Imprimir

Opinião

A sutil harmonia entre LGPD e as leis e normas de saúde suplementar

Silvestre Severiano

Às vésperas de completar 2 (dois) anos, sem mesmo ainda entrar em vigor, a Lei Geral de Proteção de Dados vem causando grandes mudanças assim como outras normas já em vigência vem caminhando garantindo aos Titulares de Dados a proteção de suas informações pessoais e sensíveis na esfera da saúde.

As informações de saúde tem caráter especial conforme o Regulamento Geral de Proteção de Dados (GDPR norma EU) e um status de Dado Pessoal Sensível conforme a Lei Geral Proteção de Dados (LGPD - Lei Federal 13.709/18). A saúde em nosso pais, tem amparo no artigos 6º e 196 da Constituição Federal e, além de um direito fundamental, é uma garantia Universal fornecido pelo Estado.

Entretanto o poder público não é capaz de entregar este serviço de modo eficaz para 100% dos cidadãos. Para que a demanda fosse suprida, o artigo 199, § 1º da CF estendeu aos entes privados que pudesse prestar o serviço de saúde. Sendo portanto sujeitos a um regulamento setorial e o que vemos é que estes regulamentos de saúde tem se mostrado harmônicos com a LGPD.

Por mais que acreditemos que existirá conflito entre as normas do setor e a LGPD, a simples regra hierárquica pode solucionar muitos desses supostos conflitos ainda não existentes. No presente momento existe uma lacuna causada pela falta da Autoridade Nacional Proteção de Dados, porem este espaço vem sendo ocupado pelo Ministério Público, Procon e Senacon; estes órgãos estão bem longe das atribuições da ANPD, entretanto estão direcionando as empresas na aplicação das leis vigentes que tratam sobre Privacidade de dados por meios de suas responsabilidades constitucionais e legais especificas.

A consonância entre o setor da saúde suplementar e a LGPD se dará por meios de suas autoridades, agencias, secretarias e conselho, na área da saúde temos a Agência Nacional de Saúde (ANS), Agência Nacional de Vigilância Sanitária (ANVISA), Conselho Federal de Medicina (CFM), Conselho Federal de Farmácia (CFF), entre outras e a Autoridade Nacional de Proteção de Dados (ANPD).

O setor de Saúde está bem à frente de muitas outras áreas e setores em se tratando de diretrizes que exigem um rígido processo de privacidade. Não são poucas as normas que regulamentam o setor de Saúde suplementar, os titulares ou usuários do sistema de saúde pública e de planos de saúde privados são considerados consumidores e recebem também a proteção do Código de Defesa do Consumidor (lei 8.078/90).

Mesmo que de modo limitado o CDC assegura que as empresas devem manter os banco de dados com informações de clientes devidamente atualizados e disponíveis para acesso dos titulares; tutela a segurança a vida, educação e serviços sem vícios ou defeitos.

Algumas resoluções da área de saúde vem tratando de privacidade a muito tempo, tutelando as responsabilidades e obrigações para que essa prestação de serviço seja fornecida nos melhores moldes de segurança da informação.

Na Resolução do Conselho Federal de Medicina n° 1.931/09 no artigo 22° apresenta a necessidade do médico obter o consentimento do paciente ou seu responsável para o tratamento. Sabendo que o consentimento não é a única base legal para essa relação.

Em 1996 nos Estados Unidos o Departamento de Saúde e Serviços Humanos ("HHS") aprovou as normas para Privacidade de Informações de Saúde Individualmente Identificáveis; HIPAA (Health insurance portability and accountability act) em uma tradução direta Lei de Portabilidade e Responsabilidade do Seguro de Saúde, os padrões da Regra de Privacidade tratam do uso e divulgação de informações de saúde de indivíduos - chamadas "informações de saúde protegidas" por organizações sujeitas à Regra de Privacidade - chamadas de "entidades cobertas", bem como normas para os direitos de privacidade de indivíduos para entender e controlar como informações de saúde são usadas. 

No Departamento de Saúde e Serviços Humanos dos EUA (HHS), o Escritório de Direitos Civis ("OCR") tem a responsabilidade de implementar e aplicar a Regra de Privacidade com relação a atividades de conformidade voluntária e multas.

Assim como a GDPR ou LGPD a HIPAA tem como um de seus principais objetivos da Regra de Privacidade é garantir que as informações de saúde dos indivíduos sejam protegidas adequadamente, permitindo o fluxo de informações de saúde necessárias para fornecer e promover cuidados de saúde de alta qualidade e proteger a saúde e o bem-estar do público.

A Regra de Privacidade, bem como todas as regras de Simplificação Administrativa, aplica-se a planos de saúde, câmaras de assistência médica e a qualquer profissional de saúde que transmita informações de saúde em formato eletrônico em conexão com transações para as quais o Secretário do HHS adotou padrões sob o HIPAA (as "entidades cobertas").

