Desafios da Saúde Suplementar na vigência da LGPD

Livro LGPD Aplicada: Teoria e Prática: Instituição Científica – Universidade Pública ou Privada

06/06/2023

A LGPD e seus desafios na Indústria

20/06/2023

Fernando Sérgio Santos Fonseca¹

Renata Avelar de Mello²

Introdução

Neste capítulo nos propomos a discutir os desafios da saúde suplementar frente a LGPD. Desde a Constituição Federal de 1988 a determina a saúde como um direito social de todo cidadão brasileiro (Art.6º), para tal apresenta a saúde como dever do Estado (Art. 196). Para concretizar este direito constitucional, o Sistema de Saúde brasileiro está dividido em dois: Sistema Público e Sistema Privado ou Suplementar. Esta estrutura foi definida no Art. 199, o qual estabelece a livre iniciativa ao setor privado, podendo as “instituições privadas participar de forma complementar do sistema único de saúde, segundo diretrizes deste, mediante contrato de direito público ou convênio, tendo preferência as entidades filantrópicas e as sem fins lucrativos” (BRASIL, 1988).

Em consonância com a norma constitucional, foi aprovada a Lei 8.80/1990, a qual criou o Sistema único de Saúde (SUS) e definiu as condições para a promoção, proteção e recuperação da saúde, assim como a organização e o funcionamento dos serviços correspondentes e dá outras providências.

O sistema de saúde é considerado suplementar porque comercializa planos de saúde e vende serviços já cobertos pelo sistema público, denominado Sistema Universal de Saúde (SUS), oferecendo alguns elementos adicionais, tais como livre escolhas do prestador, diferença na hotelaria e acesso mais ágil que o estatutário (ABELHA et al., 2014).

A integração vertical dos serviços em saúde surgiu como uma alternativa para a redução do custo de operação destas organizações e diminuição do nível de fragmentação dos serviços em saúde (TISOTT et al., 2016).

O sistema de saúde privado no Brasil, mais conhecido como saúde suplementar ou medicina suplementar, abrange todos os serviços de assistência médica, privados ou públicos, financiados pela iniciativa privada através de pré-pagamento, desembolso direto ou reembolso (ALBUQUERQUE, FLEURY & FLEURY, 2011).

As operadoras de saúde, são empresas e entidades que atuam no setor de

saúde suplementar oferecendo aos consumidores os planos de assistência à saúde, sendo classificadas em oito modalidades:

Administradoras;
Cooperativas médicas;
Cooperativas odontológicas;
Instituições filantrópicas;
Autogestões (patrocinadas e não patrocinadas);
Seguradoras especializadas em saúde;
Medicina de grupo
Odontologia de grupo (BRASIL, 2016).

O SUS tem cobertura universal, desta forma o cidadão, que optar pela saúde suplementar, estará coberto também pelo sistema público. De acordo com o Instituto de Estudos de Saúde Suplementar (IESS, 2018), para entender o funcionamento da saúde suplementar, é necessário contextualizá-la dentro da cadeira produtiva do setor privado de saúde (Figura 1). A começar pelo início da cadeia, a indústria de insumos de saúde e seus distribuidores fornecem medicamentos, materiais, equipamentos e gases medicinais, entre outros produtos, aos prestadores de serviços de assistência à saúde. Estes, por sua vez, utilizam os insumos comprados para ofertar serviços aos

beneficiários de planos de saúde, que pagam pelos serviços usufruídos por meio

da mensalidade do plano contratado. Todo esse sistema privado é regulado por

três órgãos:

Agência Nacional de Vigilância Sanitária (ANVISA), criada pela Lei nº 9.782, de 26 de janeiro de 1999, responsável pela regulação sanitária e econômica do mercado de compra e venda de insumos hospitalares;
Agência Nacional de Saúde Suplementar (ANS), definido pela Lei nº 9.961 de 28 de janeiro de 2000, responsável por regular o fluxo financeiro e de serviços entre operadoras, beneficiários e prestadores;
Sistema Brasileiro de Defesa da Concorrência (SBDC), definido pela Lei nº 12.529, de 30 de novembro de 2011, com a função de garantir a competitividade do setor.

