• Nome e dados de contato do responsável pela proteção de dados na Operadora;

• O direito de apresentar uma queixa à Operadora.

Nesse sentido, recomenda-se que a Política de Privacidade seja disponibilizada aos beneficiários, podendo ser inserida, por exemplo:

• em eventuais comunicados enviados ao beneficiário;

• no manual do beneficiário;

• na seção dedicada a política de privacidade no site da Autogestão.

13. Relação entre Controlador e o Operador dos dados

Considerando a relação entre o Controlador de dados e o Operador, há expressa determinação legal para que se tenha o registro das operações de tratamento de dados pessoais que estes realizadas.

Os controladores de dados dos beneficiários devem manter registros de atividades de processamento, que incluem por exemplo:

• o nome e detalhes de contato do controlador de dados e do responsável;

• as categorias de titulares de dados;

• as categorias de dados pessoais;

• a finalidade do processamento;

• as categorias de destinatários para quem os dados pessoais foram ou serão divulgados;

• a descrição geral das medidas de segurança técnica e organizacional, entre outros.

Antes de realizar o compartilhamento de dados pessoais de saúde, é necessário assegurar quanto à nitidez referente ao objetivo da divulgação; a base jurídica para a tal divulgação; o direito do paciente à transparência acerca do compartilhamento e o dever de confidencialidade do destinatário.

15

As Autogestões, por meio das figuras do Controlador e o Operador devem manter registro das operações de tratamento de dados pessoais que realizarem, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza o uso, a finalidade, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados, metodologia também conhecida como ‘data mapping4.

14. Revisão dos ContratosVale registrar a importância de se inserir nos instrumentos dos contratos de credenciamento, por exemplo, as cláusulas pertinentes ao contexto do tratamento de dados pessoais e seus reflexos às partes.

É necessário definir por qual canal serão transmitidas as informações do Controlador ao Operador, quais os limites de tratamento dos dados pelo Operador e quais das responsabilidades que podem incorrer cada uma das partes.

O instrumento de contrato entre as Autogestões e a sua rede de prestadores, deverá ser melhor trabalhado após a LGPD, pois até então o tratamento dos dados pessoais, não era uma preocupação pontual presente neste documento.

É imprescindível a inclusão de cláusulas voltadas para a adequação às regras e princípios da LGPD nos novos contratos e o aditamento dos já vigentes para que atendam a mencionada Lei.

Ainda, quando um servidor externo é usado para auxiliar as atividades de prestação de serviços de saúde, deve haver um contrato entre Controlador e o responsável pelo servidor, que inclua a matéria e duração do tratamento, a natureza e finalidade do processamento, o tipo de dados pessoais e categorias de titulares dos dados e as obrigações e direitos do responsável pelo tratamento, inclusive com referência ao descarte dos dados.

Pensando nisso, todas as relações no âmbito da Saúde Suplementar serão afetadas pela Lei Geral de Proteção de Dados Pessoais, sendo de extrema importância que sejam revisitados neste primeiro momento os contratos entre a Operadora e seus beneficiários, entre a Operadora e o servidor responsável por armazenamento das suas informações e, finalmente, entre a Operadora e os seus credenciados.

15. Condutas Internas para Proteção de DadosConsiderando o que dispõe a Lei Geral de Proteção de Dados Pessoais, é possível elencar uma lista de procedimentos referentes aos dados pessoais que podem ser adotados, a fim de evitar eventuais colisões com a Lei. Sugere-se, portanto, inicialmente, que sejam observadas as seguintes condições:

• mapeamento dos dados pessoais existentes e sua pertinência;

• limitações ao acesso a dados pessoais dos beneficiários;

• prazos rigorosos para a exclusão de dados pessoais não mais utilizados;

• formação específica orientada para os envolvidos;

• mecanismos de registro e verificação proporcionais à probabilidade e gravidade do risco para o direito do paciente à privacidade;

• pseudonimização das informações;

• criptografia;4.MONTEIRO, Renato L. Lei Geral de Proteção de Dados do Brasil – Análise. Disponível em https://baptistaluz.com.br/institucional/lei-geral-de-protecao-de-dados-do-brasil-analise/. Acesso em 20/08/2018.

16

Importante ressaltar que as sugestões acima elencadas por si só não são o suficiente para proteção absoluta dos dados, porém, são pontos que devem ser pensados inicialmente no âmbito da Autogestão para que seja garantida maior segurança ao tratar dados.

16. Crianças e AdolescentesO tratamento de dados pessoais de crianças e adolescentes também merece especial atenção e deverá ser realizado da seguinte maneira:

• com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.