Assim como a HIPAA nos EUA temos no Brasil o padrão TISS – (Troca de Informação em Saúde Suplementar) que foi estabelecida pela Resolução Normativa 305/12 da ANS, a TISS foi estabelecida como um padrão obrigatório para as trocas eletrônicas de dados de atenção à saúde dos beneficiários de planos, entre os agentes da Saúde Suplementar. O objetivo é padronizar as ações administrativas, subsidiar as ações de avaliação e acompanhamento econômico, financeiro e assistencial das operadoras de planos privados de assistência à saúde e compor o Registro Eletrônico de Saúde.

A Resolução 1.605/00, do CFM em seu artigo 1º deixa bem claro, que o médico não pode, sem o consentimento do paciente, revelar o conteúdo do prontuário ou ficha médica. Tendo como uma regra básica o consentimento do paciente nunca será tudo, uma vez que este consentimento pode ser retirado, entretanto muito mais seguro que o consentimento é conhecer outras bases legais que podem trazer maior segurança para o profissional da saúde e proteção para o paciente, tais como: Proteção da vida ou da incolumidade física do titular ou de terceiro, o juramento de salvar vidas está acima de qualquer escolha a ser feita, e ou  Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, existe uma base legal feita a mão para esta área uma vez que se entende o quão importante é estabelecer diretrizes especificas para ela.

Algumas resoluções estão trazendo também para a rotina da área de saúde algumas outras normas técnicas, um exemplo de norma bem atuante no setor são as ISSO 27001, 27002 e 27701 que trata sobre segurança da informação, governança de dados e privacidade de dados; vejamos a resolução 1.821/07 do CFM que trata da digitalização e do uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes. Esta resolução foi modificada pela Resolução 2.218/2018 em virtude da evolução tecnológica como descreve a própria normativa. É esta mesma resolução que trata sobre o prazo de armazenamento dos dados de pacientes; após último registro os dados devem ser mantidos por 20 anos.

Em 2018 tivemos resoluções que viera para deixar muito mais claro que a paridade entre a LGPD, normas e resoluções viriam para falar a mesma língua; observe a resolução 2.217/18, do Conselho Federal de Medicina, Código de Ética Médica que Garante o caráter sigiloso do prontuário médico, que só poderá se manuseado por quem esteja obrigado ao sigilo; a  Lei 13.787/18 traz o prontuário médico eletrônico. O artigo 1º da lei refuta qualquer possibilidade de conflito com a LGPD ao afirmar que a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente são regidos também pela lei 13.709/18.

Em uma visão bem moderna a Resolução da Diretoria Colegiada - RDC 44, da ANVISA, dispões sobre as Boas Práticas Farmacêuticas, informando que é responsabilidade do estabelecimento farmacêutico detentor do sítio eletrônico assegurar a confidencialidade dos dados, a privacidade do usuário e a garantia de que acessos indevidos ou não autorizados a estes dados sejam evitados e que seu sigilo seja garantido, se observar quem adere a essa obrigação de sigilo encontraremos o farmacêutico faz parte dos profissionais que são obrigados a manter o sigilo do prontuário e informações médias conforme resolução 2.217/18 CFM artigo 85.

A ANS por meio da Súmula normativa 27/15: veda a prática de seleção de riscos pelas operadoras de planos de saúde na contratação de qualquer modalidade de plano privado de assistência à saúde. Uma simples leitura da súmula permite ver facilmente uma benéfica influência sobre o artigo 11 § 5º, da LGPD.

A evolução tecnológica aconteceu de modo universal e influenciou e muito nas normas e leis na área de saúde suplementar, em exemplo é a Resolução 2.264/19 do CFM onde define e disciplina a telepatologia como forma de prestação de serviços de anatomopatologia mediados por tecnologias. E em nenhum momento ocorre alguma afronta a privacidade ou norma neste sentido; claro que os entes devem seguir com cautelas as normas de segurança da informação estabelecida pela ISSO 27001.

Temos mais fatores que movem os conselhos e o legislativo para criar leis ou modifica-las, podemos ver a lei 13.979/20 que dispõe sobre as medidas para enfrentamento ao Corona vírus. Uma das medidas é A obrigatoriedade do compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo Corona vírus, com a finalidade exclusiva de evitar a sua propagação.

Outra lei muito relevante e que colabora com o assunto é a lei 13.989/20 que trata sobre o uso da telemedicina durante a crise causada pelo corona vírus (SARS-CoV-2). Inúmeros são os pacientes que serão beneficiados por essa medida; mesmo que seja aplicação temporária a mesma está em sintonia com a LGPD

Não é objetivo aqui esgotar o tema, porem trazer um pouco de luz sobra a harmonia existente entres as normas e resoluções da área de saúde com a lei geral de proteção de dados.

Diante de tudo que foi apresentado, o que resta é nos preparar para mais um evento transformador que elevará para um patamar mais alto as interações dos pacientes/titulares da saúde suplementar no Brasil.





Autor: Silvestre Severiano, Advogado e Vice-Presidente da Comissão de Direito Digital da Associação Brasileira de Advogados em Cuiabá – ABA - Cuiabá.






 
Imprimir