Os prestadores de serviços de saúde são hospitais, consultórios, clínicas e serviços de apoio diagnóstico e terapêutico (SADT’s) como laboratórios de análises clínicas, anatomia patologia, radiologia, endoscopia, fisioterapia, provas funcionais, hemoterapias, traçados diagnósticos (eletroencefalograma e eletrocardiograma) e os atendimentos individuais e em grupos realizados pelas diversas categorias profissionais, nas unidades de saúde. Os pacientes, por sua vez, têm acesso ao sistema por meio das Operadoras de Planos de Saúde (OPS), que podem ser contratados individualmente, mas, na maior parte, são acessados por meio de entidades coletivas, como empresas, associações e sindicatos.

Os fornecedores, são responsáveis dor disponibilizar equipamentos médico-hospitalares, gases medicinais, medicamentos e materiais médicos, os denominados “MatMed”, que serão eventualmente utilizados pelos pacientes, conforme necessidade assistencial.

Nas práticas de saúde, sempre foi abordado a questão do sigilo dos dados dos pacientes, pelos conselhos dos profissionais de saúde como o Código de Ética Médica Resolução (CFM n° 2.217, de 27 de setembro de 2018, modificada pelas Resoluções CFM nº 2.222/2018 e 2.226/2019), em seu capitulo IX, estabelece os parâmetros para o sigilo profissional, sendo vedado “revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por motivo justo, dever legal ou consentimento, por escrito, do paciente” (Art.73). De forma similar o Código de Ética de Enfermagem (RESOLUÇÃO COFEN Nº 564/2017) no Art. 52, define que o profissional de enfermagem deve

Manter sigilo sobre fato de que tenha conhecimento em razão da atividade profissional, exceto nos casos previstos na legislação ou por determinação judicial, ou com o consentimento escrito da pessoa envolvida ou de seu representante ou responsável legal.

Em virtude deste fato, o setor de saúde, inicialmente, acreditou que já estavam em conformidade com a LGPD. Mas, a Confederação Nacional de Saúde em seu Código de Boas Práticas (2021) já se apresenta de forma diversa

Para o pleno desenvolvimento destas novas possibilidades, bem como para que os processos já implementados, e que se utilizam de dados pessoais, se

consolidem com segurança, aderência à legislação e proporcionem total confiança aos cidadãos e a sociedade, passa a ser imperativo que o setor considere e se adapte ao modelo regulatório geral sobre proteção de dados pessoais introduzido, no Brasil, pela Lei Geral de Proteção de Dados (LGPD).

Diante deste posicionamento e do crescente avanço da saúde no mundo digital, devemos discutir alguns pontos relevantes.

2 Desenvolvimento

2.1 As operadoras de saúde e a LGPD

A LGPD criou uma categoria de dados pessoais especial denominados sensíveis, pela possibilidade de gerar tratamento de forma discriminatória. As OPS, pela sua própria essência, realizam tratamento desta categoria em larga escala, isso aumenta o grau de responsabilidade para proteger a privacidade dos beneficiários.

A legislação define em seu Art. 6º os princípios que devem ser respeitados para realizar o tratamento de dados pessoais em geral,

I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular,

sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto

do tratamento;

III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com

abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento,

bem como sobre a integralidade de seus dados pessoais;

V – Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de

acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a

realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos

não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados

pessoais;

IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos

Lembrando que a boa-fé objetiva um princípio basilar do direito do consumidor, segundo o qual as partes devem agir com base em valores éticos e morais da sociedade, permeia todo tratamento de dados pessoais.

