Com o advento da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – “LGPD”), em vigor desde setembro de 2020, o tratamento de dados pessoais somente será lícito quando lastreado em pelo menos uma das denominadas “bases legais”, que são as hipóteses expressa e taxativamente previstas na lei que autorizam e dão fundamento ao tratamento de dados pessoais. Por outro lado, se não for possível identificar o titular dos dados pessoais, ou seja, se houver a anonimização dos dados pessoais, é afastada a aplicação da LGPD, pois a lei não considera dados anonimizados como dados pessoais.
Nesse contexto, é importante observar duas situações acerca do compartilhamento de relatórios de sinistralidade por operadoras de plano de saúde:
- Relatórios com a identificação do usuário; e
- Relatório sem a identificação do usuário.
Para a primeira situação, trata-se de uma operação de tratamento de dados pessoais, inclusive de dados pessoais sensíveis, uma vez que tais relatórios revelam dados referentes à saúde dos usuários do plano. Portanto, para a licitude de tal compartilhamento, este deverá estar validamente fundamentado em uma das bases legais elencadas no rol do artigo 11 da LGPD, aplicável ao tratamento de dados pessoais sensíveis.
Outrossim, o “Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde”, elaborado pela Confederação Nacional de Saúde (CNSaúde)[1], recomenda que, ao realizar o tratamento de dados pessoais sensíveis, os agentes de tratamento privilegiem a obtenção do consentimento, oportunizando ao titular a ciência quanto ao uso dos seus dados. O uso de outras bases legais, conforme dispõe o inciso II do artigo 11 da LGPD, seria via de exceção, devendo os agentes de tratamento comprovar, nesses casos, a indispensabilidade do tratamento.
Nessa linha, a LGPD determina que, para a validade do consentimento, este deverá ser coletado de forma específica, destacada e para finalidades específicas, sendo ônus do controlador dos dados comprovar que o consentimento foi obtido em conformidade com o disposto na lei. Deste modo, recomenda-se que o consentimento seja coletado por escrito, mediante termo próprio assinado pelo titular, ou outro meio que demonstre sua manifestação de vontade, e que este seja devidamente arquivado, de maneira que possa ser acessado em caso de eventual necessidade.
No mais, tendo em vista que que a LGPD prevê hipóteses de responsabilidade civil solidária em caso de em violação ao disposto na legislação, também se recomenda que seja firmado documento escrito pelo qual o receptor do relatório se comprometa a utilizar os dados compartilhados em observância à legislação de proteção de dados pessoais e nos estritos limites das finalidades específicas que foram informadas ao titular quando da coleta de seu consentimento.
Já na segunda situação, desde que o compartilhamento dos relatórios de sinistralidade seja feito de forma anonimizada, sem que seja possível identificar o usuário, não há necessidade de observância do disposto na LGPD. A propósito, o Código de Boas Práticas da CNSaúde[2] orienta no sentido de que seja priorizado o uso de dados anonimizados, quando a anonimização não prejudica a utilidade da informação a ser acessada.
A LGPD define a anonimização como a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio dos quais os dados perdem a possibilidade de associação, direta ou indireta, a um indivíduo. Assim, caso todos os dados inicialmente considerados dados pessoais, constantes do relatório de sinistralidade, sejam anonimizados, o compartilhamento do relatório prescindirá da obtenção do consentimento dos titulares.
Por fim, como estes relatórios envolvem questões médicas, sugerimos que o destino deles seja alguém também submetido à obrigação de sigilo, especialmente um médico.
Este informativo tem caráter genérico e informativo, não constituindo opinião legal para qualquer operação ou negócio específico.
Ricardo Sordi
E-mail: ricardo.sordi@brasilsalomao.com.br
Beatriz Paccini
E-mail: beatriz.paccini@brasilsalomao.com.br
Verônica Marques
E-mail: veronica.marques@brasilsalomao.com.br
[1] Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde. Disponível em: http://cnsaude.org.br/wp-content/uploads/2021/03/Boas-Praticas-Protecao-Dados-Prestadores-Privados-CNSaude_ED_2021.pdf, p. 92.
[2] Idem, p. 72-73.
