LGPD na saúde suplementar: importância da lei para operadoras

Por

Thiago Liguori

Por

Thiago Liguori

Publicado em

30/10/23

A LGPD - Lei Geral de Proteção de Dados alterou a rotina e os procedimentos de empresas de diversas áreas, inclusive das operadoras de saúde. Mas quais foram os impactos da LGPD na saúde suplementar?

A Lei nº 13.709 é de 14 de agosto de 2018. No entanto, após passar por algumas alterações em 2019 e os efeitos da pandemia, entrou em vigor somente em setembro de 2020. Ela é uma legislação que estabelece regras na intenção de proteger os direitos fundamentais de liberdade e privacidade das pessoas e foi inspirada no GDPR - General Data Protection Regulation, ou em português, Regulamento Geral de Proteção de Dados da União Europeia.

Sua premissa principal é definir normas sobre o tratamento de dados pessoais de pessoas físicas ou jurídicas, de direito público ou privado. Sendo assim, a saúde suplementar também deve adotar as medidas necessárias, principalmente porque lida com dados pessoais e sensíveis de inúmeros beneficiários.

Quer entender um pouco mais sobre a LGPD na área da saúde, seus conceitos e o que o RH e as operadoras devem ficar atentos para não sofrer sanções? Acompanhe!

Neste conteúdo você verá:

LGPD na saúde suplementar: definindo conceitos básicos

Uma das principais premissas da LGPD é que os indivíduos se tornaram titulares dos seus dados, com plenos direitos sobre eles. Isso quer dizer que para obter, armazenar e utilizar informações sobre as pessoas, as empresas precisam da autorização expressa de cada um.

Na saúde, a utilização de dados pessoais é imprescindível. Afinal, informações como nome, endereço, condições de saúde e doenças fazem parte de prontuários médicos e dados cadastrais de clínicas, hospitais e das operadoras de saúde.

O fato dos titulares terem o direito sobre as informações de saúde coletadas a seu respeito faz com que as operadoras tenham a obrigação de, não apenas manter esses dados em sigilo, mas também protegê-los seriamente contra ataques cibernéticos. Afinal, são dados muito valiosos e que podem ser sequestrados e vendidos pelos cibercriminosos.

Para entender melhor esses conceitos, confira algumas definições da LGPD e como elas se relacionam com a saúde suplementar:

Dados pessoais

Segundo a LGPD, Art. 5º: Inciso I - dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável, sendo:

  • Pessoa natural identificada: aquela que possui nome completo, identidade, endereço, entre outros;
  • Pessoa natural identificável: aquela que não tem suas informações reveladas mas que pode ser identificada por possuir localização, idade, gênero e outras características. Nessa característica se enquadram os endereços IP identificados quando navegamos em sites da internet.

Dados pessoais sensíveis

Segundo a LGPD, Art. 5º: Inciso II - dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Os dados pessoais sensíveis são considerados dessa maneira pois podem causar constrangimento, preconceito ou violência contra os titulares, se forem expostos. Por isso, são dados que precisam de proteção mais rígida pela LGPD e de uma finalidade legítima para sua manipulação.

As operadoras detém diversos dados sensíveis como prontuários médicos, dados genéticos, prescrições, receituários, exames, procedimentos cirúrgicos e muitos outros. Por conta disso, esses dados precisam de proteção máxima, pois não podem ser expostos.

A utilização dos dados

Para ter direito a coletar, armazenar e tratar dados, a LGPD tem alguns princípios. Entre eles está o Inciso I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

É através desse princípio que se resguardam as operadoras de saúde e outros elementos que utilizam dados sensíveis sobre a saúde dos beneficiários. Afinal, esses dados possuem uma finalidade: adequar o tratamento de cada paciente e a promoção responsável da saúde suplementar.

No entanto, o fato das operadoras terem direito de utilizar esses dados não as isenta de se adaptarem às regras da LGPD. Isso quer dizer que precisa haver um controle e um cuidado com o armazenamento desses dados

Dados anonimizados

Segundo a LGPD, Art. 12º, dado anonimizado é todo dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Isso significa que, se um dado não puder ser identificado após a utilização de meios técnicos computacionais e matemáticos, desvinculando-o do titular, ele passa a ser anonimizado, ou seja, não é mais um dado pessoal. Sendo assim, não se aplica mais às regras da LGPD sobre ele.

Agentes da LGPD

Os agentes da LGPD são aqueles que utilizam dados pessoais. Existem dois tipos:

  • Controlador: pessoa física ou jurídica que toma as decisões sobre o tratamento dos dados e quais serão as medidas de segurança aplicadas. Na saúde, são os hospitais ou as operadoras dos planos;
  • Operador: pessoa física ou jurídica que tem acesso aos dados e faz seu tratamento em nome do controlador. Na saúde, são as empresas de softwares de gestão dos hospitais ou que fazem auditorias, por exemplo.

Encarregado de dados

Conhecido como DPO - Data Protection Officer, o Encarregado de Dados é o profissional responsável pela segurança dos dados de uma empresa.

Além disso, é ele quem faz a comunicação entre o controlador, os titulares de dados e a ANPD - Autoridade Nacional de Proteção de Dados.

Os impactos da LGPD na área da saúde

Ter acesso aos dados dos pacientes e beneficiários é o que torna possível seu atendimento e tratamento da forma adequada. Além disso, esses dados são a base dos programas de medicina preventiva e demais propostas e tecnologias que auxiliam nos diagnósticos e tratamentos.

Sendo assim, não existe atendimento à saúde sem acesso a dados. No entanto, é fundamental que haja proteção desses dados, tanto por conta da lei quanto dos direitos individuais de cada um a sigilo e confidencialidade.

Na própria LGPD existem normas específicas para a área da saúde, como o Art. 11º § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde...