Há ainda o princípio da responsabilização e prestação de contas, no qual o agente de tratamento que atua como controlador deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

De forma associada aos princípios, emerge a importância de se identificar quem irá figurar como controlador e operador, os denominados “agentes de tratamento”, ou seja, sujeitos que realizam operações de tratamento de dados. O Art. 5º, VI da LGPD, define como controlador a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” e em seu inciso VII, determina que o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

Nesse sentido encontramos as orientações da Autoridade Nacional de Proteção de Dados (ANPD) de que a identificação do controlador deve ter como ponto de partida o conceito legal, mas também considerar o contexto fático e as circunstâncias relevantes caso a caso, podendo abranger além das obrigações legais e regulamentares, as definidas através de contrato entre as partes. Este posicionamento segue o European Data Protection Board – EDPB (2020)

os conceitos de controlador e operador são funcionais: eles visam alocar responsabilidades de acordo com os papéis reais das partes. Isso implica que o status legal de um ator como ‘controlador’ ou ‘operador’ deve, em princípio, ser determinado por suas ações concretas em uma determinada situação, ao invés da designação formal como sendo um ‘controlador’ ou ‘operador’ (por exemplo, em um contrato).

A ANPD (2022), acrescenta que o controlador poderá ser uma pessoa jurídica, de direito privado ou de direito público, desde que tomem as principais decisões a respeito do armazenamento, da eliminação ou do compartilhamento de informações que integram um banco de dados pessoais que é gerido no âmbito da organização. Não sendo controladoras as pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou membros de seus órgãos como, por exemplo, empregados, administradores, sócios, servidores dentre outros. Mas, se uma pessoa natural for responsável pelas principais decisões referentes ao tratamento de dados pessoais poderá ser reconhecida como controladora.

Já referente ao operador a ANPD (2022) esclarece que este agente só poderá tratar os dados para a finalidade previamente estabelecida pelo controlador, fato este que apresenta a principal diferença em relação ao controlador, qual seja, o poder de decisão.

O controlador, assim deve cumprir as seguintes obrigações:

Definir das bases legais para o tratamento de dados pessoais (Art.7º, LGPD);
Fornecer informações aos titulares de dados sobre as atividades de tratamento de dados (Art. 8º, § 6; Art. 9º; Art.14º, § 2º, LGPD);
Garantir da transparência do tratamento de dados pessoais baseado no legítimo interesse (Art. 10, § 2º, LGPD);
Apresentar dos relatórios de avaliação de proporcionalidade ligada ao interesse legítimo para a ANPD se requisitado (Art. 10, § 3º, LGPD);
Verificar da identidade dos responsáveis legais que fornecem o consentimento em nome das crianças (Art.14º, § 5º, LGPD);
Deletar os dados pessoais ao final da atividade de tratamento de dados (Art. 16, LGPD);
Receber e responder os pedidos de direitos do titular dos dados e informar os outros controladores e operadores sobre as ações necessárias para cumprir tais pedidos (Art. 18, Art. 18, § 6º, LGPD);
Instaurar de mecanismos e salvaguardas apropriados para transferência de dados (Art. 33, II, LGPD);
Manter de registros das atividades de tratamento de dados pessoais (Art. 37, LGPD);
Elaborar de relatórios de impacto e apresentação dos mesmos para a ANPD se requisitado (Art. 38, LGPD);
Nomear do encarregado (Art. 41, LGPD);
Indenizar pelos danos e prejuízos relacionados às atividades de tratamento de dados pessoais (Art. 42, LGPD);
Adotar de medidas técnicas e organizacionais para garantir a segurança dos dados pessoais (Art. 46, Art. 47 LGPD);
Notificar da ANPD e dos titulares de dados acerca dos incidentes de segurança e adoção de medidas requisitadas pela ANPD (Art. 48, Art. 48, § 2º, LGPD);
Implementar de programas de conformidade com a LGPD (Art. 50, Art. 50, § 2º, LGPD).

