Introdução

No dia 06 de janeiro de 2020, o jornal The Economist veiculou matéria com o título “O recurso mais valioso do mundo não é o petróleo, são os dados”, na qual expõe detalhadamente como os dados pessoais dos usuários da rede mundial de computadores conseguiram, em termos de valor agregado, superar o petróleo no mercado aberto das commodities.

De fato, visto tanto pelos investidores como pelos gestores públicos e privados, os dados pessoais se tornaram a nova commodity do século. Certamente que a realidade atual no que diz respeito ao acesso à informação representa em todos os níveis o que se convencionou chamar de “Era digital da informação”.

A indústria da informação atualmente é formada pelo conglomerado que integra as cinco maiores gigantes de tecnologia, que são: Alphabet (a companhia-mãe do Google), Amazon, Apple, Facebook e Microsoft. Com o surgimento de novas tecnologias da informação, desenvolvimento de aplicativos, uso dos chamados wearables, proliferação em massa das mídias sociais, advento de novas startups no setor de tecnologia da informação, entre outras novidades do mundo digital, nasce uma nova lógica de organização nos mercados: a posse de dados pessoais.

Embora visto como uma tendência global, os riscos para os direitos e garantias fundamentais dos cidadãos nesta nova era digital são iminentes. De um lado, as organizações privadas, outrora titulares desimpedidas do monopólio dos dados entregues pelos usuários de seus serviços e produtos, operavam com o objetivo principal em formar perfis de consumo e de crédito dos seus usuários, com o objetivo de compartilhá-la com outras empresas, visando em última instância a divulgação dos produtos e serviços no mercado digital.

Contudo, tamanho controle dos dados nas mãos de tão poucos agentes, causa enorme preocupação tanto nas autoridades mundiais quanto nas entidades privadas representativas da sociedade civil – ressalvado o público de um modo geral, que a princípio está interessado tão somente nos serviços disponibilizados pelas plataformas.
Afinal, poucas pessoas estão dispostas a viver em um mundo sem uma ferramenta de pesquisa virtual, como por exemplo o Google ou os dispositivos de busca ofertados pelas redes-sociais/app: Facebook e Instagram.

Por outro lado, não se pode ignorar também o perigo que representa o monopólio dos dados pessoais exclusivamente nas mãos do Poder Público.

Neste sentido, os maiores riscos são as múltiplas e variadas formas de controle e cerceamento das liberdades individuais sob os mais diversos pretextos utilitaristas, além da iminente centralização das informações analisadas sob a ótica da vigilância total.

Foi nesse contexto que o Parlamento Europeu aprovou o GDPR (General Data Protection Regulation) – ou Regulamento Geral de Proteção de Dados 2016/679, trazendo requisitos para o tráfego internacional de dados pessoais, sobretudo, com embargos a países que não disponibilizam de um nível adequado de proteção de dados pessoais.

Claramente inspirada no GDPR europeu, em 14 de agosto de 2018 foi aprovada
a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD). Dentre outros pontos,
o objetivo principal do Legislador foi regulamentar a disciplina de proteção de dados
pessoais, de modo a garantir a proteção dos direitos fundamentais dos titulares de
dados, com destaque à liberdade, intimidade, privacidade e o livre desenvolvimento da
personalidade da pessoa natural.

Por conseguinte, é justamente este o desafio que se impõe: dar segurança jurídica
e maior proteção aos direitos dos titulares dos dados, apoiando e orientando sobre a
implantação, de forma harmoniosa, da LGPD. O setor da saúde suplementar, por sua vez, não poderia ficar de fora. Considerando que as organizações que operam no setor da saúde suplementar – Planos de Saúde, Agência Nacional de Saúde Suplementar (ANS), Agência Nacional de Vigilância Sanitária (ANVISA), sindicatos, conselhos profissionais, sociedades de especialidades, associações, etc. – trabalham com informações pessoais dos titulares
classificados pela Lei como “dado sensível”. Desta forma, coube ao Legislador estabelecer diretrizes específicas de adaptação dos processos internos visando a proteção da privacidade dos seus usuários.