• dispensa do consentimento de um dos pais ou responsável: quando o tratamento dos dados for necessário para contatá-los, sendo esses dados, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de pelo menos um dos pais ou responsável.

Dessa maneira, de extrema valia que as Autogestões passem, desde já a revisar seus termos de consentimento voltado aos dependentes para que se tornem adequados a norma.

Importante esclarecer que, lê-se como dados, todo material que traz com ele informações sobre o titular, incluindo aqueles documentos não eletrônicos, ainda em formato físico, sendo o momento oportuno para respectiva digitalização, observados os requisitos legais de validade, adequando-os, dessa maneira, às normas vigentes de segurança.

17. Compartilhamento e Transferência de Dados via E-mail

Para o exercício regular de suas atividades, as Instituições de Autogestão enquanto Operadoras de Planos de Saúde, compartilham muitas informações com outros setores através da troca de e-mails.

Como em qualquer processamento de dados, em relação ao risco para a privacidade do Beneficiário, devem ser observadas as medidas técnicas e organizacionais adequadas.

Observa-se que, apesar da previsão legal para que sejam adotadas medidas técnicas e organizacionais adequadas, a própria LGPD não define quais serão os padrões mínimos exigidos para que uma Instituição esteja regular perante a Autoridade5.

Isso porque, eventualmente podem ocorrer envios de e-mail para destinatários diversos daqueles pretendidos, sendo que, uma vez que o conteúdo do e-mail tenha dados pessoais, será caracterizada violação de dados, e, portanto, vale a pena minimizar o risco desse tipo de ação com medidas eficazes levando em consideração as singularidades de cada Autogestão.

Ante o exposto, recomenda-se que as Autogestões realizem a criptografia e proteção com senha dos anexos de e-mail e envio da senha separadamente, preferencialmente através de um canal de comunicação diferenciado e específico para tal.

5 A título de curiosidade, considerando as experiências em proteção de dados no âmbito internacional, a tendência é da especialização dos serviços de e-mail. Há países que contam com serviços exclusivos e personalizados para profissionais da área da saúde, visando garantir a segurança das informações trocadas entre os agentes do meio. (acerca disso, ver: https://healthmail.ie/index.cfm )

17

18. Término do Tratamento de DadosConsiderando a importância de se delimitar até qual momento há amparo legal para o tratamento de dados pessoais por parte das Autogestões, da leitura da LGPD facilmente chegamos à conclusão de que houve pouca atenção do legislador no que concerne ao tema.

A LGPD traz um rol exemplificativo de situações onde se finda a autorização legal para o tratamento de dado pelo Controlador.

No âmbito das Autogestões, pertinente citar as seguintes:

• verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada, observado eventual prazo prescricional das obrigações pertinentes à Autogestão;

• fim do período de tratamento;

• determinação da autoridade nacional, quando houver violação ao disposto na Lei.

Vale ser feita a ressalva de que os dados poderão ser conservados para fins de cumprimento de obrigação

legal ou regulatória pelo Controlador. Pensando no cenário da saúde suplementar, deverão ser observadas as hipóteses legais que determinam o período mínimo de guarda de documentos, e, ante a necessidade de maior exploração do tema, será tratado mais à frente em um tópico específico.

Para fins da Lei, a eliminação de dados deverá ser feita de modo a ser impossível sua restauração ao estado anterior, não cabendo nesses casos a anonimização ou pseudonimização.

18

19. Períodos para Guarda dos DocumentosNa hipótese do tratamento de dados é feito fundamentado no consentimento do Titular e/ou para cumprimento de obrigação legal ou regulatória, sendo que para este último, tal como é o caso das Autogestões, é necessário se atentar aos prazos máximos para guarda de documentos dos beneficiários.

Quando pensamos na necessidade de guarda da documentação, é fundamental ter em mente que os regimes estabelecidos envolvem uma questão prescricional e/ou decadencial, devendo, portanto, considerar-se o período em que o Beneficiário possui para pleitear em juízo as relações inerentes ao contrato.

A título exemplificativo, vez que os períodos a seguir mencionados não contemplam todas as hipóteses de prazos para guarda de documentação, tem-se que o prazo prescricional relacionado à discussão de responsabilidades das Autogestões em virtude dos contratos por elas firmados, consoante jurisprudência pacífica do STJ, é de 10 (dez) anos6.

Ainda, vale dizer que existem alguns documentos que por força de legislação específica possuem prazo diferenciado para armazenamento, como é o caso dos prontuários médicos, que possuem o prazo para guarda de 20 (vinte) anos contados do último registro realizado7.

