Um novo desafio se soma à complexidade do setor de saúde suplementar: a entrada em vigor da Lei Geral de Proteção de Dados, à qual o setor terá que se adaptar a partir de 2020. Estamos diante de um momento revolucionário, uma mudança cultural de responsabilidade, privacidade e proteção de dados pessoais, tanto para empresas quanto para os titulares dos dados. Para explicar os impactos desta nova lei no setor de saúde, com impacto em operadoras, corretoras, administradoras de benefícios e até mesmo pelo órgão regulador, convidamos a advogada Théra Van Swaay De Marchi, sócia do escritório Pinheiro Neto Advogados, com grande atuação na Área Contenciosa, Regulatória e Consultiva de Saúde Suplementar, setor do qual participa ativamente. Théra foi indicada entre os Advogados mais Admirados do Brasil pela Análise Advocacia – 2014 e 2018.
Muito se tem falado sobre o impacto da Lei Geral de Proteção de Dados (LGPD) na economia, afetando a rotina das empresas brasileiras a partir do momento que entrar em vigor, em 2020. Qual o impacto desta lei para um setor já complexo por natureza como o da saúde suplementar?
Théra De Marchi: A complexidade do setor de saúde suplementar, por si só, já é um desafio ao qual agora se soma a obrigatoriedade de conformidade com a Lei Geral de Proteção de Dados (“LGPD”), que passará a vigorar em agosto de 2020. Todos os participantes do setor, que praticam operações de tratamento de dados pessoais (incluindo dados pessoais sensíveis referentes à saúde), serão impactados. Como o conceito de tratamento de dados previsto na lei é bastante amplo, abrangendo toda e qualquer operação realizada com dados pessoais, a sujeição dos participantes do setor à LGPD representa um desafio a ser enfrentado pelas empresas.
As empresas estipulantes de contratos coletivos empresariais coletam e armazenam dados de seus empregados (e respectivos grupos familiares), considerados os titulares desses dados, e os reproduzem e transmitem para as operadoras de assistência à saúde e/ou corretoras e/ou administradoras de benefícios. Também na relação das operadoras e prestadores de serviços de assistência à saúde são acessados, utilizados, processados, avaliados, classificados e extraídos dados dos beneficiários. Ainda, em cumprimento à regulação da Agência Nacional de Saúde Suplementar, há compartilhamento de dados entre as operadoras e o órgão regulador.
A partir da vigência da LGPD, esse tratamento e compartilhamento de dados de titularidade dos beneficiários de planos de saúde somente poderá ocorrer se houver uma base legal para tanto, sob pena de violação à proteção de dados conferida pela LGPD, sujeitando o infrator a sanções administrativas aplicáveis pela autoridade nacional.
Da análise desse fluxo de dados na cadeia de saúde suplementar, conclui-se que a aplicação da LGPD impacta todos os participantes do setor de saúde suplementar que necessariamente precisam se adequar à nova legislação.
Como você analisa a experiência em outros países na área da saúde?
Théra De Marchi: A exemplo do que ocorreu em relação a outras legislações, também haverá uma curva de aprendizagem quanto à interpretação e aplicação da LGPD no Brasil. Estamos diante de um momento revolucionário. A LGPD representa uma mudança cultural de responsabilidade, privacidade e proteção de dados pessoais, tanto para empresas quanto para os titulares dos dados.
A experiência estrangeira certamente auxiliará a Autoridade Nacional de Proteção de Dados, recém criada pela Medida Provisória 869/2018, a deliberar e definir, na esfera administrativa, sobre a interpretação da LGPD, suas competências e casos omissos, bem como a estabelecer normas e diretrizes para a sua implementação, assegurando a efetividade da lei e segurança jurídica para solução de controvérsias.
Por ser baseada no General Data Protection Regulation – GDPR, diploma de proteção de dados da União Europeia, é de se esperar que a LGPD siga as diretrizes da experiência europeia, porém, naturalmente, acontecerão ajustes diante da realidade brasileira.
No começo deste ano, um hospital de Portugal foi punido com a primeira multa (no valor total de 400 mil Euros) aplicada com base no GDPR. Segundo a autoridade local, as infrações cometidas pelo hospital consistiriam na permissão ao acesso indiscriminado a um conjunto de dados clínicos de pacientes, na falta de adoção de medidas para impedir o acesso ilícito e na incapacidade de assegurar a confidencialidade e resiliência permanente dos sistemas e serviços de tratamento.