Diante do volume e da profundidade das alterações que a Legislação impôs sobre
a estrutura de governança corporativa daquelas organizações, o caminho à implementação total do programa de proteção de dados é delineado por uma série de desafios e perspectivas que, em suma, podemos traduzir em uma só palavra: adaptação.

A Importância da Privacidade e Proteção de Dados
no setor de Saúde

O direito à privacidade foi elevado pela Constituição Federal de 1988 ao status de “garantia fundamental”. Em outras palavras, procurou o Constituinte originário assegurar a proteção à privacidade e intimidade do indivíduo como parte essencial do núcleo básico dos direitos corolários à dignidade humana, que, por sua vez, é um dos pilares da República Federativa do Brasil (CF/88, art. 1º, inciso III).

Descrito no artigo 5º, inciso X, da Magna Carta, o texto é enfático: “…são invioláveis a  intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação”.

Em relação à privacidade e proteção de dados relacionados à saúde do paciente, a LGPD em seu artigo 5º, inciso II, instituiu uma subcategoria entre os dados pessoais dos titulares, denominada “dados sensíveis”, isto é, são os dados que, por sua especificidade e vulnerabilidade, podem ser utilizados para fins discriminatórios, exigindo, por isso, padrões mais rigorosos para o seu tratamento. São eles: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural…”.

Embora o rol do citado dispositivo seja meramente exemplificativo, a Lei é taxativa ao impor que toda e qualquer informação relacionada à saúde do indivíduo identificado ou identificável será considerada, para todos os efeitos legais, como sendo dado sensível, sujeito a um grau maior de proteção dado pela Legislação.

A questão da privacidade e proteção de dados em saúde vem sendo debatida nos últimos tempos no setor. Considerando a crescente utilização dos recursos da Tecnologia da Informação e Comunicação dentro da saúde, onde dados transitam em grande volume e nem sempre de forma ordenada – sendo usados em recursos como prontuário eletrônico do paciente (PEP), telemedicina, troca de informações entre instituições, troca de informações entre a área assistencial, etc.

Surge, portanto, a real necessidade de padronização e regulamentação do tema para a correta utilização de tais dados, que devem ter como principal objetivo a assistência adequada ao indivíduo, uma vez que o uso inadequado da informação pode trazer problemas e causar dano direto ou indireto ao indivíduo.

Em matéria de saúde, o grau de zelo e preocupação por parte do Legislador é plenamente justificável na medida em que é possível, por exemplo, inferir sobre a sexualidade de um determinado paciente simplesmente tomando conhecimento de um diagnóstico, detalhes de um tratamento, prescrição medicamentosa, ou até mesmo uma consulta médica.

Aliás, não se pode ignorar que há doenças socialmente estigmatizantes, que submetem seus portadores à repulsa social, tais como a AIDS, Hanseníase e Tuberculose. Uma eventual revelação pública sobre o estado clínico de uma pessoa pode ter um efeito devastador na vida social e profissional do paciente, mais graves até mesmo do que os males da própria doença.

Acertada ou não, essas inferências podem afetar as relações familiares dos pacientes, seus relacionamentos íntimos e até mesmo sua vida profissional, especialmente no caso de pessoas públicas.

Visando proteger o titular contra possíveis violações ou vazamento de dados sensíveis, a LGPD criou requisitos mínimos para realização da atividade de tratamento de dados pelos agentes de tratamento – controlador e operador – que, dada a abrangência do conceito de “tratamento”, compreende nesta ordem: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O principal dos itens é o chamado “consentimento qualificado”, por meio do qual as entidades de saúde só poderão realizar o tratamento de dados pessoais sensíveis sob o crivo do consentimento prévio, expresso, específico e destacado do próprio titular ou seu representante legal (art. 7°, I, art. 11, I e art. 14).