O operador, por sua vez, terá como obrigações:

Deletar os dados pessoais ao final da atividade de tratamento de dados (Art. 16, LGPD);
Manter de registros das atividades de tratamento de dados pessoais (Art. 37, LGPD);
Tratamento de dados pessoais de acordo com as instruções dos controladores (Art. 39, LGPD);
Indenizar pelos danos e prejuízos relacionados às atividades de tratamento de dados pessoais (Art. 42, LGPD);
Adotar de medidas técnicas e organizacionais para garantir a segurança dos dados pessoais (Art. 46, Art. 47 LGPD);
Implementar de programas de conformidade com a LGPD (Art. 50, Art. 50, § 2º, LGPD).

Diante deste contexto de obrigações legalmente estabelecidas, se torna evidente a necessidade de identificar, qual pessoa natural ou jurídica figura como controladora e qual será o operador. Porém esta é uma tarefa complexa, para qual não há uma regra tão simples. Devendo ser analisado o processamento de dados de forma ampla e aprofundada, com o objetivo de identificar a finalidade da coleta de dados, de forma específica e legitima, lembrando-se de que ela deve ser explicitada para o titular de dados antes do início do seu tratamento.

As operadoras de planos de saúde, como instituições privadas, reconhecidas constitucionalmente para participar, de forma complementar, do sistema único de saúde nacional, realizam o tratamento em larga escala de dados pessoais sensíveis. Mas, há que se analisar as bases legais para que este processamento não ocorra em discordância com o artigo 11 da LGPD.

Tabela 1 – Hipóteses para tratamento de dados pessoais sensíveis

Base Legal	Fundamento	Exemplo de tratamento
Com consentimento do titular de dados (devendo ser livre, esclarecido, inequívoco, específico e destacado)	Art.11, I e Art.8º	Coleta de dados para criação de um novo serviço assistencial
Sem consentimento do titular
a) Cumprimento de obrigação legal ou regulatória pelo controlador	Art.11, II, a	Atendimento pela OPS (controladora) da Resolução Normativa – RN nº 501/22 da ANS, que trata do padrão obrigatório para Troca de Informações na Saúde Suplementar (TISS)
b) Para execução de políticas públicas pela administração publica	Art.11, II, b	Utilização de informações de saúde por gestores de sistemas de saúde públicos ou privados para a condução de programas de promoção de saúde e de prevenção de doenças, bem como para o direcionamento dos pacientes para prestadores mais adequados para seus quadros
c) Para realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis	Art.11, II, c; Art. 5º, XVIII	Realização de estudo clínico randomizado, por instituição de pesquisa sem fins lucrativos, para verificar a eficácia da vacina do COVID 19
d) Para fins de exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral	Art.11, II, d	Laboratório de imagem fará prova de execução do serviço em uma ação judicial mediante juntada do laudo. Lembrando que o sigilo deve ser solicitado na juntada.
e) Para proteção da vida ou da incolumidade física do titular ou de terceiro	Art.11, II, e	Em um acidente automobilístico na estrada, a equipe do SAMU que atende o paciente no local após avaliação, verifica que o paciente está inconsciente e o transfere para um hospital mais próximo. No momento da internação a equipe procura entre seus pertences pelos seus dados pessoais.
f) Para tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou por autoridade sanitária	Art.11, II, f; Art.7º, VIII	Um médico compartilha dados do prontuário do paciente com uma empresa de Home Care, para dar continuidade ao tratamento após alta hospitalar.
g) Para garantia da prevenção à fraude e à segurança do titular	Art.11, II, g	Um operadora de saúde coleta dados biométricos do beneficiário para conferencia da titularidade .

Fonte: Adaptado de Favero (2021)

Cabe destacar o definido pelo art. 11,

4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

I – A portabilidade de dados quando solicitada pelo titular; ou

II – As transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.

