A Lei Geral de Proteção de Dados – LPGD entrará em vigor apenas em 2020, contudo, já tem exigido olhos atentos, especialmente na área da saúde. Isso porque, embora a LGPD traga importantes impactos para todos os setores da Economia, são ainda superiores os efeitos sentidos por toda a cadeia envolvendo hospitais, clínicas e mesmo a saúde suplementar, uma vez que lida constantemente com o que a lei denomina de dados pessoais sensíveis.
Tal preocupação é reverberada ao se apurar o constante compartilhamento dessas informações praticado atualmente, como, por exemplo, nos pedidos de reembolso às operadoras de planos de saúde, na autorização de procedimentos com redes parceiras, na obrigatoriedade do preenchimento da declaração de saúde pelos consumidores, entre profissionais de saúde de diferentes especialidades para discutir o diagnóstico, entre o laboratório e o médico para informar o resultado do exame.
Ou seja, em vista da complexidade do processo, muitos prestadores de serviços –– médicos, enfermeiros, hospitais, fornecedores de medicamentos, laboratórios, operadoras de saúde –– acabam por se envolver com os dados pessoais dos pacientes.
Esse extenso tratamento de dados –– enquanto conjunto de inúmeros atos que, de maneira geral, dão acesso e compartilham as informações –– é uma realidade que deve ser readaptada às exigências dessa polêmica lei.
Entre suas normas, a Lei nº 13.709/18 dispõe, especificamente, que é permitido o tratamento de dados para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Contudo, a redação dada pela Medida Provisória nº 869/2018 veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica. As exceções a esta proibição incluem a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde em benefício dos interesses dos titulares de dados. Ainda são autorizados os compartilhamentos que tenham por finalidade a portabilidade de dados quando solicitada pelo titular ou as transações financeiras e administrativas resultantes do uso dos serviços de saúde.
Quanto à saúde suplementar, também foi dada forma em lei para proibir as operadoras de planos privados de assistência à saúde de realizarem o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Esse cenário já era previsto na Súmula Normativa nº 27/2015 da Agência Nacional de Saúde – ANS, ganhando mais força pela lei federal.
Pode-se observar que o legislador buscou ser sensível à realidade do setor, entretanto, as próprias noções de “obter vantagem econômica” e “em benefício dos interesses dos titulares dos dados” podem sofrer inúmeras interpretações. Essa falta de clareza e objetividade quanto às hipóteses em que o compartilhamento é permitido causam certa insegurança, principalmente, considerando que a multa é de 2% sobre o faturamento da empresa, podendo chegar ao limite de R$ 50 milhões.
É fundamental, pois, que sejam adotadas medidas que contribuam para garantir a segurança de dados dos pacientes por todos os agentes que operam tais dados em cadeia, já que são igualmente responsáveis em caso de falhas. A exigência de programas de compliance e de governança corporativa, por exemplo, constituem-se em efetivas ações para reduzir os riscos com vistas ao efetivo cumprimento das normas da LGPD.
Ademais, é necessário verificar os procedimentos atuais realizados dentro de cada empresa. A lei exige que as instituições informem a finalidade da utilização dos dados, assim como requeiram o consentimento para o seu compartilhamento. Ao final da cadeia, deve-se verificar se os registros são apagados, conforme determina a legislação discutida.
É nesse sentido que se vislumbra a necessidade de adequação às diretrizes impostas pela lei, inclusive com o treinamento de profissionais preparados para lidar com estes dados da maneira correta, conscientes de sua responsabilidade. Adaptar-se ao novo modelo é preciso e uma assessoria jurídica é primordial para a qualidade na governança da segurança da informação. Afinal, estar preparado quando da entrada em vigor da LGPD pode evitar problemas e dores de cabeça.
