LV/A - Lima Vasconcellos Advogados

Em função da relevância dos dados relacionados à saúde, o setor de saúde suplementar recebe atenção especial no texto da lei.

As operadoras atendem hoje cerca de 22% da população, contabilizando algo em torno de 47,1 milhões de conveniados. Entre planos individuais, familiares e empresariais, esse mercado trabalha com um banco de dados massivo e de alto valor estratégico.

Nele estão incluídas não apenas informações pessoais, mas também dados considerados “sensíveis”, que dizem respeito ao histórico de saúde do paciente.

Todo esse volume de informação é necessário, entre outras coisas, para viabilizar a personalização de tratamentos e embasar programas de medicina preventiva, além de alimentar sistemas de monitoramento de pacientes e outras tecnologias de apoio ao profissional de saúde.

Ou seja: sem esses dados a prestação dos serviços de saúde suplementar seria inviabilizada.

É por isso que analistas da área avaliam que a regulamentação mais incisiva tornará este ativos ainda mais valiosos. Em consequência, isso aumentaria o risco das operadoras se tornarem alvo de ataques cibernéticos e sequestro de dados.

Dessa forma, a entrada em vigor da LGPD exigirá das instituições de saúde suplementar um gerenciamento ainda mais cuidadoso das informações dos pacientes.

O QUE SÃO DADOS PESSOAIS SENSÍVEIS

Antes de avançarmos, é importante entender a diferenciação que a LGPD faz entre dados pessoais e dados pessoais sensíveis.

Dados pessoais são informações que permitem identificar, direta ou indiretamente, a pessoa natural “por trás” do dado. Nessa categoria estão o nome, a data de nascimento, números de documentos pessoais, endereço, telefone e e-mail, além de cookies de navegação e endereço IP.

Dados pessoais sensíveis são informações que podem resultar em algum tipo de discriminação ou violência contra a pessoa. Eles podem envolver a origem racial, a sexualidade, a convicção religiosa, a opinião política ou a filiação sindical. E também toda informação referente à saúde do indivíduo, incluindo dados genéticos ou biométricos.

Dessa forma, é considerado sensível todo o conteúdo de prontuários, prescrições, receituários e resultados de exame, além de dados relativos a consultas, procedimentos, cirurgias e internações.

Sabendo que o tratamento de dados sensíveis será mais rigidamente controlado pela LGPD, os gestores da área de saúde suplementar devem estar atentos para adaptar suas operações às novas regras.

O QUE É TRATAMENTO DE DADOS E COMO ELE DEVE SER FEITO?

De acordo com o texto da LGPD, o tratamento de dados consiste em toda e qualquer operação efetuada sobre dados pessoais, seja por meios manuais ou automatizados.

Isso envolve a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão e extração de dados.

Segundo a lei, os dados pessoais sensíveis só poderão ser tratados mediante o consentimento do titular – que, no caso das operadoras, é o beneficiário.

O tratamento de dados sem a autorização expressa do titular é permitido apenas em alguns casos específicos:

• cumprimento de obrigação legal ou regulatória pelo controlador;
• realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• proteção da vida ou da incolumidade física do titular ou de terceiro;
• tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

Um exemplo de uso de dados sem consentimento é no caso de uma pessoa chegar desacordada no pronto atendimento de uma unidade de saúde, em estado de urgência.

Na necessidade de realizar um exame de sangue nesse paciente, os profissionais podem fazê-lo sem seu consentimento, pois trata-se de um caso de proteção à vida.

Outro caso que não necessita consentimento é o uso dos dados para atestar o cumprimento de políticas públicas ou normas da ANS, por exemplo.

COMO FUNCIONA O CONSENTIMENTO PARA O TRATAMENTO DE DADOS?

No âmbito da LGPD, o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Cada tipo de tratamento de dados cujo consentimento seja obrigatório deverá ter a autorização expressa do titular, referente àquele tratamento específico.

Sua operadora pode formalizar essa autorização por meio de um Termo de Consentimento Livre e Esclarecido (TCLE), documento no qual o titular dos dados permite seu armazenamento e uso para fins específicos.

Nesse documento, sua operadora deve deixar expresso o que fará com os dados e em quais situações os compartilhará.

Quando o tratamento de dados envolver o compartilhamento destes com algum outro controlador, deve haver consentimento específico para tal.

Por isso, como forma de se resguardar, é recomendável que sua operadora busque o consentimento em todos os casos.

Lembrando que o consentimento das autorizações já concedidas pode ser retirado a qualquer momento pelo beneficiário.

CONTROLADORES E OPERADORES DE DADOS

Outra novidade trazida pela LGPD é a figura do agente responsável pelo tratamento dos dados. Um agente é toda instituição que utiliza dados pessoais dos titulares, seja de forma direta ou indireta.