5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Para prestação de serviços da saúde as OPS, utilizam uma ferramenta muito importante as auditorias internas e externas, sendo esta realizada pela análise do prontuário do paciente para verificação e comprovação se os “MatMed’s” foram realmente utilizados pelo beneficiário durante todo o processo assistencial.

Há, também a auditoria médica, regulamentada pela Resolução CFM nº 1.614/2001, a qual prevê diversas obrigações ao médico auditor como, por exemplo, a manutenção do sigilo profissional, sendo vedada a divulgação das observações, conclusões ou recomendações obtidas na auditoria; a comunicação de irregularidades na prestação de serviços e a apresentação do médico responsável ao diretor técnico da unidade auditada, para realizar toda esta analise o profissional de saúde efetivamente acessa dados de saúde dos pacientes.

O Código de Boas Práticas Proteção de Dados para Prestadores Privados em Saúde, da Confederação Nacional de Saúde (CNS, 2021) esclarece que diante da necessidade do compartilhamento de dados pessoais entre operadoras e estabelecimentos de saúde para fins de auditoria, a base legal aplicável ao compartilhamento de informações realizado no cerne das auditorias não pode ser definida ampla e livremente pelas partes por meio de contrato. Sendo recomendado que seja coletado o consentimento do paciente para a realização do procedimento ou, quando a realização da auditoria estiver prevista em lei, seja utilizada a base legal “cumprimento de obrigação legal ou regulatória pelo controlador” (art. 7º, II; art. 11, II, a).

Referente aos direitos do titular de dados a LGPD não apenas reafirmou e ampliou direitos já previstos no Código de Defesa do Consumidor (acesso e correção de informações pessoais em bancos de dados de fornecedores) e na Constituição Federal (habeas data) bem como previu proteções adicionais, além da liberdade de negar o tratamento de seus dados sem seu expresso consentimento.

O titular tem o direito de ter livre acesso as informações sobre o tratamento de seus dados, disponibilizadas de forma clara, adequada e ostensiva, como a finalidade específica do tratamento; a forma e a duração do tratamento; a identificação do controlador; as informações de contato do controlador; as informações acerca do uso compartilhado de dados pelo controlador e a finalidade; as responsabilidades dos agentes que realizarão o tratamento, os direitos do titular e os meios para exercício de seus direitos (Art. 9º). Há também o direito de obter do controlador mediante requisição

O titular também tem direito de obter do controlador, mediante requisição:

a revogação do consentimento do tratamento de dados, por procedimento gratuito e facilitado (art. 8º, §§ 5º e 6º, e art. 18, IX);
a confirmação da existência de tratamento (art. 18, I) no prazo de 15 dias (art. 19, II);
o acesso aos dados (art. 18, II) em meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa (art. 19, §2º);
a correção de dados incompletos, inexatos ou desatualizados (art. 18, III);
a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD (art. 18, IV);
a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial (art. 18, V);
a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 (art. 18, VI);
a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados (art. 18, VII);
a informação sobre a possibilidade de não fornecer consentimento e sobre as sobre as consequências da negativa (art. 18, VIII);
a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (art. 20)

2.2 Os riscos envolvidos

A Fórmula básica para calcular um determinado risco é multiplicando-se a Probabilidade pelo potencial Impactos (R = P x I). Uma vez que não há como se atenuar o impacto de incidentes de segurança relacionados a dados de saúde, resta-nos minimizar a probabilidade de que este incidente aconteça. Podemos citar aqui alguns incidentes que podem trazer um impacto aos titulares, por quebra de atributos de integridade e confidencialidade dos dados:

Perda de integridade dos dados do prontuário do paciente, nos serviços próprios das OPS, com execução de medicação e procedimentos incorretos, que podem ocasionar risco assistencial;
Vazamento de dados que podem comprometer a vida pessoal e/ou profissional dos titulares. As operadoras possuem dados quanto a procedimentos realizados e muitas vezes dados de auditoria que chegam a detalhar todo o processo assistencial, compreendendo não só a enfermidade como medicamentos e insumos utilizados em procedimentos;
Destruição de dados históricos sobre a saúde do titular, que podem comprometer a capacidade de diagnóstico dos médicos;
Perda de dados de cadastro e financeiro, que podem comprometer a capacidade do titular de ser atendido, levando a sérias consequências;
entre outros

A Gestão de Risco na área de saúde é fundamental não apenas para a questão da prática assistencial, mas também operacional, jurídico, financeiro, ambiental e de privacidade.