É de suma importância o entendimento que se extrai do Código Civil prevê que ocorrerá a prescrição da pretensão de reparações na esfera civil no prazo de 3(três) anos 8.

Sendo assim, deverá ser avaliado caso a caso, a necessidade de tratamento daquele dado e qual o prazo obrigacional para guarda dos documentos pertinentes.

20. Ensaio sobre Roteiro de Adequação das Autogestões à LGPD

O processo de iniciação acaba se tornando o momento mais difícil, uma vez que a aplicação da norma à realidade cotidiana das Autogestões deverá ser feita em múltiplos aspectos. Diversos setores deverão trabalhar conjuntamente para que se tenha resultados efetivos, trata-se, de fato, de uma mudança de cultura.

Dessa forma, para que as Autogestões possam iniciar os procedimentos visando a adequação à LGPD, tomamos o cuidado de trazer neste material alguns passos

que consideramos importantes a serem seguidos e que merecem atenção na hora de buscar a adequação à Lei em consonância com início de sua vigência.

Considerando que há um período até o início de eficácia da Lei, poderão ocorrer novas mudanças, ainda com a constituição da Autoridade Nacional de Proteção de Dados, novos requisitos e passos poderão vir a ser necessários.

Por fim, vale dizer que esses passos por si só não são suficientes para tornar as Autogestões totalmente adaptadas à norma, uma vez que cada uma delas possuem peculiaridades que devem ser tratadas individualmente conforme suas necessidades.

6 EResp nº. 1.280.825 7 Art. 6º, Lei nº. 13.787.8 Art. 206, §3º, V

19

Quais os primeiros passos O que devo fazer?Atenção ao prazo limite para adequação O prazo para adequação até o dia16 de agosto de 2020.

Mapeamento do fluxo de Dados Pessoais

Essa etapa envolve a definição de uma nova governança junto a TI levando em consideração os controles de consentimento, os ciclos de vida do dado pessoal, sua coleta, uso, compartilhamento, enriquecimento, armazenamento, com ou sem uso de nuvem, eliminação e portabilidade.

Política de Privacidade

A LGPD alcança todos os setores da economia. Dessa maneira, toda empresa que tiver negócios no Brasil deve se adequar a ela, incluídas, portanto, as Autogestões independentemente de características particulares, deverá revisar e atualizar sua política de privacidade.

Avaliação quanto à transiçãoÉ necessário realizar o levantamento de situações que necessitem ser corrigidas pela Instituição de Autogestão para a garantir que a LGPD seja cumprida em todos os seus departamentos.

Minimizar quanto à exposição de riscos

Nesta fase a Autogestão efetivamente precisará executar os procedimentos e comandos contidos na LGPD, seja no âmbito administrativo, técnico (TI) ou relacionado à segurança propriamente dita. É o momento em que as medidas protetivas acerca da base de dados da Autogestão são efetivadas, com intuito de neutralizar as vulnerabilidades.

Encarregado pelo Tratamento (EPD)

As Entidades de Autogestão deverão ter um encarregado pelo tratamento de dados pessoais, que será responsável por reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Proteção preventiva

Significa a realização de condutas de proteção dos dados desde a concepção do produto (contrato, por exemplo), sendo incorporada diretamente às estruturas tecnológicas, ao modelo de negócio e à infraestrutura física da Autogestão. Envolve ainda a atualização das cláusulas contratuais, Estatuto e Regulamentos à luz da LGPD.

Incentivar a adoção de boas práticas e a mudança na cultura interna

Poderão ser ofertados cursos aos colaboradores, treinamentos periódicos e outros meios para efetivar a mudança de cultura dentro do ambiente de trabalho da Instituição.

Organizar uma política de tratamento dos incidentes

Visa garantir o cumprimento de requisitos de comunicação às autoridades em caso de vazamentos ou uso indevido de dados pessoais.

Documentar as análises e procedimentos

Tem por objetivo implementar o Registro de Processamento de Dados Pessoais dentro da Instituição.

20

21. Pontos Finais que Merecem Destaque• Subcontratantes: as normas contidas na LGPD

estendem-se também aos subcontratantes de uma empresa, como fornecedores, prestadores e parceiros de tecnologia. Estão todos esses sujeitos às obrigações descritas na Lei.

• Havendo consentimento quando do tratamento dos dados, o Controlador deve manter sob sua guarda, documentação comprobatória da sua obtenção em conformidade com a lei.

