Critérios da LGPD para operadoras e autogestões de saúde
A proteção de dados e a segurança da informação representam direito humano, com sérias repercussões sociais e econômicas, independentemente do segmento. No caso das operadoras de planos privados de assistência à saúde, incluindo as autogestões, esses critérios são ainda mais delicados e necessitam ter atenção redobrada, pois trabalham, essencialmente, com dados pessoais sensíveis, que são definidos como “dado pessoal sobre origem racial ou étnica, convicção religiosa, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”
Desde 18 de setembro de 2020 está em vigor a Lei n. 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD). Inspirada na GDPR Europeia, esta legislação tem por objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Seu principal fundamento é a autodeterminação informativa, pois, doravante, todo o tratamento de dados deve ter, necessariamente, uma base legal. Tal fato está impactando a vida de todas as empresas e entidades, sendo que o maior desafio é a mudança do mindset das organizações, que necessitam se adequar à citada norma, até mesmo em face das sanções pesadas que passarão a ser aplicadas pela Autoridade Nacional de Proteção de Dados, sem contar com riscos de indenizações e de dano reputacional.
As bases legais para o tratamento de dados estão dispostas nos arts. 7º. (dado pessoal) e 11 (dados pessoais sensíveis) da citada lei, ressalvando, porém, que citadas bases legais devem guardar coerência com a boa-fé e os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Além da autodeterminação informativa, a lei estabelece o empoderamento do titular dos dados, estabelecendo uma série de direitos que devem ser observados pelos agentes de tratamento de dados, como a confirmação da existência de tratamento; acesso aos dados; correção dos dados incompletos inexatos e desatualizados; anonimização; bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; eliminação dos dados pessoais tratados com o consentimento do titular; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, e revogação do consentimento.
Aludida legislação guarda semelhança com as normas de defesa do consumidor, lembrando ainda que o próprio art. 45 deixa expresso que “as hipóteses de violação do direito do titular no âmbito das relações de consumo, permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente”. Por fim, lembramos que a autogestão que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outro dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados, é obrigado a repará-lo, assumindo, ainda, responsabilidade solidária em relação aos dados que compartilhar com outros prestadores de serviços.
*José Luiz Toro da Silva é advogado, Mestre e Doutor em Direito. Consultor Jurídico da UNIDAS – União Nacional das Instituições de Autogestão em Saúde.