Os impactos da Lei Geral de Proteção de Dados Pessoais no setor da saúde suplementar

Os impactos da Lei Geral de Proteção de Dados Pessoais no setor da saúde suplementar

Ângela Ventim Lemos e Christine Albiani*

20 de fevereiro de 2021 | 17h55

Ângela Ventim Lemos e Christine Albiani. FOTOS: ARQUIVO PESSOAL

Vivemos numa sociedade informacional, na qual o tratamento, a gestão e o compartilhamento de dados das mais diversas naturezas pode representar uma vantagem relevante para as organizações. Afinal, dados pessoais dos cidadãos – transformados em informações e convertidas em conhecimento aplicado de forma estratégica na atividade empresarial – são um fator vital para a engrenagem da economia da informação.

A popularização da internet, o advento do big data e o desenvolvimento da inteligência artificial são alguns dos pilares da sociedade contemporânea e, portanto, a proteção de dados pessoais se torna cada vez mais relevante à medida que a quantidade de dados criados e armazenados continua a crescer exponencialmente.

Poucos meses da vigência da Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais ou “LGPD”, diversos casos de vazamento de dados pessoais foram noticiados, dentre eles, o do Superior Tribunal de Justiça, o do Ministério da Saúde e, mais recentemente, o megavazamento de dados de 223 milhões de brasileiros.

Diante das recentes notícias e da gravidade dos acontecimentos, restou evidente o protagonismo da pauta de segurança da informação e da aplicabilidade das multas em caso de descumprimento da legislação de proteção de dados pessoais vigente no país.

Diante da constatação de que a LGPD é lei de aplicabilidade geral e ampla, tendo em vista que o mero acesso ao dado pessoal já é considerado uma operação de tratamento, seguido da coleta, passando pela transmissão, processamento, armazenamento e até a eliminação do dado, afirma-se que a lei impõe obrigações de conformidade que devem ser cumpridas por organizações (públicas e privadas) dos mais diversos segmentos da sociedade, sob pena de aplicação das mencionadas sanções administrativas e responsabilização.

Vale salientar que as sanções administrativas instituídas pela lei – em vigor a partir de 1º de agosto de 2021 – são aplicáveis a todo e qualquer descumprimento à LGPD que represente uma violação à integridade, disponibilidade e confidencialidade dos dados pessoais, não necessitando tratar-se de vazamento de dados pessoais para que sejam aplicadas as punições previstas. Pode ser, por exemplo, uma gestão negligente de acesso a dados pessoais que represente a disponibilização excessiva desses dados para atrair a aplicabilidade de punições.

Destaca-se, neste âmbito, a importância da adoção de Programas de Compliance em Proteção de Dados Pessoais e Cybersegurança – que pretendem implementar na organização planos de ação voltados para uma transformação perene de sua cultura de privacidade e segurança da informação – que não só são incentivados pela LGPD, mas podem influenciar na aplicação das mencionadas sanções administrativas, através de um abrandamento das penalidades impostas pela Autoridade Nacional de Proteção de Dados (a “ANPD”).

Neste contexto, compreende-se que o objetivo principal da LGPD é o de garantir que o tratamento das informações pessoais seja projetado para salvaguardar os indivíduos no que diz respeito à proteção de valores fundamentais, como a liberdade, autodeterminação informativa e privacidade. Assim, para evitar usos antiéticos dos dados pessoais, a proteção de dados realiza distinção entre as finalidades permitidas e não permitidas.

Ultrapassado este panorama geral, pode-se afirmar que a implementação da LGPD impacta e altera antigas práticas e o modo de funcionamento de empresas, sobretudo, as inseridas no mercado de saúde suplementar.

Particularmente neste setor, a lei classifica os dados como sensíveis – já que é tido como sensível qualquer dado a respeito da saúde, da vida sexual, dado genético ou biométrico, de acordo com o Art. 5º, II da LGPD – e, assim, demanda uma atenção especial, já que garante uma maior proteção e tratamento mais criteriosos.

