Por José Luiz Toro da Silva e Rafael Dias da Cunha
O setor da saúde de uma maneira geral, incluída a saúde suplementar, é considerado de relevância pública. O Estado pode regular, controlar e fiscalizar suas atividades. A sua relevância pode ser aferida na medida em que é o setor mais regulado do pais. A Lei Geral de Proteção de Dados (LGPD) – a vigorar a partir de agosto de 2020 – aumentará exponencialmente a fiscalização sobre o setor em função de ser quem lida com as informações mais sensíveis dos cidadãos, o status de sua saúde.
Por consequência, a LGPD deve “dialogar” com diversas outras leis e normas, devendo as operadoras de planos privados de assistência à saúde suplementar encontrar o devido fundamento normativo para o mencionado tratamento, lembrando que a inobservância destas outras normas também resultará sérias penalidades para tais empresas e entidades.
No âmbito da Saúde Suplementar, se observa que, devido à própria natureza da prestação dos serviços, seria impossível o funcionamento dos estabelecimentos de saúde sem o tratamento de dados pessoais. A título de exemplo, podemos citar todos os atos voltados a autorização de procedimentos, auditorias, declarações de saúde, análise de diagnósticos e resultados, pagamento de honorários médicos e até a troca de dados entre a agência reguladora e a operadora. É necessário se ter em mente que dados pessoais referentes à saúde, juntamente com as informações acerca da origem racial ou étnica, convicção religiosa, opinião política e à vida sexual, dados genéticos ou biométricos – quando vinculados a uma pessoa natural se enquadram na categoria denominada de dados pessoais sensíveis.
A nova legislação não exclui a obrigação das citadas empresas ou entidades em se atentar e cumprir as resoluções já existentes da Agência Nacional de Saúde Suplementar – ANS acerca da proteção de informações do beneficiário.
Vale dizer que a LGPD busca a flexibilização do tratamento de dados de saúde entre os agentes de mercado, desde que para adequada prestação dos serviços de saúde suplementar. Por isso, estabelece que é vedado às operadoras o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. O que, inclusive, já é tido como prática vetada no art. 14 da Lei n. 9.656, de 1998, e na Súmula 27, de 2015, editada pela ANS.
O Artigo 11, II, “e”, da referida Lei, também legitima o tratamento de dados pessoais em situações onde está em risco a integridade física do titular ou de terceiros. Tal premissa vai ao encontro das garantias fundamentais previstas na Constituição Federal.
Ainda, é possível o tratamento de dados pessoais visando o exercício regular de direitos. O tratamento fundamentado nessa categoria abrange contratos, processos judiciais, administrativos e arbitrais, porém, diferente do que se faz entender em primeiro momento, o exercício regular de direitos não acolhe todos os atos de tratamento realizados pelas operadoras de planos de saúde. Isso porque a LGPD define entre os princípios a serem observados a boa-fé, a finalidade, a adequação, a necessidade, a segurança, a não-discriminação, a responsabilização e a prestação de contas na realização do tratamento.
Significa dizer que, a cada vez que for realizado um tratamento de dados pessoais do beneficiário fundamentado no exercício regular de direito da operadora de planos de saúde, deverá ser realizada a ponderação acerca dos princípios presentes na norma e os impactos do ato realizado nos direitos do Titular dos dados.
Neste ponto, propõe-se uma reflexão acerca da abrangência e peculiaridade específicas referentes aos dados pessoais de saúde, sendo possível sua subdivisão em dados pessoais relativos à saúde, dados pessoais genéticos e dados pessoais biométricos.
A primeira categoria, qual seja, a de dados de saúde são relacionados a saúde física ou mental de uma pessoa, são aqueles oriundos da prestação de serviços médicos, possuem a capacidade de revelar uma gama diversa de informações, podendo abranger como por exemplo dados técnicos objetivos tais como doenças cardíacas e ainda, quando feito o tratamento desses dados, é possível constatar informações como a qualidade da alimentação do indivíduo, sua geolocalização – em caso de problemas respiratórios decorrentes de fatores ambientais, por exemplo – e ainda, patologias psicológicas como ansiedade e depressão.
Temos ainda os dados pessoais sensíveis de saúde que se enquadram na categoria de dados genéticos que são aqueles ligados às caraterísticas hereditárias ou adquiridas de uma pessoa que tragam informações únicas sobre sua fisiologia ou saúde que resulte de análise de amostra biológica proveniente da respectiva pessoa. Nessa categoria se enquadram também, as amostras coletadas para realização de um respectivo exame, tais como amostras de sangue e de tecido, por exemplo, de modo que é possível que os dados pessoais sensíveis de saúde genéticos não sejam compostos necessariamente por documentos físicos ou eletrônicos, mas também, se constituam de formas outras.
Por fim, os dados pessoais biométricos são resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa que permitam ou conformem a identificação única da pessoa. Denota-se que tais dados pessoais estão presentes em diversas relações públicas e privadas, como a colheita de digital para expedição do título de eleitor junto à Administração Pública, ou para diversos outros cadastros.
É possível, desse modo, constatar que os dados pessoais relativos à saúde possuem uma capacidade de influenciar, através das informações dele decorrentes, diversos aspectos da vida de seu titular, motivo pelo qual, a LGPD traz em seu texto uma série de medidas especificas que corregulam, juntamente às normas já existentes, o tratamento desses dados.
No ordenamento jurídico brasileiro, existem diversos normativos constitucionais e infraconstitucionais, que possuem condão de tutelar a privacidade do indivíduo, e ainda, sob o prisma Constitucional, através de uma análise teleológica, é possível observar a presença da proteção da privacidade e proteção de dados pessoais como uma garantia fundamental.
Contudo, vale a ressalva de que o amparo à proteção de dados presente no texto maior possui caráter lato sensu, na medida em que o texto em questão prevê sua inviolabilidade.
Assim, é possível observar que os dados pessoais de saúde possuem características unas, sendo tão abrangentes e específicos que receberam em diversos pontos da norma uma atenção especial legislativa, que buscou trazer equilíbrio entre os interesses e direitos dos agentes que compõem as dinâmicas onde há o tratamento desses dados. Nesse aspecto, não se pode afirmar que alguns dos princípios ou obrigações previstas na LGPD são consideradas novidades para as operadoras de planos privados de assistência à saúde, ou seja, leis especiais ou as próprias normas do órgão regulador já estabelecem tais exigências. Porém, elas deverão rever os seus processos de gestão da operação, identificando o fundamento legal ou regulatório para o mencionado tratamento de dados, aplicando e harmonizando os princípios da LGPD com as suas outras obrigações.
Possivelmente, no futuro teremos normas conjuntas da ANS com a Autoridade Nacional de Proteção de Dados, a fim de facilitar o mencionado processo de harmonização e a aplicação da teoria do diálogo das fontes, resultando em maior segurança jurídica para todas as partes envolvidas nesse importante segmento da vida privada.
José Luiz Toro da Silva é sócio fundador e Rafael Dias da Cunha é assistente jurídico do Toro & Advogados Associados