Pode parecer simples em um primeiro momento, mas existe um longo histórico de incidentes relacionados a instituições de saúde, e mais recentemente um histórico de sequestro de dados (ransomware) envolvendo dados de saúde, o que demonstra que os atacantes podem não ter escrúpulos em relação a comprometer vidas indisponibilizando os dados.

3) Conformidade com a LGPD

Existem diversas ações que todas as empresas precisam realizar para alcançarem a conformidade com a LGPD. Nomear um encarregado de dados, colocar um aviso de privacidade, criar um mecanismo para registro de reclamações e adicionar clausulas de privacidade e proteção de dados nos contratos que envolvem dados pessoais são só algumas delas, e no caso das operadoras de saúde complementar podem ser as menos trabalhosas, considerando o contexto. Neste estudo, focaremos nas questões mais relevantes para se reduzir o risco neste segmento de mercado.

3.1) Das Boas Práticas e da Governança

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I – implementar programa de governança em privacidade que, no mínimo:

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
g) conte com planos de resposta a incidentes e remediação;

Como vemos, o caput do artigo 50 já estabelece obrigações relacionadas à formulação de normas de segurança e padrões técnicos destinados à supervisão e mitigação de riscos. Ao longo do artigo, a lei destaca a sensibilidade dos dados, a probabilidade e gravidade dos danos, a necessidade de salvaguarda adequadas e resposta a incidentes. Trata-se de um artigo relativamente curto, mas com implicações que acreditamos que a sociedade ainda não compreendeu completamente.

3.2) Registro de Operações de Tratamento (RoPA)

Popularizou-se no Brasil o uso do termo RoPA, do inglês “Register of Processing Activities”, para designar o Registro de Operações de Tratamento, previsto no artigo 37 da LGPD.

O termo “Registro” pode dar uma falsa impressão de que o legislador queria de alguma forma conhecer as atividades do controlador ou operador, quando na verdade o objetivo é que a organização conheça seus próprios fluxos de dados, com o objetivo de identificar e mitigar situações em que a falta de controles específicos possa levar ao tratamento inadequado ou ilícito de dados de titulares.

As operadoras de saúde suplementar possuem uma grande quantidade de fluxos, assim como uma grande quantidade de origens e destinatários de dados, com o agravante desses dados serem em sua maioria dados sensíveis. Visando uma compreensão e redução dos riscos, os registros dessas operadoras devem detalhar os controles existentes em cada etapa do tratamento, facilitando a visualização de pontos onde as informações podem estar desprotegidas.

O Registro de Operações de Tratamento deve ser uma entidade viva dentro da organização, sendo atualizado e consultado constantemente.

3.2) RIPD – Relatórios de Impacto à Proteção de Dados pessoais.

Art. 5º Para os fins desta Lei, considera-se:

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

No artigo 38 da lei 13709 não temos muito claramente uma definição de quando o RIPD deve ser elaborado, mas o artigo 38 enfatiza que a ANPD pode determinar ao controlador que o mesmo seja elaborado:

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

A lei 13.853 de 2019 veio modificar a LGPD e na opinião destes autores esclarecer um ponto de discussão sobre a necessidade de criação de relatórios de impacto. A Lei incluiu na LGPD o seguinte texto:

Art. 55-J. Compete à ANPD:

XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;

Essa inclusão foi a primeira a trazer o termo “Alto Risco” à LGPD. Até então, algumas correntes defendiam que o RIPD deveria ser realizado em todas as operações ou em todas as operações que usassem o interesse legítimo como base legal. Estes autores sempre defenderam que o RIPD somente seria necessário quando houvesse um alto risco, aos moldes do RGPD Europeu. E seguimos defendendo essa ideia.

