segunda-feira, 19 de abril de 2021

MIGALHAS DE PESO

Publicidade

Resolução normativa ANS 443/19 e a governança de dados pessoais

Diogo Silva Marzzoco

Operadoras de planos de saúde deverão implementar um programa de governança baseado em normas e procedimentos que formalizarão controles internos mais rígidos para ter maior gerência sobre as suas atividades

quarta-feira, 29 de abril de 2020

t

Em 2019 a Agência Nacional de Saúde Suplementar - ANS, editou a resolução normativa 443/191 que trata da implementação de programa de governança para gestão de riscos, no intuito de fazer com que as operadoras de planos de saúde diminuam o risco de insolvência, por meio da implementação de controles mais rígidos.

A resolução ainda determina, em seu artigo 6º, que os controles internos sejam voltados para suas atividades e sistemas de informações financeiras, operacionais e gerenciais, com vistas a: a) Confiabilidade das informações; b) Utilização eficaz de recursos e c) Atendimento da legislação aplicável à operadora.

Assim, operadoras de planos de saúde deverão implementar um programa de governança baseado em normas e procedimentos que formalizarão controles internos mais rígidos para ter maior gerência sobre as suas atividades, com o fim de diminuir, na medida do possível, a materialização de qualquer risco que possa abalar a continuidade das suas atividades. Além disto, o programa deverá ser gerenciado com análise periódica - no mínimo anual - inclusive com plano de contingência se necessário.

Mas qual a ligação com a governança de dados pessoais?

Um dos riscos operacionais de uma empresa de saúde é justamente o tratamento em larga escala de informações pessoais, assim entendidas aquelas que identificam alguma pessoa física, especialmente no caso de empresas do ramo da saúde, em razão do tratamento de dados referentes à saúde, os quais trazem consigo uma criticidade inerente que não pode jamais ser subestimada.

Some-se a isto o fato de que tais informações são comumente compartilhadas com outras empresas, a exemplo das farmácias para programas de desconto dos seus produtos, rede credenciada/referenciada, como hospitais, clínicas, laboratórios entre outros para operacionalização administrativa de procedimentos médicos, além de parceiros comerciais, como por exemplo, fornecedores de OPME - Órteses, Próteses e Medicamentos Especiais, com quem as operadoras compartilham informações pessoais para atrelar a aquisição do produto a uma necessidade real, sobretudo para diminuir a possibilidade de fraude.

Vale ressaltar, ainda, que os dados pessoais de saúde têm sido grandes alvos de ataques maliciosos de hackers nos últimos tempos. Isso aumenta a necessidade de empresas que lidam com este tipo de informação aprimorarem sua capacidade de proteção, por meio da implementação de medidas técnicas e administrativas para garantir a incolumidade das informações que trafegam em seus sistemas.2

O que isto significa?

É necessário implementar programa de governança de dados pessoais, baseado em políticas e procedimentos, com distribuição de responsabilidades para a sustentação, revisão, monitoramento e garantia da eficiência do referido programa.

Com efeito, em agosto de 2018 foi sancionada a lei 13.709/18, também chamada de Lei Geral de Proteção de dados Pessoais (LGPD), que trará novo regramento para as operações de tratamento de dados pessoais. Não obstante já seja de conhecimento do setor da saúde a referida lei, é importante lembrar que ela traz em seu artigo 6º, os seus princípios norteadores que, entre eles, para os fins deste artigo, cite-se os princípios da segurança e prevenção.

Os mencionados princípios determinam que haja a implementação de controles técnicos e administrativos para garantir a segurança do dado pessoal, assim como para evitar qualquer dano ao próprio titular dos dados pessoais.

Não obstante o cenário iminente de prorrogação da vigência da LGPD, sobretudo em razão da pandemia gerada pelo coronavírus, é de se ressaltar que a responsabilidade das empresas em relação aos dados pessoais que tratam persistirá, independente da possível prorrogação da vigência da LGPD, porquanto a regulação setorial possui certa maturidade em relação à obrigação de proteger as informações pessoais. Além, disso, já existem outras normas tratando do tema, como o Código de Defesa do Consumidor com regras sobre dados pessoais, o Marco Civil da Internet, e o Código Civil que trata sobre a responsabilidade civil daquele que gerar danos, ainda que meramente moral.

Portanto, salta aos olhos os pontos de contato entre a resolução normativa 443/19 e a necessária implementação de governança de dados a qual, independente da prorrogação da Lei Geral de Proteção de Dados, deverá existir primeiro para preservar a privacidade dos titulares de dados pessoais que são os mais prejudicados em caso de incidente de segurança. Ademais, o programa de governança é necessário para preservar a imagem da própria empresa de quem se espera todo o esforço possível para garantir a confidencialidade, integridade e disponibilidade dos dados pessoais tratados, o que vale para qualquer organização, sobretudo as do ramo de saúde, que não se limitam às operadoras de planos de saúde.

_________

1 Disponível em: Clique aqui. Acessado em: 29.03.20

2 A este respeito veja-se: Clique aqui e Clique aqui. Acessados em 29.03.20.

_________

t*Diogo Silva Marzzoco é advogado da equipe de Proteção de Dados no Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.

Atualizado em: 29/4/2020 12:06

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

Publicidade