Os dados sensíveis requerem uma proteção maior por poderem ser utilizados com viés discriminatório e, por consequência, as condições para seu tratamento são muito mais exigentes: precisa haver um consentimento expresso do titular, destacado no instrumento de declaração autorizativa para o tratamento de dados e destinado a uma finalidade específica (art. 5º, XII, da LGPD).

Especialistas em privacidade e proteção de dados apontam que a saúde é um dos setores que mais recebeu multas por violação ao GDPR. O setor recebeu, até janeiro 2020, 15% de todas as multas aplicadas desde março de 2018. Sendo que o valor das punições na época já ultrapassava a marca de € 114 milhões, e em janeiro de 2021, chegou a € 270 milhões, conforme levantamento realizado pelo escritório de advocacia britânico DLA Piper.[1]

Fato é que o advento das legislações gerais de proteção de dados pessoais, a atuação efetiva das autoridades de proteção de dados e a punição das organizações, são fatores fundamentais para a disseminação progressiva da cultura da privacidade e da conscientização dos titulares de dados pessoais pelo mundo.

À título ilustrativo, afirma-se que a taxa diária de notificações de violações da GDPR aumentou 19% em comparação com o relatório do ano passado (com 331 notificações), que já apresentava um aumento de 12%, quando comparado ao ano anterior, com apenas oito meses de vigência da GDPR (com 278 notificações).

Em países como Portugal e Holanda, as primeiras multas com fundamento no GDPR foram impostas a hospitais que não observaram as restrições legais sobre acesso aos dados de prontuários médicos (de pacientes).

Em Portugal, o Centro Hospitalar Barreiro Montijo, entre outras violações – relacionadas a não aplicação de medidas técnicas e organizacionais para impedir o acesso ilícito a dados pessoais –, mantinha 985 usuários cadastrados como “médico”, enquanto apenas 296 médicos efetivamente trabalhavam no hospital, o que lhe rendeu multa de €400 mil euros imposta pela Comissão Nacional de Proteção de Dados[2]. Tratou-se de violação ao princípio da minimização, já que permitiu o acesso indiscriminado a um número excessivo de usuários.

Na Holanda, por sua vez, uma celebridade teve 85 funcionários acessando seu prontuário ao dar entrada no Hospital de Haga. Neste caso, a organização foi multada em  € 460 mil euros pela autoridade holandesa de proteção de dados[3].

No âmbito nacional, essa análise de casos é de grande relevância para as empresas, uma vez que, na falta de precedentes locais para aplicação das penalidades, a nossa Autoridade Nacional de Proteção de Dados, a “ANPD”, certamente se apoiará nas decisões tomadas na Europa, sobretudo, porque há uma maior maturidade em relação ao tema e o GDPR que regula a proteção de dados pessoais na Europa serviu de inspiração para a LGPD.

No Brasil, a Lei Geral de Proteção de Dados, demandará, naturalmente, regulamentação específica de acordo com as peculiaridades de cada setor e, por isso, a ANPD, possui um papel fundamental na aderência da lei no cotidiano das organizações. Além de ser o órgão fiscalizador e responsável pela aplicação das sanções administrativas, irá regulamentar temas referentes à proteção de dados pessoais no país.

Nesse contexto, a área da saúde suplementar, segmento já exaustivamente regulado por conta da sua inquestionável importância, tem como desafio compatibilizar as novas regras da LGPD com as normas setoriais já existentes (regulações do Conselho Federal de Medicina e ANS, Lei do Prontuário Eletrônico – nº 13.787/2018 –, etc.) de forma a definir o adequado cumprimento de suas obrigações no que diz respeito a atividades que envolvem tratamentos de dados pessoais, como a gestão de acesso a prontuários médicos, por exemplo.

Enquanto a ANPD não regulamenta a questão, de forma cooperativa com as autoridades do setor da saúde, faz-se necessária a realização de uma interpretação sistemática, coerente e harmônica para o direcionamento das organizações em relação a adequação à LGPD e para a construção das primeiras teses judiciais sobre o tema.

