fbpx

Compartilhamento de dados pessoais com a administradora do plano de saúde. Quais cuidados tomar?

O compartilhamento de dados pessoais com a administradoras do plano de saúde é uma prática comum no âmbito das clínicas médicas. Geralmente, dentre as informações compartilhadas, estão inclusos tanto dados ordinários como dados sensíveis, sendo estes últimos os que recebem um tratamento especial da Lei Geral de Proteção de Dados (LGPD). 

Já fizemos um artigo explicando os principais conceitos trazidos pela LGPD e o que muda a partir de agora para as clínicas e empresas de saúde. Você pode conferir o conteúdo clicando aqui.

Nesse artigo, vamos abordar que cuidados tomar na hora de compartilhar informações dos pacientes com o plano de saúde, a fim de evitar violações aos direitos dos titulares, bem como não cair nas sanções previstas na LGPD quanto ao tratamento dos dados pessoais.

Mas o que são dados pessoais?

Os tão famigerados dados pessoais são as informações que tornam um indivíduo identificável (dados pessoais diretos) ou passível de identificação (dados pessoais indiretos). São exemplos desses tipo de dados o nome da pessoa natural, o número de RG ou CPF, o endereço, a data de aniversário ou até o compilado de todas essas informações.

Além deles, deve-se destacar os dados sensíveis, que são aqueles que podem servir como um meio discriminatório contra o titular, como por exemplo os dados referentes à saúde ou à vida sexual, dado genético ou biométrico e outros, quando vinculado a uma pessoa natural. 

Apesar de a LGPD não trazer um conceito concreto do que seria um dado referente à saúde, esse pode ser definido como uma informação relacionada à sua saúde física ou mental no passado, no presente ou no futuro. Inclui informações sobre a pessoa singular recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação.

No setor da saúde, a LGPD aplica-se tão somente aos dados de pacientes e profissionais (colaboradores) da clínica, ou seja, dados de pessoas físicas, não abarcando os dados concernentes às atividades da própria empresa.

Como exemplo, podemos citar os exames médicos, informações de saúde dos pacientes, consultas, prontuários, internações, imagens, etc. 

Compartilhar dados é uma das espécies de tratamento. Nessa situação, a clínica como responsável pela decisão sobre o tratamento dos dados dos pacientes é denominada controladora, nos termos da Lei, o que significa uma responsabilidade sobre possíveis danos que a utilização indevida venha a causar. 

Por isso, na hora de compartilhar dados com a operadora do plano de saúde, atente-se para os pontos listados a seguir.

Escolha uma base legal

As bases legais são hipóteses autorizadoras do tratamento de dados pessoais trazidas pela LGPD. É o motivo pelo qual você estará recolhendo e utilizando esse dado, seja para armazenar, compartilhar ou analisar.

Para os dados dos pacientes, o consentimento é a base mais usual, sendo a autorização direta, expressa e inequívoca para o compartilhamento de dados pela clínica. 

A aplicação dessa base deve proporcionar ao titular o poder escolha, devendo ser informado de forma destacada dos demais termos do contrato, se for o caso, ou em um contrato apartado, através de um termo de consentimento.

Nem sempre será necessário se ter o consentimento do paciente. Em alguns casos, o tratamento de dados sensíveis pode se dar:

  • por cumprimento de obrigação legal ou regulatória pelo controlador;
  • tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; 
  • realização de estudos por órgão de pesquisa; 
  • exercício regular de direitos; 
  • proteção da vida ou da incolumidade física do titular ou de terceiro; 
  • tutela da saúde, garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônico.

Entretanto, com exceção do consentimento, todas as hipóteses de tratamento de dados pessoais sensíveis somente podem ser utilizadas quando a finalidade pretendida pelo controlador não puder ser alcançada mediante o consentimento.

Outra base legal que merece destaque no âmbito das clínicas é a tutela da saúde, sendo aplicável somente nos “procedimentos realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária”. Ou seja, não será possível usar a base legal da tutela da saúde para atividades que não estejam relacionadas ao serviço de saúde propriamente dito, como por exemplo, o recolhimento de dados para criação de um cadastro do paciente, mesmo que o estabelecimento seja uma clínica ou hospital.

Por último e não menos importante, pode-se utilizar da prerrogativa do exercício regular de direito da clínica quando se estiver diante de situações não amparadas pelas bases anteriores, como para o cumprimento de uma determinação judicial. 