Trata-se, na verdade, de uma espécie de filtro, que consiste em um dever negativo e outro positivo. Sob o aspecto negativo, as entidades de saúde que se enquadrem na categoria de Controlador, deverão se abster de realizar a atividade de tratamento com o objetivo de obter vantagem econômica, tampouco compartilhar as informações obtidas com terceiros.

No caso das operadoras de planos privados de assistência à saúde, além dos deveres supramencionados, também é vedado o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários (Art. 11, § 5º).

Por outro lado, sob o aspecto positivo à luz do princípio do livre acesso (Art. 6º, inciso IV), o controlador se responsabiliza a viabilizar o acesso aos dados, bem como à finalidade específica do tratamento, os resultados obtidos e a possibilidade de revogação do consentimento, a requerimento da ANPD, do próprio titular, e dos demais
órgãos reguladores que sejam legalmente autorizados.

Vale ressaltar que para os fins de tratamento e/ou compartilhamento de dados de saúde, o consentimento do titular ou responsável legal pode ser dispensado nas seguintes hipóteses:

I. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
II. Execução de contrato;
III. Exercício regular de direitos em processo administrativo, judicial e
arbitral;
IV. Atendimento ao legítimo interesse do controlador ou de terceiros; e
V. Para garantir a proteção à vida ou incolumidade física do titular ou de
terceiros, conforme prescreve os dispositivos dos artigos 7º, inciso II,
c/com art. 11, inciso II.

No caso da ANS e demais entidades que integram a administração pública direta,
também haverá a possibilidade de uso e compartilhamento dos dados pessoais sensíveis
quando houver necessidade para consecução de políticas públicas, respeitados os
direitos dos titulares previstos no artigo 18 da Lei.

Já no que tange ao compartilhamento ou comunicação entre os controladores dos
dados sensíveis referente à saúde dos pacientes, via de regra, encontra vedação
expressa no artigo 11, §4º.

Caberá exceção quando houver comprovada necessidade de
compartilhamento para a efetiva prestação de serviços de saúde e assistência
farmacêutica, incluídos os serviços auxiliares de diagnose e terapia, devendo sempre
resguardar o melhor interesse do paciente.

Um exemplo claro de uma operação de dispensa o consentimento prévio do
paciente é o compartilhamento de dados entre estabelecimentos de saúde e empresas
que comercializam produtos implantáveis (órteses, próteses e materiais especiais –
OPME) para inserção de informações pessoais em DANFE, NF-e, e rastreamento dos
produtos, consoante determina a RDC-ANVISA nº 14/2014.

Sob o prisma da saúde suplementar, a implementação dos requisitos da LGDP
atravessa um caminho tortuoso, repleto de desafios que se impõe à realidade no âmbito
de atuação das Agências Reguladoras, abrangendo, por conseguinte, todo o setor, visto
que ainda há muitas dúvidas e o tempo à implementação é escasso.

 Aplicação da LGPD à Saúde Suplementar

Conforme determinado pela Organização Mundial da Saúde (OMS), o e-Health (Electronic Health) é a utilização da Tecnologia da Informação e Comunicação em saúde, utilizada para a assistência, pesquisa, educação, capacitação dos profissionais da área, diagnóstico, monitoramento e avaliação do paciente.

No entanto, padronizar essa quantidade de informações geradas sobre os pacientes é um enorme desafio, com um alto nível de complexidade. No Brasil, algumas ações vêm sendo tomadas nesse sentido. No caso da saúde privada, a ANS padronizou as informações de saúde entre prestadores de serviço, operadoras e governo através do TISS (Troca de Informações da Saúde Suplementar).

Em meio aos esforços de padronização das informações, em 2015 foi instituída a Política Nacional de Informação em Saúde (PNIS) – Portaria nº 589/2015 – que estabeleceu alguns princípios com o objetivo de garantir a confidencialidade, o sigilo e a privacidade da informação de saúde pessoal como direito do indivíduo.