Consideramos também que o RIPD é o que chamamos genericamente de uma AIP, ou uma Avaliação de Impacto à Privacidade, e deve então seguir a mesma lógica mundial aplicada às AIPs. Segundo a International Association of Privacy Professionals (IAPP). Para ser uma ferramenta efetiva, uma AIP deve ser executada o mais cedo possível, em 3 momentos distintos:

Antes da implementação de um projeto, produto ou serviço que envolva a coleta de informações pessoais.
Quando padrões industriais, políticas organizacionais, ou leis e regulações forem criados ou alterados
Quando a organização criar novos riscos de privacidade através da mudança nos métodos pelos quais as informações pessoais são manuseadas

A natureza dos dados tratados pelas operadoras de saúde complementar leva uma grande parte dos tratamentos a serem considerados de “Alto Risco” para os titulares dos dados pessoais. Quando consideramos a situação particular do Brasil, vemos que a ausência de uma lei anterior de privacidade e proteção de dados e a entrada da LGPD em vigor nos coloca na segunda hipótese, de novidades nas leis, e nos força a revisar todos os tratamentos de alto risco para avaliar sua adequação. Isso se dá sem prejuízo da primeira e terceira hipótese, que nos obriga a avaliar os tratamentos de alto risco antes da implementação de um projeto e sempre que houver uma mudança nos métodos utilizados.

3.3) Medidas aptas a proteger os dados pessoais

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito

Tanto o RoPA quanto a RIPD podem nos levar à conclusão de que os controles existentes não estão aptos a proteger os dados pessoais e reduzir o risco a um nível aceitável. Não se pode ser indulgente nessa avaliação ou negligente com seus resultados, uma vez que a concretização da ameaça pode trazer um efeito catastrófico para as operadoras de saúde complementar. Pensando neste segmento, chamamos a atenção para algumas ações indispensáveis para a redução do risco:

3.3.1) Capacitação das equipes

O conceito de “Need to know” especifica que as pessoas precisam de uma necessidade específica para terem acesso a uma determinada informação. Em um ambiente como a saúde encontramos um número absurdamente alto de pessoas que realmente tem a necessidade de acesso a informações pessoais e sensíveis. O melhor investimento a ser feito neste cenário é investir incessantemente na capacitação e conscientização das equipes, com conteúdo obrigatório para todas as audiências e outros específicos para cada tipo de audiência. Algumas das principais audiências a serem contempladas com conteúdos específicos são:

3.3.2) Manutenção da integridade dos registros

Quando lembramos que as leis são de Proteção de Dados, e não somente de Privacidade, isso implica que temos que zelar pela integridade dos mesmos, evitando sua destruição, perda ou alteração.

Acredito que quase a totalidade dos leitores deste livro são usuários de um plano de saúde complementar, o que torna dispensável explicar o que aconteceria se acordássemos um dia e todos os nossos dados de cobertura, permanência e pagamento simplesmente deixassem de existir

As ameaças à integridade dos dados são historicamente mais relacionadas a acidentes, como desastres, falhas de climatização e operação. Mas nos últimos anos temos acompanhado a ascensão dos ataques de Ransomware, que associados ao novo paradigma de espelhamento ou backup online pode levar à perda permanente de dados.

Neste contexto, convém que as empresas de saúde complementar procurem por especialistas em continuidade de negócios e recuperação de desastres em vista do risco de magnitude catastrófica que representa a perda definitiva de dados de titulares. Poderíamos escrever um livro inteiro sobre as diferentes possibilidades, mas isso o fadaria a estar desatualizado já em seu lançamento. A resposta das organizações deve ser tão rápida quanto a velocidade em que as ameaças evoluem.