Fato é que independentemente das legislações já existentes que regulam a coleta, o uso e o processamento de dados pessoais em concomitância com a LGPD (como O Código de Defesa do Consumidor e o Marco Civil da Internet), quando estamos diante do compartilhamento de dados sensíveis e consequentemente dados de saúde, as regras não são claras e nesse ponto nos deparamos com inúmeras possibilidades.

A LGPD promove uma profunda alteração de perspectiva em relação à forma com que as instituições de saúde lidam com os dados de pacientes, o que nos impulsiona a buscar com celeridade o aprimoramento de processos e políticas de privacidade que envolvem a forma adequada de tratamento e segurança da informação.

Neste seguimento, cada instituição controladora de dados pessoais – hospitais, clínicas, consultórios, operadoras de plano de saúde, médicos particulares ou qualquer empresa do setor que detenha o poder decisório sobre as operações de tratamento destes dados – deve encontrar a melhor maneira de promover a implementação da LGPD, assegurando a todas as pessoas, pacientes, colaboradores, clientes, médicos, fornecedores, a proteção dos seus dados.

Consequentemente, estas organizações devem proporcionar os meios adequados para que os titulares tenham acesso aos seus dados pessoais, e possibilitar que seus direitos (descritos no Art. 18 da LGPD) e solicitações sejam atendidas.

Para tanto, frisa-se a relevância de treinamentos (de conscientização e capacitação) direcionados aos colaboradores como plano de ação para que haja uma efetiva mudança de cultura organizacional, propiciando o atingimento de um sistema integrado de gestão de conformidade em proteção de dados pessoais, que garanta o direito à privacidade, o sigilo e a dignidade de seus usuários (paciente e clientes).

Em suma, a organização deve realizar o mapeamento dos seus dados, identificando todas as formas de entrada, as finalidades para o tratamento e se este tratamento realizado é legítimo, rever suas políticas e procedimentos, investir em segurança da informação (com a adoção de sistemas que garantam maior proteção da informação), promovendo o treinamento dos seus colaboradores para que haja uma efetiva adequação à LGPD.

A economia digital apresenta mudanças constantes decorrentes do desenvolvimento de novas tecnologias, o que vem causando transformações no funcionamento da Sociedade e, consequentemente, no setor da saúde, que é diretamente impactado pelo aperfeiçoamento de softwares, equipamentos, e pela evolução de aplicações na rede.

Se, de um lado, é inegável que a evolução tecnológica (que se utiliza dos dados como elemento propulsor) pode trazer progressos através da adoção de processos mais seguros, é também imprescindível observar que o ambiente digital rompeu com fronteiras, gerando novos riscos e desafios: garantir segurança jurídica às organizações com o delineamento mais preciso de boas práticas no setor (possibilitando a inovação) e maior proteção aos direitos dos titulares dos dados pessoais.

*Ângela Ventim Lemos, especialista em Direito Tributário pelo Instituto Brasileiro de Estudos Tributários – IBET. Especialista em Direito e Gestão Imobiliária pela Faculdade Baiana de Direito. Mestranda em Direito Tributário pela Fundação Getúlio Vargas – FGV DIREITO SP. Membro da Comissão de Direito Tributário da OAB/BA. Presidente da Associação Brasileira de Mulheres de Carreira Jurídica – Comissão Bahia – ABMCJ/BA

*Christine Albiani, advogada. Especialista em Direito Tributário e em Direito Processual Civil pela Universidade Cândido Mendes. Autora do livro Violação de direitos autorais e responsabilidade civil do provedor diante do Marco Civil da Internet. Integrante do 3º Grupo de Pesquisa do Instituto de Tecnologia e Sociedade (ITS-Rio). Integrante da Comissão Especial de Direito Digital da OAB/BA

[1] https://www.dlapiper.com/en/us/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-breach-survey-2021/

[2] https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/

[3] Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/en

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.