Os planos de saúde digitais e os cuidados necessários com a privacidade e proteção de dados pessoais

Conforme já falamos em outros trabalhos publicados¹, o setor da saúde vive há algum tempo uma mudança de postura em relação ao cuidado das pessoas. Antes, o cuidado era feito de maneira curativa, ou seja, se trabalhava muito de maneira reativa às doenças, o que acabou gerando muitos custos para o setor, sobretudo em razão de uma falta de integração de informações, o que levou à repetição desnecessária de procedimentos e geração de custos evitáveis.

Por conta disso, se passou a adotar uma postura mais proativa, inserindo a pessoa no centro do cuidado, de forma a visualizar a sua saúde de uma maneira mais globalizada, integrando especialidades para o cuidado preventivo, evitando assim ter que cuidar de doenças o tempo todo ao invés de preveni-las. Na prática, estamos nos aproximando de modelos como o Canadense, que utiliza a atenção primária à saúde ao disponibilizar médicos da família que têm a honrosa missão de simplesmente não deixar com que as pessoas adoeçam na localidade em que trabalham.

Nesse contexto de cuidado preventivo é que vemos uma crescente dos planos de saúde digitais no Brasil, as chamadas Health Techs que aliam a sua habilidade em tecnologia com os cuidados em saúde. Esse crescimento tem se mostrado exponencial, a exemplo do plano de saúde "Alice" que já levantou até fevereiro deste ano a expressiva quantia de 180 milhões de reais em investimentos², sendo que a "Sami" já havia recebido o maior aporte financeiro em 2020 com 86 milhões de reais³, sem contar o "Dr. Consulta" que já é bastante conhecido no mercado.

O trunfo dos planos de saúde digitais é a facilidade no processamento de dados pessoais, sobretudo de hábitos de vida, histórico de saúde, bem como eventuais objetivos do beneficiário no cuidado de sua saúde, aliado a tecnologias como a inteligência artificial que consegue fazer análises preditivas a respeito da saúde do beneficiário.

Importante destacar, contudo, que é preciso ter cautela em relação às análises mencionadas acima. Em que pese a LGPD ser uma ferramenta de viabilização da inovação do setor, essa viabilização precisa ser acompanhada de responsabilidade, porquanto se lida com informações críticas e, muitas vezes, de pessoas que podem estar passando por momentos delicados em suas vidas, por isso a LGPD requer essa responsabilidade das entidades que tratem dados pessoais.

Nesse contexto, os planos de saúde digitais precisam estar atentos a alguns riscos do ponto de vista de proteção de dados, sobre os quais precisam adotar certas medidas para que estes riscos estejam sempre acompanhados, avaliados e com medidas de salvaguarda a fim de evitar qualquer dano ao titular dos dados pessoais, bem como à própria imagem da empresa. Esses riscos são:

a) Excesso de informações

b) Seleção de risco

c) Decisões baseadas em tratamento automatizado de dados pessoais

Primeiramente, as empresas que têm íntima relação com a tecnologia, geralmente tem como bandeira a eficiência, sobretudo na diminuição de custo dos seus serviços, propiciado justamente pela utilização de ferramentas tecnológicas.

Nesse contexto é que se insere a coleta de informações que serão o insumo dos planos de saúde digitais para a avaliação e criação da estratégia que será adotada para o cuidado da saúde do beneficiário. Para que a avaliação seja mais eficiente, naturalmente e culturalmente a percepção é que o volume de informações precisa ser o maior possível.

Entretanto, aqui é preciso ter uma cautela maior. Isso porque, a LGPD estabelece que o tratamento das informações seja feito observando a estrita necessidade das informações, priorizando a minimização da coleta, atingindo o mesmo objetivo de uma forma menos intrusiva à privacidade do titular.

O segundo ponto que precisa ser ressaltado é que as empresas que atuam nesse seguimento estejam cientes de que a recusa de contratação ou a exclusão de cobertura em razão de um risco elevado são práticas abusivas, conforme a Sumula Normativa nº 27 da ANS⁴, bem como o artigo 11§5º da LGPD⁵, podendo até ser mencionado o Princípio da Não Discriminação previsto no artigo 6º, IX da LGPD⁶, sendo permitida a aplicação de outros instrumentos de equilíbrio contratual como a cobertura parcial temporária e o agravo, conforme a Resolução 162/2007⁷.

Por fim, e não menos importante, as decisões baseadas em tratamento automatizado de dados pessoais também são um ponto de atenção para os planos de saúde digitais no que concerne à LGPD. A exemplo do que menciona o Vice-Presidente da QSaúde em matéria publicada recentemente:

""Fazemos análise de curva com inteligência artificial para ver o histórico dos clientes. Para isso, temos uma equipe de cientistas de dados e especialistas em machine learning. Todas as operadoras têm dados, mas o que nós temos é uma forma diferente de usar esses dados."⁸

Apesar da falta de uma definição clara na legislação sobre o tratamento automatizado por meio do qual a empresa toma alguma decisão, tecnicamente é o tratamento que componha um processo de escolha realizado por elemento não humano, utilizando algoritmos, inteligência artificial, técnicas computacionais, estatísticas entre outras, que é justamente a forma de trabalhar dos planos de saúde digitais, conforme vimos acima.

O ponto de atenção aqui é o artigo 20 da LGPD, que determina que os agentes de tratamento que se valem desse tipo de processamento automatizado de informações, por exemplo, para verificar perfil pessoal, onde se enquadra o histórico de saúde mencionado na fala transcrita acima, devem garantir o direito do titular de solicitar a revisão dessas decisões, devendo utilizar tecnologias que possuam critérios auditáveis, naturalmente resguardado todo o segredo comercial.

Além disso, a LGPD determina no artigo 6º, X que o agente de tratamento tenha condições de prestar contas e de se responsabilizar pelos seus atos em relação aos dados pessoais, comprovando que as suas iniciativas estão em conformidade com a legislação aplicável.

Em conclusão, levantados estes três pontos principais na atividade dos planos de saúde digital, além da necessidade da implantação de um programa de governança em privacidade e proteção de dados, é recomendável que essas empresas tenham formalizado um relatório de impacto à proteção de dados, que possa registrar e endereçar estes riscos.

A exemplo do que nos orienta o artigo 35 da GDPR, sempre que houver um tratamento de dados que alie informações de caráter especial como informações de crianças ou sensíveis - no caso, de saúde - atreladas à grande escala, assim consideras informações em grande volume ou com que atinjam titulares em diversos territórios⁹, bem como com a utilização de novas tecnologias, incluindo para a definição de perfis, é recomendável a utilização do mencionado relatório de impacto à proteção de dados.

Na LGPD, o referido relatório ainda não está regulamentado pela Autoridade Nacional de Proteção de Dados¹⁰, conforme o artigo 38§ 1º da LGPD, mas deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Por fim, é preciso se atentar à retenção de informações, por exemplo de pessoas que foram avaliadas, entretanto, acabaram por não contratar o plano de saúde. Ocorre de a declaração pessoal de saúde ser preenchida e até mesmo o beneficiário realizar entrevistas com profissionais de saúde para a confirmação de informações, contudo, nem sempre os planos são contratados.

Nesse ponto, recomenda-se que os planos verifiquem a finalidade e necessidade para a manutenção das informações em suas bases de dados, para evitar qualquer questionamento dos titulares bem como de Autoridades supervisoras, como a ANPD, ANS ou o próprio Ministério Público, restando o conselho de que as informações retidas fiquem em repositórios controlados e a salvo de desvios de finalidade, usando por analogia a orientação da Autoridade supervisora britânica (ICO)¹¹.