Conclusão

A saúde complementar compartilha de muitos desafios com as organizações do Brasil, mas apresenta algumas características que tornam a tarefa muito mais desafiadora, uma vez que a atividade fim das operadoras de saúde complementar está profundamente baseada na troca de dados pessoais sensíveis de clientes com diversas organizações.

Estas organizações precisam alcançar níveis de segurança comparável às instituições financeiras no Brasil, considerando-se a sensibilidade dos dados e o dano em potencial do tratamento inadequado ou ilícito dos mesmos. Existem vários frameworks como o Cobit, CIS Controls, FAIR e as normas ISO 27001, 27002, 27031, 27701. Mas o esforço precisa de muitas pessoas dedicadas a segurança e da disseminação da segurança entre todos os colaboradores das organizações.

Referências Bibliográficas

ABELHA, Marli Câmara; GONÇALVES, Antônio Augusto; PITASSI, Claudio. Estratégia de Operações em Serviços de Saúde: estudo de caso das operadoras de planos de saúde suplementar. Revista Metropolitana de Sustentabilidade, v. 4, n. 1, p. 107, 2014.

ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Versão 2.0 de abriu de 2022. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf/view Acessado em 18 de outubro de 2022.

ANS. RESOLUÇÃO NORMATIVA – RN Nº 501, DE 30 DE MARÇO DE 2022

https://www.ans.gov.br/component/legislacao/?view=legislacao&task=textoLei&format=raw&id=NDE2MQ==

ANS. Padrão TISS organizacional. Março 2021 https://www.ans.gov.br/prestadores/tiss-troca-de-informacao-de-saude-suplementar/padrao-tiss-marco-2021

Albuquerque, G. M. D., Fleury, M. T. L., & Fleury, A. L. (2011). Integração vertical nas operadoras de assistência médica privada: um estudo exploratório na região de São Paulo. Produção, 21(1)

BRASIL. Constituição da República Federativa do Brasil. 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm Acessado em 17 de outubro de 2022.

BRASIL. Lei nº 8.080, de 19 de setembro de 1990. Disponível em: http://conselho.saude.gov.br Acessado em 17 de outubro de 2022.

BRASIL. Guia de Boas Práticas para Implementação na Administração Pública Federal

https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf

CEDIS, https://www.informationpolicycentre.com

Confederação Nacional de Saúde em seu Código de Boas Práticas (2021)

European Data Protection Board – EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR. set. 2020, p. 9. Disponível em https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf. Acessado em 17 de outubro de 2022.

IESS. Instituto de Estudos de Saúde Suplementar. Características dos sistemas Público e Suplementar. Disponível em: https://www.iess.org.br/?p=setor&grupo=Entenda Acesso em 18 de outubro de 2022.

GARTNER SECURITY Privacy Program: LGPD Requires You to Have One 2019. https://www.gov.br/economia/pt-br/acesso-a-informacao/acoes-e-programas/integra/governanca/comites-tematicos-de-apoio-a-governanca/arquivos/documentos-crtci/arquivos-de-reuniao/arquivos-de-reuniao-crtci-arquivos-pdf/privacy-program-lgpd-requires-you-to-have-one-7areuniao.pdf

TISOTT, Priscila Bresolin et al. Integração Vertical nos Sistemas de Saúde Suplementar: O Caso de uma Operadora de Saúde na Modalidade de Autogestão. Revista Gestão Industrial, v. 12, n. 1, 2016.

IAPP, Gestão do Programa de Privacidade, Ferramentas para gerenciar a privacidade na sua organização, ISBN: 978-1-948771-51-1

https://www.lgpdnasaude.com.br/saiba-os-impactos-da-lgpd-na-saude-suplementar/

https://blog.carefy.com.br/index.php/lgpd-na-saude-quais-os-impactos-da-nova-lei-para-operadoras-de-saude/