A Lei Geral de Proteção de Dados (Lei 13709/2018) que “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” gerará grande impacto ao setor de Saúde Suplementar.
Segundo o art. 5º, inciso X da Lei, o tratamento de dado deve ser compreendido como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”
A Agência Reguladora (ANS) já estabelece algumas regras específicas para as operadoras de plano de saúde, beneficiários e prestadores envolvendo dados sensíveis, como nos casos de transmissão do Sistema de Informações do Beneficiário – SIB (RN 295), compartilhamento da gestão de riscos (RN 430), transparência das informações e Portal de Informações do Beneficiário da Saúde Suplementar – PIN-SS (RN 389), instituição de ouvidorias (RN 323), preenchimento de Declaração de Saúde (RN 162), Troca de Informação na Saúde Suplementar – Padrão TISS (RN 305), dentre outras.
Além da Agência Nacional de Saúde Suplementar, outras entidades como o Conselho Federal de Medicina já emitiram resoluções pautadas na ética da profissão e no sigilo de informações de pacientes, como é o caso da revelação de ficha e prontuários médicos (Resolução CFM 1605/2009) e a digitalização e uso dos sistemas informatizados para a guarda e manuseio de documentos dos prontuários de paciente (Resolução CFM 1821/2007).
No entanto, com a LGPD o objetivo é bem mais amplo do que o abordado pelas normas já existentes, visando garantir que de fato nenhuma informação seja compartilhada para outra finalidade diversa daquela para a qual foi fornecida.
A regra geral é a de que toda transação que envolva dados pessoais identificados passa a ser proibida sem o consentimento expresso e por escrito do paciente. Porém, a coleta de informações pessoais de saúde para a tutela da saúde dispensa a necessidade de consentimento formal.
Até atividades envolvendo o faturamento de contas hospitalares, por exemplo, precisarão de uma análise criteriosa quanto ao envio de informações com ou sem o consentimento, visto que poderão conter dados clínicos detalhados do paciente.
O fato é que o setor certamente precisará de imediato buscar uma consultoria especializada a fim de conhecer o ambiente legal e regulatório para ao desenvolvimento de suas atividades, entendendo o que precisará ser feito para se adequar às bases legais que autorizam o tratamento de dados.
Posteriormente, se monstra necessário a criação de fluxos rígidos para se adequar a LGDP, investir em tecnologias, buscar auditorias internadas de especialistas de segurança da informação e proteção de dados pessoais, como forma de não ser surpreendido com as rigorosas sanções que poderão ser aplicadas em caso de descumprimento da norma.
Publicado por Lunna Gabrielle Vasconcelos Barbosa em 23/12/2019
Rua Maranhão, 1694 - 5º andar Funcionários, Belo Horizonte/MG CEP: 30150-338
(31) 3243-2001
escritorio@advpraa.com.br