Já nos EUA, não há uma legislação geral de proteção de dados, mas sim leis fragmentadas. No setor de saúde, a experiência com o chamado Health Insurance Portability and Accountability Act – HIPAA é diferenciada porque objetiva a proteção de dados que se relacionam com as condições físicas ou mentais de indivíduos, cuidados com saúde e respectivos pagamentos. Assim, mesmo as empresas que não tratam de dados de saúde poderão ser enquadradas no HIPPA, cujo alcance e efeitos são bastante amplos.
Como o setor de saúde está se preparando ou como deve se preparar?
Théra De Marchi: Além do sigilo médico, que já assegura a proteção de dados na relação médico e paciente, e da regulamentação da ANS que determina a proteção pelas operadoras de informações relativas à condição de saúde dos beneficiários, a LGPD amplia a proteção de dados, albergando a relação entre os titulares de dados pessoais e todos os agentes de tratamento. A proteção de dados, contudo, não visa impedir o desenvolvimento econômico e tecnológico e a inovação, nem a livre iniciativa e a livre concorrência, como dispõe a própria LGPD.
Nessa linha, especificamente no setor de saúde, o compartilhamento de dados pessoais entre controladores (a quem competem as decisões referentes ao tratamento de dados) e operadores (realizam o tratamento de dados pessoais em nome do controlador) são fundamentais para gestão e promoção de saúde.
Entretanto, se sancionada a MP 869, cuja conversão em lei foi aprovada pelo Senado Federal em 29.5.2019, o texto de lei da LGPD expressamente vedará a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica. Exceção nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, e para permitir:
– Portabilidade de dados quando consentido pelo titular,
– Necessidade de comunicação para a adequada prestação de serviços de saúde suplementar,
– Transações financeiras e administrativas resultantes do uso e da prestação dos serviços.
Em qualquer caso fica impedido o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade e na contratação e exclusão de beneficiários.
Neste contexto, observados os princípios da boa-fé, finalidade, adequação, necessidade e outros previstos na lei, os participantes do setor de saúde devem se preparar para adequação à LGPD, adotando medidas diversas, tais como:
– Engajar a liderança e times internos para a nova cultura de proteção de dados, de modo que as medidas tomadas pela empresa não sejam prejudicadas por eventuais condutas isoladas de colaboradores que não estejam alinhados com as novas diretrizes,
– Mapear os fluxos de dados existentes no seu modelo de negócios, preferencialmente com auxílio de consultorias especializadas que conheçam a realidade do mercado de saúde, a fim de definir a bases legais que amparam suas operações de tratamento de dados,
– Avaliar a adoção de um programa de governança de proteção de dados com a finalidade de monitorar e controlar o tratamento de dados.
Em paralelo, é recomendável o engajamento e união dos participantes do setor de saúde a fim fomentar a discussão de proposta de regras, diretrizes e boas práticas para adequação e cumprimento das obrigações estabelecidas pela LGPD e garantia dos direitos dos titulares de dados, visando o alinhamento com a ANS e com a Autoridade Nacional de Proteção de Dados.
Qual o impacto da LGPD para as empresas, em grande parte patrocinadoras de planos de saúde para colaboradores? Que cuidados e medidas devem tomar? Estão preparadas?
Théra De Marchi: Os empregadores são controladores de dados sensíveis dos titulares quando lhes oferecem planos de saúde coletivos empresariais. Como tal, os empregadores, por força da LGPD, precisam zelar pela proteção desses dados, inclusive dentro da própria corporação, em observância aos princípios da finalidade, necessidade e não-discriminação, entre outros.
Neste sentido, no processo de adequação à LDGP, é importante o treinamento dos departamentos envolvidos na contratação, monitoramento e administração do plano de saúde para que tenham conhecimento das regras e limitações impostas pela LGPD.
De um modo geral, as empresas multinacionais que se adequaram à lei de proteção de dados da União Europeia já possuem essa cultura de proteção de dados, motivo pelo qual se encontram à frente com seus projetos de adequação à LGPD.
Para fins de conformidade com a LGPD, importante ainda que os empregadores revisem os contratos firmados com os prestadores de serviços de saúde, inclusive operadoras, para que contenham cláusulas de comprometimento com a proteção dos dados pessoais, bem como o desenho de políticas internas demonstrando as condutas apropriadas para atendimento da LGPD.