Esse parágrafo da lei comprova a sensibilidade dos dados que a saúde utiliza bem como quais são os limites das operadoras em relação ao seu tratamento. Sendo assim, é fundamental que haja um contínuo controle dos dados tratados, governança e reforço da segurança.

A própria ANS - Agência Nacional de Saúde Suplementar já divulgou que está revisando suas políticas para se adequar à lei através de processos internos e adoção de procedimentos técnicos.

O que o RH deve ficar atento em relação à LGPD na saúde suplementar?

O RH como intermediário entre os beneficiários e a operadora deve ter uma série de cuidados em relação aos dados dos colaboradores.

Sendo assim, o RH precisa realizar alguns, tais como:

  • Mapeamento: identificar e classificar os dados pessoais coletados pela empresa;
  • Consentimento: assegurar que o consentimento claro dos colaboradores para a coleta desses dados, principalmente quando se tratarem de informações médicas;
  • Segurança: implementar medidas de segurança para armazenar esses dados;
  • Transparência: os colaboradores precisam ter clareza sobre como seus dados de saúde são processados, quem tem acesso a eles e qual a finalidade do processamento;
  • Acesso: os beneficiários precisam ter um acesso aos seus dados para corrigi-los caso necessário;
  • Treinamento: capacitar todo o time de RH para lidar de maneira responsável com os dados dos colaboradores.

O que as operadoras devem levar em consideração sobre a LGPD na saúde suplementar?

Saiba algumas medidas que as operadoras precisam tomar para se adequarem à lei:

Ter um DPO

Primeiramente, é fundamental contratar um profissional específico encarregado em garantir a segurança dos dados dos beneficiários da operadora, ou seja, um DPO.

Ele será a pessoa responsável pela coleta, armazenamento e tratamento correto dos dados dos beneficiários da operadora.

Realizar treinamentos

Outra medida necessária é criar um comitê junto ao DPO com diversas outras lideranças na empresa para que possam, juntos, realizar treinamentos e auditorias que garantam que os processos estão corretos e dentro da lei.

Todo o quadro de profissionais da operadora precisa estar a par das suas responsabilidades ao lidar com dados pessoais sensíveis. Por conta disso, precisa-se sempre reforçar a lei, bem como todos os procedimentos que garantam a segurança dessas informações para toda a equipe, independentemente da hierarquia.

Política de Privacidade

Todas as empresas que possuem endereço eletrônico hoje precisam de uma Política de Privacidade. Sendo assim, as operadoras precisam atualizar seus sites para comprovar aos seus usuários os porquês das utilizações de cookies ou outras formas de uso dos dados de quem acessa.

Essa política também precisa se estender às normas internas relacionadas à coleta e tratamento dos dados dos beneficiários. Estabelecer processos e revisá-los deve fazer parte da rotina de segurança.

Garantir a segurança dos dados

Tudo que mencionamos acima tem como principal função a proteção dos dados e a adequação à lei. No entanto, não servirá de nada se a empresa não possuir boas soluções de tecnologia, com dados criptografados, softwares de qualidade e uma equipe especializada que cuide da cibersegurança.

O ideal é armazenar todos os procedimentos em meio eletrônico, inclusive quando falamos de prontuários de médicos, evitando a utilização de impressos.

Auditorias frequentes também são necessárias para garantir não apenas que o tratamento dos dados está sendo feito da maneira correta como se há medidas preventivas de segurança e planos de contingência no caso de haver uma violação.

Quais são as punições da LGPD na saúde suplementar?

A ANPD tem a competência da LGPD de fiscalizar planos e seguros de saúde a respeito do cumprimento da lei. No entanto, a ANS pode exercer um papel auxiliar já que regula as relações entre operadoras e beneficiários.

Se houver algum tipo de vazamento de dados, as operadoras podem sofrer multas que podem chegar a 2% do faturamento anual da empresa, no caso de multas simples e 1% do faturamento anual de multa diária para infrações continuadas. Esses valores são limitados ao teto de R$ 50 milhões por infração, além da exposição pública da empresa, bloqueio e eliminação de dados.

Como funciona em outros países?

A GDPR que mencionamos lá no início é quem regula a maioria dos países da União Europeia. Ela é uma das legislações mais rigorosas do mundo e é válida para organizações que atuem nesses países ou que façam negócios com empresas e/ou pessoas desses locais.

A GDPR estabelece regras específicas para o tratamento de dados de saúde e exige consentimento explícito para o processamento desses dados. Caso haja uma violação, as empresas precisam notificar às autoridades em até 72 horas.

Os Estados Unidos não possuem uma lei federal de proteção de dados abrangentes, somente leis estaduais e regulamentações específicas quando se trata de saúde. Sendo assim, a Califórnia criou sua própria lei, a CCPA - California Consumer Privacy Act, em português, Lei de Privacidade dos Consumidores da Califórnia, com as mesmas prerrogativas da GDPR.

No Canadá, a PIPEDA- Personal Information Protection and Electronic Documents Act ou Lei de Proteção de Informações Pessoais e Documentos Eletrônicos contém disposições específicas sobre o tratamento de informações em saúde, exigindo consentimento informado na coleta, uso e divulgação de dados.

Gostou desse conteúdo? A Pipo pode entregar periodicamente materiais como este direto na sua caixa de entrada. Assine nossa newsletter!

Logotipo Pipo Saúde
Pipo Saúde

Conectamos a sua empresa com os melhores benefícios de saúde: Planos de saúde, odontológico e muito mais para o bem estar dos colaboradores da companhia.

Pronto para simplificar a gestão de saúde da sua empresa?

Comece agora uma nova relação com o plano de saúde da sua empresa.

Quero uma demonstração

Posts recomendados