Faltando menos de um ano para a entrada em vigor da Lei 13.209/2018, apesar da crescente movimentação de diversos setores econômicos, do aumento no número de publicações, de fóruns e de debates temáticos, apenas cerca de 24% das empresas estão preparadas para atender às diretrizes e obrigações trazidas pela LGPD [1].
Por preparação compreende-se não apenas a existência de um projeto de adequação de processos e sistemas às diretrizes da nova legislação como também de orçamento específico e de pessoas preparadas para garantir a execução desse projeto. Não por outro motivo, o percentual acima mencionado foi a principal justificativa fornecida pelo Deputado Federal Carlos Bezerra (MDB-MT) para apresentar o Projeto de Lei n. 5.762/2019, que visa postergar o início de vigência da LGPD para 2022 [2].
Sem a pretensão de adentrar searas mais complexas, enquanto não se tiver uma maior definição sobre qual será a configuração exata da ANPD nem se a vacatio legis de dois anos será ou não prorrogada, vale a pena ter em mente alguns aspectos específicos da LGPD para o setor da saúde.
1. Dados de saúde e bases legais
O art. 5º, II da LGPD não define dado pessoal sensível, mas enumera alguns dados que qualificam um indivíduo, tais como aqueles dados de origem racial, convicção religiosa, “dados referentes à saúde” e “dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Considerada essa definição, a lei afirma que atividade de tratamento (art. 5º, X) de dados pessoais sensíveis só será considerada válida se respeitadas as hipóteses que justificam esse tratamento (arts. 7º e 11º).
O art. 7º traz as bases legais para tratamento de dados pessoais às quais estão sujeitas todas as organizações. Aquelas que, além de dados pessoais, ainda tratarem dados pessoais sensíveis, submeter-se-ão também à lista mais restritiva trazida pelo art. 11.
Interessam, em especial, três delas: (i) cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II e art. 11, II, a), (ii) proteção da vida ou da incolumidade física do titular ou de terceiros (art. 7º, VII e art. 11, II, e) e (iii) tutela da saúde, exclusivamente, em procedimentos realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (art. 7º, VIII e art. 11, II, f).
1.1.Cumprimento de obrigação legal ou regulatória
Operadoras e de planos privados de assistência à saúde e seguradoras que ofertam seguro-saúde submetem-se à Lei n. 9.656/98 e à regulação da Agência Nacional de Saúde (“ANS”). Esta agência já vem desempenhando relevante papel no que se refere à privacidade dos beneficiários; há mais de vinte resoluções normativas que, de algum modo, disciplinam o trânsito de dados entre operadoras e agência [3].
Embora não qualificados como órgãos reguladores, entidades como o Conselho Federal de Medicina podem emitir normas sobre aspectos relevantes para as atividades de empresas do setor, como hospitais. Também a título de exemplo, é possível citar a Resolução CFM n. 1.605, de 31.12.2009 (regras sobre revelação de ficha ou prontuário médico) e a Resolução CFM n. 1.821, de 23.11.2007 (prontuário médico eletrônico, além da própria Lei n. 13.787/18).
Conhecer o ambiente legal e regulatório para o desenvolvimento de suas atividades econômicas é uma diretriz segura que deve orientar não apenas hospitais e operadoras de planos de saúde mas também clínicas, prestadores de saúde, laboratórios, indústria farmacêutica e empresas de inovação em saúde, como as health techs. Setores altamente regulador como o setor de saúde precisam ter uma especial atenção às bases legais que autorizam o tratamento de dados, tudo levando em consideração a entrega do melhor serviço de saúde ao titular.
1.2. Proteção à vida e incolumidade física
Quando o tratamento for indispensável para a proteção à vida ou à incolumidade física do titular ou de terceiro, a LGPD autoriza tratamento sem consentimento. Há que se destacar, entretanto, que os limites para esse tratamento são dados pelos princípios estampados no art. 6º da norma. Significa dizer, portanto, que não basta que o tratamento tenha sido realizado com assento nessa base legal, mas também que ele deve ter uma finalidade e necessidade definidas, ser adequado, utilizar medidas técnicas necessárias para garantir a segurança do dado contra incidentes e estar pronto para, ao final, ser descartado.
1.3. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Na redação final da LGPD, o rol de atores envolvidos na tutela da saúde se ampliou, ampliando-se, por consequência, a gama de possibilidades de tratamento de dados pessoais sensíveis sem consentimento do titular.
A definição e a integração deste conceito deverão ser balizadas pela Autoridade Nacional de Proteção de Dados (“ANPD”) quando esta for criada, cabendo às organizações a avaliação das demais circunstâncias que justificam o tratamento legítimo destes dados pessoais sensíveis, tais com a avaliação do propósito, a adequação, a necessidade e, ao final do procedimento, a exclusão deste dado, quando possível, nos termos dos art. 15 e 16.
2. Situações específicas para o setor da saúde
2.1.Proibição da prática de seleção de risco
No § 5º do art. 11, a LGPD veda às operadoras de planos privados o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Não se trata de disposição nova para o setor de Saúde Suplementar.
