Plano de saúde. O que muda com a Lei Geral de Proteção de Dados?
Com a entrada em vigor da Lei 13.709/18 (LGPD), nos parece inegável a afirmativa de que a pessoa natural, especialmente o beneficiário de plano de saúde, passa a exercer um direito quase absoluto sobre os dados pessoais coletados por terceiros a seu respeito, e para os fins dessa discussão, pelas operadoras de planos de assistência à saúde.
Diferentemente do que ocorria, e pode-se dizer que ainda ocorre, com o início de vigência da LGPD fica mitigada a liberdade dos planos de saúde de decidirem unilateralmente sobre o uso que farão dos dados pessoais que são coletados dos seus beneficiários, ou seja, sobre o tratamento de dados.
É sempre bom lembrar que “tratamento de dados” é um conceito que envolve toda operação realizada com dados pessoais, sendo exemplos, além da coleta, a recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, armazenamento, eliminação e avaliação ou controle da informação.
Em conformidade com a LGPD, o beneficiário (titular dos dados) passa a ter o direito de, a qualquer tempo, requerer do plano de saúde (controlador) uma série de informações e providências, sem contar que o tratamento de dados pessoais não mais poderá ocorrer à sua revelia.
Entre esses direitos destacam-se: 1) confirmação da existência do tratamento e modo como é realizado; 2) acesso aos dados; 3) correção; 4) bloqueio; 5) eliminação daqueles que considerar desnecessários; e 6) oposição ao tratamento, ficando o plano de saúde, neste caso, obrigado a informá-lo sobre as consequências de não poder fazê-lo.
Outro ponto que merece destaque é a necessidade de consentimento específico e destacado como condição para o tratamento de dados sensíveis ou, ainda que sem consentimento, em hipóteses muito restritas, mas que, pelo princípio do livre acesso, não desobriga o plano de saúde do dever de informação.
Aliás, é relevante observarmos que os planos de saúde, pela própria natureza da atividade que exercem, além de coletarem dados pessoais comuns (nome, RG, CPF, endereço, etc), também coletam dados relacionados ao histórico de saúde do beneficiário, considerados sensíveis e tratados com maior rigor pela legislação.
Igualmente relevante é a compreensão do conceito de “consentimento” à luz da LGPD, muito similar ao já conhecido Termo de Consentimento Livre e Esclarecido utilizado com o fim de informar e obter concordância a respeito dos procedimentos diagnósticos ou terapêuticos indicados, cuja distinção reside apenas no objeto.
Enquanto o “consentimento” na assistência médica tem como objeto os fins diagnósticos e terapêuticos, na LGPD deverá representar a manifestação livre, informada e inequívoca pela qual o titular concordará com o tratamento de seus dados pessoais para uma finalidade determinada.
Logo, é no termo de consentimento que o plano de saúde deverá deixar claro o uso que fará dados, com quem irá fazer o compartilhamento ou comunicação.
Incorrerá, portanto, em infração aquele que, mesmo tendo obtido o consentimento, utilizar os dados pessoais para uma finalidade que seja diversa daquela pactuada com o seu titular.
Ademais, ficou expressamente vedado às operadoras fazerem uso dos dados de saúde para a prática de seleção de risco, ou seja, para determinar a contratação ou cancelamento de beneficiários em razão da sua condição, vedação de certa forma já contida no arcabouço de normas que regulam a saúde suplementar.
Outra inovação importante é a obrigatoriedade de indicar um encarregado pelo tratamento de dados pessoais, pessoa (normalmente funcionário) que terá a função de atuar como canal de comunicação entre o controlador (plano de saúde), beneficiários e a Autoridade Nacional de Proteção de Dados (ANPD) – órgão responsável pela fiscalização, cujo rol de atribuições também está previsto diretamente no texto da lei.
Além disso, não poderíamos deixar de comentar sobre a importância da segurança da informação.
A partir da lei 13.709, passa a ser um requisito indispensável a implementação de políticas de segurança, pois, somente com um nível de gerenciamento e mecanismos de proteção efetivos será possível evitar incidentes que possam acarretar riscos ou danos relevantes ao beneficiário pelo uso indevido dos dados, diga-se de passagem, passíveis de indenização.
Não bastasse, tornou-se imprescindível que as mudanças contemplem investimento em treinamento e capacitação da equipe para que tenham a exata compreensão das regras contidas na LGPD, assim como das políticas da organização em relação ao tratamento de dados, alcançando todos os envolvidos, sejam funcionários, diretores, médicos ou prestadores de serviço.
Assim, sem a pretensão de esgotar a discussão, está claro que a LGPD exigirá dos planos de saúde, assim como de empresas de outros segmentos, profundas mudanças para garantir, além da segurança da informação, o respeito aos direitos do beneficiário (titular dos dados), agora expressamente previstos em lei.
Karim Rodrigues Jardim
Advogado | Especialista em Direito Processual Civil e especializando em Direito Médico
Administrador com MBA em Gestão Hospitalar