Manter os titulares de dados informados acerca do compartilhamento 

Se você pretende ou necessita realizar o compartilhamento de dados de seus pacientes com parceiros, isso deve ser informado ao titular. Deve-se deixar claro com quem aqueles dados serão trocados e qual a finalidade desse fornecimento.

Para isso, é possível fazer de diversas formas. A mais usual é pedir para que o paciente assine um termo de consentimento de tratamento de dados pessoais, em que terá a descrição de como os dados serão utilizados e com quem será utilizado. 

Por exemplo, em uma clínica que realiza exames, deve haver o consentimento do paciente para que a empresa envie o resultado para o seu médico. Dessa forma, é possível pedir que o paciente assine um termo autorizando o compartilhamento de tais dados.

Isso é importante para resguardar a empresa caso ocorra qualquer tipo de incidente envolvendo essas informações, além de garantir os direitos dos titulares de dados previstos na lei. 

Cabe à empresa o cuidado em como esses dados são armazenados e geridos. É importante salientar que os direitos do titular vão desde a acesso e alteração aos dados, anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei, portabilidade dos dados até a revogação de consentimento.

Siga as normas para a devida coleta e armazenamento de dados dos pacientes

A Resolução CFM nº 1.821, de 11 de julho de 2007, traz normas técnicas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde. De acordo com essa norma, os arquivos digitais oriundos da digitalização dos documentos do prontuário dos pacientes deverão ser controlados por sistema especializado (Gerenciamento eletrônico de documentos – GED), que possua, minimamente, as seguintes características: 

  1. Capacidade de utilizar base de dados adequada para o armazenamento dos arquivos digitalizados;
  2. Método de indexação que permita criar um arquivamento organizado, possibilitando a pesquisa de maneira simples e eficiente; 
  3. Obediência aos requisitos do “Nível de garantia de segurança 2 (NGS2)”, estabelecidos no Manual de Certificação para Sistemas de Registro Eletrônico em Saúde.

Além da Resolução supracitada, a ANS, através das especificações do padrão TISS (Troca de Informações na Saúde Suplementar) traz outras normas para o compartilhamento entre operadoras de planos e estabelecimentos de saúde que é importante estar atento.

Por fim, é de bom tom que o compartilhamento de dados com as operadoras dos planos seja regulado por contrato, o qual deve estipular as obrigações de ambas as partes, respeitando as bases legais de tratamento e sua finalidade.  

Adequação ou elaboração da Política de Governança, Política de Privacidade, Política de Segurança da Informação e treinamento da equipe

Todo aquele que realiza o tratamento de dados pessoais precisa desses documentos por fatores como criação de uma cultura de proteção de dados, publicidade do tratamento aos titulares e promoção de segurança das ações.

É imprescindível que sua clínica tenha uma política de governança de dados bem estruturada. Ela vai abranger ações e boas práticas e de governança na gestão de dados pessoais, que envolve o desenvolvimento de ações preventivas, educacionais e medidas organizacionais estruturadas pela clínica, visando à difusão e  ao aprimoramento da cultura de privacidade e proteção de dados pessoais pelos colaboradores e/ou profissionais que agem em nome da clínica.

Além disso, ressalta-se a importância da constituição de uma política de privacidade, a qual irá informar como ocorrem as ações de tratamento de dados pela clínica, assim como expõe aos titulares de dados meios para acesso e prática de seus direitos.

Outrossim, e ainda mais importante, tem-se a elaboração de uma política de segurança da informação, a qual tem como objetivo precípuo criar mecanismos para a proteção dos dados tratados.

No mais, a promoção de formações para a equipe de colaboradores é imprescindível a fim de que todos os colaboradores tenham consciência da essência da necessidade da proteção dos dados e de seus benefícios à clínica.

E por fim, uma dica:

Não compartilhar imagens dos pacientes com os colegas de trabalho, não compartilhar imagens de prontuários ou anotações que contenham dados pessoais dos pacientes.

Saiba que enviar fotos, prontuários, exames dos seus pacientes, sem autorização, para outro profissional ou colega de trabalho, mesmo que trabalhe na mesma clínica, também causa implicações práticas de acordo com a LGPD. Ante o compartilhamento, deve haver uma base legal que o embase, assim como a delimitação de uma finalidade específica e informada. 

Por: Ana Carolina Morais e Ana Clara Saldanha

Comentários