Existem dois tipos de agentes, de acordo com a lei:

CONTROLADOR DE DADOS

Pessoa ou empresa a quem competem as decisões referentes ao tratamento de dados pessoais. Ela é a responsável por definir as medidas de segurança aplicadas no tratamento dos dados. Um hospital ou operadora de saúde se enquadram nessa definição.

OPERADOR DE DADOS

Pessoa ou empresa que faz o tratamento de dados pessoais em nome do controlador. Isso inclui todo prestador de serviços que tenha acesso a esses dados, como empresas de software, consultorias atuariais, auditorias externas, empresas de digitalização, etc.

Aí vai um exemplo para você entender melhor esses papéis.

Um paciente fornece uma série de dados pessoais a um hospital antes de realizar um determinado procedimento. O hospital nesse caso é o controlador.

Para trabalhar com estes dados, o hospital precisa processá-los por meio de um sistema de um fornecedor contratado. Esse fornecedor seria o operador dos dados.

Acontece que, perante o titular dos dados (paciente), o responsável no caso de algum problema ou vazamento de informações será sempre o controlador.

Por isso, os gestores de saúde precisam redobrar o cuidado ao contratar um sistema de gestão ou terceirizar operações que envolvam o tratamento de dados pessoais dos pacientes.

NOVIDADE: O ENCARREGADO PELA PROTEÇÃO DOS DADOS

Além de definir as figuras do controlador e do operador, a LGPD cria também uma função que deve ser cumprida por um colaborador específico dentro das empresas.

Trata-se do encarregado de proteção de dados (Data Protection Officer ou DPO, na sigla em inglês).

Esta pessoa deve atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), que é a entidade responsável por fiscalizar o cumprimento da lei.

O responsável pela indicação deste profissional é o controlador dos dados.

Portanto, a partir de agosto de 2020 toda operadora de saúde deverá ter um encarregado de proteção de dados na sua equipe.

Ele deve auxiliar na instalação do programa de privacidade, participar da emissão de relatórios de risco de tratamento de dados, além de manter contato com as autoridades responsáveis.

COMO SE PREPARAR PARA LGPD NA ÁREA DE SAÚDE SUPLEMENTAR

1. REVISE A POL[ITICA DE PRIVACIDADE E TRATAMENTO DE DADOS

Organize em sua operadora um processo para revisar todas as normas internas referentes à coleta e tratamento de dados. Certifique-se que elas estão dentro dos parâmetros da LGPD.

2. PROMOVA O TREINAMENTO DA EQUIPE

Conscientize seu quadro de profissionais de saúde para que compreendam a importância e a responsabilidade de trabalhar com os dados pessoais dos pacientes. Reforce procedimentos e metodologias para garantir a segurança dessas informações. Sua política de segurança deve estar bem clara para todos os funcionários, diretores, prestadores de serviços e médicos que têm algum tipo de acesso aos dados.

3. FAÇA MODIFICAÇÕES NO MODELO DO PRONTUÁRIO

Evite a utilização de prontuários impressos, pois eles não garantem a segurança dos dados. Priorize o prontuário eletrônico e garanta que todas as suas informações sejam utilizadas somente com a autorização expressa do beneficiário.

4. PEÇA AUTORIZAÇÃO FORMAL PARA O TRATAMENTO DE DADOS

Será necessário entrar em contato com cada beneficiário da sua operadora, solicitando permissão formal para o uso e o armazenamento de dados pessoais. Destaque de forma clara e específica que dados serão armazenados e que uso será feito deles. Quando se tratar de crianças ou adolescentes, os responsáveis pelos dados são os pais ou responsáveis legais.

5. TRABALHE COM DIFERENTES FONTES DE DADOS

Formulários preenchidos presencialmente não são as únicas fontes que uma operadora utiliza para obter informações sobre seus beneficiários. É possível utilizar formulários digitais para agendamento de consultas online, além de contatos por telefone, WhatsApp e outros aplicativos de mensagens.

6. FACILITE ACESSO AOS DADOS PESSOAIS

Como os titulares podem solicitar suas as informações a qualquer momento, sua operadora deve garantir que esses arquivos estejam disponíveis para envio imediato. Centralizar as informações, integrando todos os aplicativos e sistemas utilizados para atendimento, é a melhor maneira de facilitar esse processo.

7. GARANTA A SEGURANÇA DOS DADOS

Ao contratar um fornecedor na área de tecnologia da informação, busque empresas que ofereçam soluções que prezam pela segurança e utilizam criptografia de ponta a ponta para proteger os dados.

Não esqueça que sua operadora será a única responsável pela segurança de todos os dados que estão armazenados em seus sistemas. Portanto, invista em softwares e sistemas que impeçam o acesso de dados sensíveis por pessoas externas.

Fernando Henrique Ferreira de Souza é advogado, especialista em Direito do Trabalho e Direito Digital junto a SV/A – Souza e Vasconcellos Advogados.