O próprio Marco Civil da Internet (Lei nº 12.965/2014) disciplinou o uso da internet no Brasil a partir de princípios básicos como a proteção dos dados pessoais e a proteção da privacidade (Art. 3º, incisos II e III).

Para que as instituições de saúde – hospitais, clínicas, laboratórios, centros de
especialidades, ANS, ANVISA, etc. – estejam em conformidade com as condições da LGPD, são necessários padrões de ordem organizacional e tecnológico.

No contexto hospitalar, a atividade de tratamento de dados obedecerá a um processo de controle de dados previamente aprovado pela Autoridade Nacional, por meio do qual garante a segurança das informações trocadas entre os agentes de tratamento: o hospital (controlador), os médicos, e parceiros (operadores).

O mesmo processo deverá prever um fluxo de relacionamento entre os agentes de tratamento, onde o titular, mediante consentimento prévio e específico, fornecerá ao operador (médico) os dados pessoais necessários ao atendimento. O mesmo médico deverá atender às determinações definidas pelo controlador de dados (hospital, laboratório, clínica, centro de especialidade, etc.).

O controlador deverá estar em conformidade com as definições da LGPD, cabendo-lhe nomear um encarregado (DPO) para atuar como um canal de comunicação entre os titulares, controlador, operador e a ANPD. Este, por sua vez, será o responsável pela promoção da cultura de segurança de dados e organização dos mecanismos de implementação dos processos internos dentro da organização.

Segundo o modelo desenvolvido pelo Gartner, a implementação do Plano de Ação proposto pela LGPD, guardas as devidas proporções, deverá observar as etapas a seguir apresentadas:

1. Organização e Comunicação:

 Nomear o Oficial de Proteção de Dados (DPO);
 Identificar as funções da própria organização e dos parceiros:
Controladores de Dados / Processadores de dados;
 Estabelecimento de padrões mínimos para um Projeto de Governança
da Informação e Proteção de Dados;
 Divulgação em veículos de fácil acesso a finalidade, práticas de
execução e previsão de tratamento de dados públicos;
 Indicação de Encarregado da função para tal;
 Criar novo aviso de privacidade e publicar (externamente);
 Criar nova Política de Privacidade e publicar (internamente).

2. Processos:

 Mapeamento dos processos de trabalho que envolvam tratamento de
dados pessoais e dados pessoais sensíveis, identificando o fluxo desses
dados, a tecnologia utilizada, onde são armazenados e as pessoas
envolvidas;

 Identificar quais dados pessoais são processados em qual processo de
negócios;
 Motivar processos de dados pessoais (“propósito de processamento”)
para cada processo de negócios;
 Criar ou alterar o processo de avaliação de impacto da privacidade;
 Criar ou alterar o processo de avaliação de risco;
 Realizar avaliações de risco e privacidade para identificar lacunas
iniciais;
 Determinar e documentar as bases legais para o processamento;
 Criar rotina para caso a autoridade nacional faça requisição de
relatório;
 O controlador deverá inserir, no mínimo, as seguintes informações:
 Descrição dos tipos de dados coletados;
 Metodologia utilizada para a coleta de dados;
 Metodologia utilizada para garantir a segurança das
informações;
 Análise do controlador em relação a essas medidas,
salvaguardas e mecanismos de mitigação de riscos adotados.

3. Direitos do Titular

 Definição de mecanismos e garantias de Compliance com princípios e
direitos do titular, conforme previsto em Lei;
 Desenvolver Plano de Contingência em caso de incidente envolvendo
dados pessoais que possa implicar em risco ou danos relevantes aos
titulares;
 Definir fluxo institucional e regramento interno para confirmação ou
providências para o acesso e retificação de dados pessoais, mediante
requisição do titular, em formato simplificado ou por meio de
declaração clara e completa, que indique a origem dos dados, a
inexistência de registro, os critérios utilizados e a finalidade do
tratamento, fornecida no prazo de até 15 (quinze) dias;
 Criar portal de autoatendimento onde os sujeitos de dados podem
executar ações para executar seus direitos;
 Garantir que os detalhes de contato do DPO estejam disponíveis para
todos os assuntos de dados.

