Governança

A Lei 13.709/2018, conhecida como LGPD (Lei Geral de Proteção de Dados), entrou em vigor no dia 18 de setembro de 2020 e conta com uma série de disposições para orientar e regular o tratamento de dados pessoais. Há diversas normas e regulações setoriais que abordam a privacidade e proteção de dados no Brasil, como o Código de Defesa do Consumidor, a Lei de Acesso à Informação, a Lei Geral de Telecomunicações, o Marco Civil da Internet, a Constituição Federal Brasileira e, no caso da saúde, as diversas normas setoriais da Agência Nacional de Saúde Suplementar (ANS), do Conselho Federal de Medicina (CFM), da Agência Nacional de Vigilância Sanitária (Anvisa), do Conselho Nacional de Saúde (CNS) e entre outras.

Todos os setores que lidam com dados pessoais no exercício de suas atividades precisam se atentar para o tema da proteção de dados pessoais em conformidade com a LGPD. Como a Cooperativa realiza o tratamento de dados sensíveis, se faz necessária a adequação à LGPD de forma ainda mais determinante. Apesar de ser intuitivo o fato de os dados pessoais estarem presentes em toda área de saúde, exemplificamos abaixo alguns momentos em que eles são tratados nesse ecossistema e que, portanto, merecem especial atenção:

• - Atendimento de pacientes: Hospitais (Ambulatório e Pronto Atendimento);
• - Laboratórios: Clínicas e Consultórios Médicos e Telemedicina;
• - Pesquisa Clínicas e etc.
• - Precificação de planos e serviços de saúde.

Ao proteger os dados pessoais, a LGPD objetiva tutelar os direitos fundamentais de liberdade e privacidade, bem como a autodeterminação informativa da pessoa natural.

A LGPD dispõe de regras para o tratamento de dados pessoais, sendo uma legislação que estabelece os principais valores que deverão nortear a utilização dos dados pessoais pelos agentes de tratamento, sejam eles entidades públicas ou privadas.

Os princípios são:

Finalidade: todo tratamento de dados pessoais deverá ter uma finalidade legítima, específica, explícita e informada ao titular do dado pessoal, justamente para que possa ter controle e ciência sobre o que está sendo feito com seu dado.

Adequação: o tratamento deverá ser adequado em relação às finalidades que foram informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: todo tratamento de dados deverá estar limitado ao mínimo necessário para o alcance de suas finalidades, envolvendo apenas os dados pertinentes, proporcionais e não excessivos para determinada atividade de tratamento.

Livre acesso: este princípio é uma garantia ao titular de que ele possa ter acesso, de forma fácil e gratuita, à integralidade de seus dados pessoais, bem como à forma e à duração do tratamento.

Qualidade dos dados pessoais: garante aos titulares a exatidão, clareza, relevância e atualização de seus dados, conforme necessidade e para o cumprimento da finalidade de seu tratamento, podendo os titulares corrigirem seus dados a qualquer tempo, por meio de procedimento facilitado e sem custos. Levando em consideração que os dados pessoais identificam seu titular, qualquer dado equivocado a respeito dele poderá implicar algum tipo de prejuízo.

Transparência: determina que o tratamento de dados pessoais seja feito com a maior transparência possível, garantindo ao titular informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes que o realizam, observados, contudo, os segredos comercial e industrial.

Segurança e prevenção: todo e qualquer agente de tratamento deverá aplicar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção:deverão sempre ser adotadas medidas para fins de prevenção da ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação: nenhum dado pessoal poderá ser tratado em descrédito ou de forma injusta com relação ao seu titular ou, ainda, ser utilizado para discriminá-lo ou para outros fins ilícitos ou abusivos.

Responsabilização e prestação de contas: o agente de tratamento deverá ser capaz de demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das regras de proteção de dados pessoais.

O conceito de tratamento de dados abrange qualquer operação feita com o dado pessoal, entre elas coleta, produção, recepção, classificação, utilização, o acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Nesse sentido, qualquer procedimento que usar dado pessoal será considerado tratamento e estará sujeito às regras previstas pela Lei Geral de Proteção de Dados Pessoais.

A LGPD determina no artigo 11, §3º, que o compartilhamento de dados sensíveis poderá ser objeto de vedação ou regulamentação específica pela Autoridade Nacional de Proteção de Dados, trazendo, entretanto, regras específicas a respeito do compartilhamento de dados pessoais sensíveis de saúde entre controladores para obtenção de vantagem econômica.

No mesmo sentido, o artigo 11, §4º, veda o compartilhamento de dados de saúde entre controladores para obtenção de vantagem econômica, exceto quando for necessário para prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, sempre em benefício dos interesses dos titulares de dados.

A portabilidade e as transações financeiras e administrativas que necessitem de compartilhamento de dados pessoais de saúde também o justificam nos termos do artigo 11, §4º, I e II, da LGPD, podendo ser adotada a portabilidade entre planos de saúde ou a necessidade de faturamento de procedimentos entre um hospital credenciado e o respectivo plano de saúde.

A CNSaúde (Confederação Nacional de Saúde), em parceria com a ANS e outras instituições, desenvolveu Código de Boas Práticas que dedica, em sua segunda parte, atenção especial ao compartilhamento de dados pessoais de saúde nesse contexto.

É muito importante esclarecer que a Lei Geral de Proteção de Dados, além de trazer obrigações para os controladores e operadores, traz direitos aos titulares dos dados, como:

1. I. confirmação da existência de tratamento;
2. II. acesso aos dados;
3. II. acesso aos dados;
4. III. correção de dados incompletos, inexatos ou desatualizados;
5. IV. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
6. V. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
7. VI. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei;
8. VII. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
9. VIII. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
10. IX. revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

O titular tem direito de solicitar, ainda, a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Os dados pessoais são arquivados obedecendo à temporalidade necessária para a realização das finalidades e/ou de acordo com prazos legais vigentes. Os dados pessoais são descartados de forma segura e conforme legislações vigentes.