CONSIDERAÇÕES ACERCA DO COMPARTILHAMENTO DE RELATÓRIOS DE SINISTRALIDADE POR OPERADORAS DE PLANO DE SAÚDE À LUZ DA LGPD
CONSIDERAÇÕES ACERCA DO COMPARTILHAMENTO DE RELATÓRIOS DE SINISTRALIDADE POR OPERADORAS DE PLANO DE SAÚDE À LUZ DA LGPD

CONSIDERAÇÕES ACERCA DO COMPARTILHAMENTO DE RELATÓRIOS DE SINISTRALIDADE POR OPERADORAS DE PLANO DE SAÚDE À LUZ DA LGPD

29/11/21

 

Com o advento da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – “LGPD”), em vigor desde setembro de 2020, o tratamento de dados pessoais somente será lícito quando lastreado em pelo menos uma das denominadas “bases legais”, que são as hipóteses expressa e taxativamente previstas na lei que autorizam e dão fundamento ao tratamento de dados pessoais. Por outro lado, se não for possível identificar o titular dos dados pessoais, ou seja, se houver a anonimização dos dados pessoais, é afastada a aplicação da LGPD, pois a lei não considera dados anonimizados como dados pessoais.

 

Nesse contexto, é importante observar duas situações acerca do compartilhamento de relatórios de sinistralidade por operadoras de plano de saúde:

  1. Relatórios com a identificação do usuário; e
  2. Relatório sem a identificação do usuário.

 

Para a primeira situação, trata-se de uma operação de tratamento de dados pessoais, inclusive de dados pessoais sensíveis, uma vez que tais relatórios revelam dados referentes à saúde dos usuários do plano. Portanto, para a licitude de tal compartilhamento, este deverá estar validamente fundamentado em uma das bases legais elencadas no rol do artigo 11 da LGPD, aplicável ao tratamento de dados pessoais sensíveis.

 

Outrossim, o “Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde”, elaborado pela Confederação Nacional de Saúde (CNSaúde)[1], recomenda que, ao realizar o tratamento de dados pessoais sensíveis, os agentes de tratamento privilegiem a obtenção do consentimento, oportunizando ao titular a ciência quanto ao uso dos seus dados. O uso de outras bases legais, conforme dispõe o inciso II do artigo 11 da LGPD, seria via de exceção, devendo os agentes de tratamento comprovar, nesses casos, a indispensabilidade do tratamento.

 

Nessa linha, a LGPD determina que, para a validade do consentimento, este deverá ser coletado de forma específica, destacada e para finalidades específicas, sendo ônus do controlador dos dados comprovar que o consentimento foi obtido em conformidade com o disposto na lei. Deste modo, recomenda-se que o consentimento seja coletado por escrito, mediante termo próprio assinado pelo titular, ou outro meio que demonstre sua manifestação de vontade, e que este seja devidamente arquivado, de maneira que possa ser acessado em caso de eventual necessidade.

 

No mais, tendo em vista que que a LGPD prevê hipóteses de responsabilidade civil solidária em caso de em violação ao disposto na legislação, também se recomenda que seja firmado documento escrito pelo qual o receptor do relatório se comprometa a utilizar os dados compartilhados em observância à legislação de proteção de dados pessoais e nos estritos limites das finalidades específicas que foram informadas ao titular quando da coleta de seu consentimento.

 

Já na segunda situação, desde que o compartilhamento dos relatórios de sinistralidade seja feito de forma anonimizada, sem que seja possível identificar o usuário, não há necessidade de observância do disposto na LGPD. A propósito, o Código de Boas Práticas da CNSaúde[2] orienta no sentido de que seja priorizado o uso de dados anonimizados, quando a anonimização não prejudica a utilidade da informação a ser acessada.

 

A LGPD define a anonimização como a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio dos quais os dados perdem a possibilidade de associação, direta ou indireta, a um indivíduo. Assim, caso todos os dados inicialmente considerados dados pessoais, constantes do relatório de sinistralidade, sejam anonimizados, o compartilhamento do relatório prescindirá da obtenção do consentimento dos titulares.

 

Por fim, como estes relatórios envolvem questões médicas, sugerimos que o destino deles seja alguém também submetido à obrigação de sigilo, especialmente um médico.

 

Este informativo tem caráter genérico e informativo, não constituindo opinião legal para qualquer operação ou negócio específico.

 

Ricardo Sordi

E-mail: ricardo.sordi@brasilsalomao.com.br

 

Beatriz Paccini

E-mail: beatriz.paccini@brasilsalomao.com.br

 

Verônica Marques

E-mail: veronica.marques@brasilsalomao.com.br

 


[1] Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde. Disponível em: http://cnsaude.org.br/wp-content/uploads/2021/03/Boas-Praticas-Protecao-Dados-Prestadores-Privados-CNSaude_ED_2021.pdf, p. 92.

[2] Idem, p. 72-73.