4. Proteção dos Dados

 Rever o armazenamento atual de dados pessoais;
 Remover quaisquer dados pessoais que não atendam aos critérios de
finalidade de processamento (incluindo Backups);
 Registrar as assinaturas dos proprietários do processo de negócios,
indicando que seu processo é totalmente compatível;
 Realizar uma avaliação de risco se apropriado;
 Indicar encarregado pelo tratamento dos dados pessoais, divulgando
publicamente, de forma clara e objetiva, preferencialmente no seu sítio
eletrônico, a identidade da pessoa e suas informações de contato;
 Em linhas gerais, as atividades do encarregado consistem em:
 Aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências;
 Receber comunicações da autoridade nacional e adotar
providências;
 Orientar os funcionários e os contratados da organização a
respeito das práticas a serem tomadas em relação à proteção
de dados pessoais;
 Executar as demais atribuições determinadas pelo
controlador ou estabelecidas em normas complementares
emitidas pela autoridade nacional de proteção de dados;
 Criar rotinas de registro das operações de tratamento de
dados pessoais que realize, podendo a Autoridade Nacional
determinar que seja elaborado relatório de impacto à proteção
de dados (pessoais ou sensíveis) referente as suas operações.

5. Gestão do Consentimento:

 Identificar todos os pontos de contato em que o consentimento dos
dados é obtido;
 Identificar processos para os quais é necessário o consentimento;
 Identificar controladores de dados e processadores envolvidos com
dados para os quais é necessário o consentimento;
 Revisar o gerenciamento de consentimento – se existente – no site e
adaptar à LGPD;
 Revisar a gestão de consentimento existente via formulários em papel
e adaptar à LGPD;
 Criar repositório para gerenciamento de consentimento para garantir
que o ônus da prova possa ser facilitado.

6. Retenção de Dados e Backup:

 Revisar os requisitos de retenção de dados existentes;
 Revisar os processos de backup existentes;
 Alterar as políticas de retenção de dados e os processos de backup;
 Remover todos os dados pessoais existentes em backups.

7. Contratos:

 Criar acordos controlador-processador onde ainda não estão em vigor;
 Atualizar os acordos do controlador-processador: uso intencional e
requisitos de segurança;
 Atualizar outros acordos existentes, quando aplicável;
 Atualizar o processo de aquisição: critérios de seleção para novos
serviços;
 Atualizar o processo de aquisição: novos requisitos incluídos em novos
contratos.

8. Plano de Resposta à Violação de Dados:

 O controlador responde solidariamente com o operador se, em razão
do exercício de atividade de tratamento de dados pessoais, causar a
outrem dano patrimonial, moral, individual ou coletivo, em violação à
LGPD.

No caso da ANS em particular, deve-se atentar que quase a totalidade dos dados pessoais até então armazenados por meio dos procedimentos de sua competência (SIB, TISS, Ressarcimento ao SUS, processos sancionadores, processos de apuração de fraude em declarações de saúde e outros) contêm dados sensíveis que, embora dispensados de consentimento prévio, exigem requisitos adicionais de ética e segurança (Art. 13), por exemplo: vedação da revelação de dados pessoais na divulgação dos resultados, do compartilhamento dos dados com terceiros, do tratamento dos dados pessoais fora do ambiente controlado e seguro do órgão ou para finalidades que não sejam ligadas a realização de estudos e pesquisas.

Por conseguinte, visto que as alterações prescritas pela LGPD impactam diretamente tanto a dimensão institucional da Agência Reguladora, como também as obrigações do regulado, é de suma importância que o programa de proteção de dados a ser implementado esteja adequado às reais necessidades de todo o setor da saúde suplementar.