• Os titulares têm direito ao acesso facilitado às informações sobre o tratamento de seus dados, disponibilizadas de forma clara, adequada e ostensiva, principalmente no que se refere à finalidade, forma e duração do tratamento, além da menção explícita aos direitos do titular. Ainda nesse sentido, uma inovação da lei é o direito dado ao titular de obter seus dados pessoais através de um arquivo interoperável (aquele manipulável em qualquer base de sistema), além de poder solicitar a portabilidade, que constitui a transferência dos dados para outra empresa/entidade.

• Os titulares dos respectivos dados podem retificar, cancelar ou até solicitar a exclusão desses dados mediante manifestação expressa, ressalvadas as hipóteses legais que afastam o tratamento dos dados por meio do consentimento.

• O tratamento dos dados, via de regra, não pode ocorrer por tempo indeterminado, devendo cessar quando alcançada a finalidade ou quando os dados deixarem de ser necessários ou pertinentes; ao fim do período de tratamento; mediante comunicação do titular; ou por determinação da autoridade nacional. Os dados devem ser eliminados após o término do tratamento, salvo exceções específicas.

• Partindo da máxima de que o jurídico não pode ser visto como frente de prevenção, mas sim de reação e, ainda, levando em consideração o mapeamento realizado previamente nos departamentos, é importante que a Autogestão viabilize os esforços necessários para aplicação prática da matéria aqui abordada.

• Por fim, é de vital importância cumprir e se fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e atividades de cada entidade.

A presente cartilha visa despertar a atenção das Autogestões para a importância do tema, não de forma exaustiva, a fim de que elas iniciem, caso não tenham feito, seu processo de adequação, considerando suas necessidades e especificidades, com a atenção que a matéria requer.

21

22. BibliografiaBIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

BRASIL. Constituição. Constituição da República Federativa do Brasil. Brasília, DF: Senado Federal, 1988.

BRASIL, República Federativa do, Lei 13.708 de 14 de agosto de 2018;

COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Comentada. Brasil: Revista dos Tribunais, 2018.

DONEDA, Danilo. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia. Brasília: Escola Nacional de Defesa do Consumidor, 2010.

______. Da privacidade à proteção de dados pessoais. Disponível em <http://egov.ufsc.br/portal/sites/default/files/anexos/29536-29552-1-PB.pdf>. Acesso em 19 jul. 2018.

______; MENDES, Laura Schertel. Marco Jurídico para Cidadania Digital: uma análise do Projeto de Lei 5.276/2016. São Paulo, Revista de Direito Civil Contemporâneo, v. 9, out. - dez. 2016.

DUQUE, Jony. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS: SUA APLICAÇÃO NAS RELAÇÕES DE CONSUMO E A QUESTÃO DO COMPARTILHAMENTO DE DADOS, Monografia apresentada à Escola Paulista da Magistratura, como exigência parcial para aprovação no Curso de Pós-Graduação ‘Lato Sensu’, 2018.

GRANVILLE, Kevin. Facebook and Cambridge Analytica: What You Need to Know as Fallout Widdens. The New York Times, Nova York, 19 mar. 2018. Disponível em: <https://www.nytimes.com/2018/03/19/technology/facebook-cambridge-analytica-explained.html>. Acesso em 14 jul. 2018.

GRINGS, Maria Gabriela. Privacidade e interesse público no Brasil e na Inglaterra. Revista de Processo Comparado, 4:129-157, jul. – dez. 2016.

MENDES, Laura Schertel. A vulnerabilidade do consumidor quanto ao tratamento de dados pessoais. Revista de Direito do Consumidor, vol. 102, p. 19-43, nov. a dez. 2015.

______. O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor. Revista de Direito do Consumidor, vol. 106, São Paulo, jul. – ago. 2016.

______. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014.

______. Transparência e privacidade: violação e proteção da informação pessoal na sociedade de consumo. 2008. Dissertação (Direito) – Universidade de Brasília, Brasília, DF, 2008.

SILVA, José Afonso da. Curso de Direito Constitucional Positivo, 37ª ed. São Paulo: Malheiros, 2013.

UNIÃO EUROPEIA. Regulamento 2016/679. Publicado no Official Journal of the European Union em 4 de maio. 2016. Disponível em <https://eur-lex.europa.eu/legal-content/EB/TXT/HTML/?uri=CELEX:32016R0679&from=PT> Acesso em 26 mar. 2019.

WARREN e BRANDEIS, The Right to Privacy, in: Harvard Law Review, Vol IV, Dezembro, 15, 1890.

22

Anotações_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

23

Anotações_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________