Com efeito, por meio da Resolução Normativa n. 195, de 14 de julho de 2009, a ANS já coibia tal prática, estabelecendo, em seu art. 16, que “para vínculo de beneficiários aos planos privados de assistência à saúde coletivos por adesão ou empresarial não serão permitidas quaisquer outras exigências que não as necessárias para ingressar na pessoa jurídica contratante”, independentemente da modalidade de contratação ser coletiva empresarial ou por adesão.
Vale dizer, portanto, que cumpridas as regras de elegibilidade para ingresso em plano coletivo, à operadora não é lícito instituir nenhum outro critério. Ao contrário do que inadvertidamente se ventilou quando da publicação da LGPD, as operadoras de planos privados não analisam históricos de consumo na farmácia para se recusar a contratar ou para aumentar o preço do plano.
O setor de Saúde Suplementar, em sua já consolidada regulação, possui regras que disciplinam todo o processo de contratação de planos privados, o que, mais uma vez, confirma a importância de um diálogo consistente entre a LGPD e a legislação setorial.
Não significa uma vedação completa a que as operadoras realizem estudos populacionais, avaliando o comportamento de carteiras para o fim de aplicar uma precificação justa e adequada para cada grupo, coletivamente considerado. Significa, apenas, que as operadoras não realizarão tratamento de dados pessoais para aceitar ou excluir titular de sua carteira como, aliás, já está previsto na legislação setorial há pelo menos uma década.
2.2. Health analytics
De tempos em tempos, tem-se notícia de algum gigante da tecnologia que fez uso irresponsável e com propósitos puramente comerciais de dados de saúde de indivíduos. Com razão, a preocupação das comunidades especializadas, sobretudo da jurídica, é a apropriação dos dados de saúde e dos rastros de dados de um indivíduo com a finalidade de predizer e monetizar seu estado de saúde [4] em favor de uma indústria que até 2021 deve movimentar 280 bilhões de dólares [5].
Contudo, a ciência de dados sempre foi um poderoso aliado dos profissionais da saúde. Se a expressão “data analytics” corresponde à prática de se obter insights e informações relevantes a partir de uma massa de dados agregados, no contexto da saúde, a expressão “health analytics” tem enorme utilidade na identificação de possíveis doenças crônicas, das tendências de determinada população e na melhoraria do sistema de saúde, por meio do uso racional e eficiente de recursos [6].
E iniciativas semelhantes não precisam ocorrer ao arrepio da privacidade. Recentemente, o Instituto do Coração do Hospital das Clínicas da Universidade de São Paulo (Incor) anunciou o uso de inteligência artificial para anonimizar dados dos pacientes em exames, permitindo o uso de resultados para pesquisas acadêmicas sem, com isso, infringir dispositivos legais ou direitos dos titulares [7] [8].
Está claro que a LGPD não deve ser capturada por uma orientação que caminha na contramão da inovação tecnológica e do desenvolvimento científico e econômico – e nem deveria, tendo em vista o previsto por seu art. 2º, V.
Para sustentar projetos inovadores para a área da saúde, que levem em consideração a ciência de dados e a privacidade desde sua concepção, é preciso que a organização realize um mapeamento de dados bem planejado, capaz de apontar suas fragilidades atuais e planos de remediação necessários, mas também de utilizar a tecnologia de modo sustentável, que assegure os direitos do titular e use a tecnologia em favor do desenvolvimento e melhoria da saúde.
3. Conclusão
O universo da prestação de serviços de saúde é orgânico e complexo e é essa complexidade que a LGPD encontra como contexto. Prestadores de serviço, clínicas, laboratórios e hospitais têm à frente uma longa jornada rumo à construção de uma cultura da integridade digital que respeite a autodeterminação informativa dos titulares.
A LGPD estabelece que o tratamento de dados sensíveis precisa caminhar lado a lado com sua finalidade e com o benefício ao titular; essa é a diretriz que deve guiar a atuação do operador na entrega do serviço de saúde.
O ponto de partida de todo processo de adaptação à LGPD para qualquer organização, seja da saúde ou não, é a realização de um processo interno de avaliação que identifique os dados que essa organização trata, seus processos de negócio, seus sistemas e também suas vulnerabilidades, além das bases legais que justificam sua atividade; isso tudo sem deixar de lado a necessidade de incluir o olhar da privacidade na concepção de novos projetos, para que esses projetos já avancem respeitando direitos do titular de dados e o microssistema de proteção trazido pela nova norma. Organizações com alto comprometimento com o titular dos dados pessoais enxergam na proteção de dados como investimento que trará duplo benefício: garantia de segurança para seus clientes e, por consequênc ia, uma vantagem competitiva em relação a outras organizações do mesmo setor.
* JurisHealth é um esforço articulado entre profissionais da Saúde, do Direito e da Comunicação, com o objetivo de melhorar a compreensão em torno de temas relevantes do setor de saúde. É uma iniciativa que visa fornecer referências técnicas e analíticas a respeito do sistema de saúde suplementar do Brasil e, assim, prover elementos consistentes para avaliar controvérsias levadas aos tribunais. Saiba mais em http://www.jurishealth.com.br
[Photo by Iñaki del Olmo on Unsplash]