Vale lembrar. Independentemente da organização, seja de direito público ou privado, o tratamento de dados e forma pela qual poderão ser utilizados deverão servir, exclusivamente, à tutela da saúde, em procedimento realizado por profissionais de saúde devidamente credenciados, serviços de saúde ou autoridade sanitária (Art. 7º, inciso VIII).

Principais Desafios à Implementação da LGPD na Saúde Suplementar

Como dito anteriormente, o processo de implementação do programa de proteção de dados é repleto de desafios, transitando desde a própria adaptação, até a questão da fiscalização. Afinal, a Lei ainda não foi regulamentada, e a ANPD se encontra em processo de formação, além da organização das competências internas.

Isto posto, na lista dos principais desafios que as entidades de saúde encontram durante o processo de implementação da LGPD, podemos arrolar:

1. A Falta de Confiança dos brasileiros na Lei;
2. Necessidade do Consentimento Qualificado do titular e da Transparência do
Tratamento de dados;
3. Insegurança Jurídica;
4. Falta de uma Autoridade Regulamentadora, mesmo que a ANPD tenha dado
os seus primeiros passos de vida;
5. Necessidade de Comprovar e Manter Registro de todo o Processo de
Tratamento;
6. Implementação de Rotinas de Trabalho Pelo Profissional Encarregado de
acordo com as Diretrizes estabelecidas pela LGPD;
7. Escassez de informações a respeito dos softwares aplicados aos sistemas
utilizados pelas organizações de saúde.

Vale destacar que as hipóteses acima são meramente exemplificativas, afinal não
é a pretensão da presente abordagem mapear e/ou esgotar todas as problemáticas
encontradas pelos gestores até agora.

Muito pelo contrário, a solução para esses desafios virá com a aplicação da Lei
de acordo com as peculiaridades do caso concreto. Assim como todo processo de
aprendizagem pressupõe um caminho tortuoso, repleto de erros e correções, a nova
realidade vai sendo moldada na medida em que cada organização faça as respectivas
adaptações a sua realidade particular.

Como se preparar para a LGPD na Saúde Suplementar

Diante dos desafios mencionados alhures, que as instituições de saúde podem encontrar ao longo do caminho, segue abaixo algumas recomendações de rotinas de trabalho a serem criadas e/ou readaptadas dentro da organização.

1. Revise sua política de privacidade e tratamento de dados

Organize um processo para revisar todas as normas internas referentes à coleta
e tratamento de dados. Certifique-se que elas estão dentro dos parâmetros da LGPD.

2. Promova o treinamento da equipe

Conscientize seu quadro de profissionais de saúde para que todos compreendam
a importância e a responsabilidade de trabalhar com os dados pessoais dos pacientes.
Reforce procedimentos e metodologias para garantir a segurança dessas informações.

Sua política de segurança deve estar bem clara para todos os funcionários,
diretores, prestadores de serviços e médicos que têm algum tipo de acesso aos dados.

3. Faça modificações no modelo de prontuário

Evite a utilização de prontuários impressos, pois eles não garantem a segurança dos dados. Priorize o prontuário eletrônico e garanta que todas as suas informações sejam utilizadas somente com a autorização expressa do beneficiário.

4. Peça autorização formal para o tratamento dos dados

No caso das operadoras, será necessário entrar em contato com cada beneficiário, solicitando permissão formal para o uso e o armazenamento de dados pessoais. Destaque de forma clara e específica quais dados serão armazenados e que uso será feito deles.

Quando se tratar de crianças ou adolescentes, os responsáveis pelos dados são os pais ou responsáveis legais.

5. Trabalhe com diferentes fontes de dados

Formulários preenchidos presencialmente não são as únicas fontes que uma operadora utiliza para obter informações sobre seus beneficiários. É possível utilizar formulários digitais para agendamento de consultas online, além de contatos por telefone, WhatsApp e outros aplicativos de mensagens.

6. Facilite o acesso aos dados pessoais

Como os titulares podem solicitar suas informações a qualquer momento, a organização deve garantir que esses arquivos estejam disponíveis para envio imediato. Centralizar as informações, integrando todos os aplicativos e sistemas utilizados para atendimento, é a melhor maneira de facilitar esse processo.

7. Garanta a segurança dos dados

Ao contratar um fornecedor na área de tecnologia da informação, busque empresas que ofereçam soluções que prezam pela segurança e utilizam criptografia de ponta a ponta para proteger os dados.

Conclusão

Sem dúvida, a LGPD veio para ficar. Seguindo a tendência dos países desenvolvidos, o Brasil não pode ficar de fora quando o assunto for Proteção de Dados Pessoais. Ademais, esta é uma exigência da OCDE (Organização para a Cooperação e Desenvolvimento Econômico ou Económico), e, de acordo com a atual política externa, caso seja o desejo do Brasil integrá-la como membro efetivo, deverá adotar as mesmas políticas de privacidade e segurança da informação que os países da União Europeia, tal como visto no GDPR.

Na realidade brasileira atual, o processo de implementação da Lei encontra-se em estágio avançado. Quanto às organizações de saúde de um modo geral, com destaque à saúde suplementar, o setor tem buscado se adaptar à nova realidade, embora desprovidos de uma regulamentação efetiva que garanta o mínimo de previsibilidade técnica e operacional para a efetividade do programa.

Em relação à ANPD, a Medida Provisória nº 869/2018, foi sancionada em maio de 2019 e convertida na Lei nº 13.853/2019. Dentre os principais pontos, está a competência da ANPD para elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular.

Contudo, o texto da Lei prevê que a ANPD terá natureza transitória, podendo ser transformada em Autarquia vinculada à Presidência da República. Enquanto as instâncias políticas da República definem o futuro do sistema de proteção de dados, o que resta às entidades e instituições de saúde é tão somente buscar adaptar os seus processos internos, e assim, garantir a adequação às diretrizes básicas prescritas na LGPD no tratamento dos dados dos seus pacientes e beneficiários, de forma a lhes preservar os direitos fundamentais, corolários da dignidade humana, tais como a liberdade, privacidade, intimidade, e livre desenvolvimento da pessoa natural.

BIBLIOGRAFIA

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados
pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).

LEI Nº 13.853, DE 08 DE JULHO DE 2019. Altera a Lei nº 13.709, de 14 de
agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a
Autoridade Nacional de Proteção de Dados; e dá outras providências.

The world’s most valuable resource is no longer oil, but data. Disponível em
<https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resourceis-no-longer-oil-but-data>.

REGULAMENTO (UE) 2016/679 do Parlamento Europeu e do Conselho Europeu relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) de 27 de abril de 2016.

AGÊNCIA DE SAÚDE SUPLEMENTAR (ANS). Processo nº: 33910.029786/2019-51. Nota Técnica nº 3/2019/GEPIN/DIRAD-DIDES/DIDES. Disponível em <http://www.sbac.org.br/wp-content/uploads/2019/12/NotaTe%CC%81cnica-sobre-LGPD.pdf>.

Lei Geral de Proteção de Dados. Recomendações da ANAHP para os hospitais. Disponível em <file:///C:/Users/User/Documents/Cartilha_LGPD-Anahp.pdf>.

Dimensões da Privacidade das Informações em Saúde. Tania Margarete Mezzomo Keinert e Carlos Tato Cortizo. CSP – Cadernos de Saúde Pública. Disponível em <https://www.scielosp.org/pdf/csp/2018.v34n7/e00039417>.

LGPD, O que a sua empresa precisa saber. Confederação Nacional da Indústria – CNI. Disponível em file:///C:/Users/User/Documents/Cartilha%20CNI%20-
%20LGPD.pdf.