LGPD – Lei Mais Remendada da História – Piada Pronta para a Saúde

0282 – 21/06/2022

Referências: Geografia Econômica da Saúde no Brasil e Jornada da Gestão em Saúde no Brasil

Operadoras de Planos e Hospitais Viraram Criminosos – Mas “Não Podem Estar Nem Aí Com Isso” !

(*) todas as ilustrações são partes integrantes do material didático dos cursos Escepti e do Estudo Geografia Econômica da Saúde no Brasil

(1) Temos uma lei promulgada em 14 de agosto de 2018 ... portanto nem 4 anos ... e com uma pandemia no meio que fez com que o congresso desse foco em muitas coisas da área da saúde, meio que esquecendo outros assuntos ... e que se tornou a lei mais “remendada” da história da Republica Brasileira ... porque dizer “emendada”, com tantas e tantas alterações, é completamente inadequado !

(2) Ela é “tão insonsa” que até o seu nome mudou !!

E não é lei que versa sobre tema novo ... é lei que altera uma outra (12.965 de 24 de abril de 2014 – portanto também 4 anos antes), que foi “pomposamente chamada” de Marco Civil da Internet ... que já estava “absurdamente politraumatizada” e na prática nunca foi levada a sério !!!

E se tem um segmento onde isso não é mesmo levado a sério ... nem a antiga, nem a nova ... é o da saúde:

· Esta lei transformou instantaneamente operadoras de planos de saúde e serviços de saúde, em especial os hospitais, em criminosos cibernéticos, mesmo sem terem um hacker sequer !

· Parte de órgãos públicos (secretarias de saúde e institutos de pesquisa e desenvolvimento) e parte dos fornecedores de insumos para a área da saúde também infringem a lei, porque também é “inaderente” a realidade destas instituições;

· E todos ... sem exceção ... como não têm como cumprir integralmente o que está na lei ... então “jogam” com a chance da fiscalização inexistir ... porque inexiste ... e continua “tudo como dantes no quartel de Abrantes” !!

Certamente desenvolvida por quem não tem intimidade com os processos e utilização dos dados nas áreas pública e privada da saúde, cuja essência da atividade é lidar com dados absolutamente sigilosos, que podem causar extremo danos às pessoas quando divulgados inescrupulosamente:

· A lei poderá ser objeto de mais “um milhão de band-aids” ... que nunca será levada a sério;

· Porque não existem mecanismos de auditoria ... de fiscalização ... de processos capitaneados pelo próprio SUS e ANS, por incrível que pareça nem para coisas que seriam simples de aferir ... quanto mais para as complexas !

· Mesmo absurdos cometidos por instituições do segmento ... relacionadas a várias disposições que da lei que não se discute – têm que ser assim – não são objeto de fiscalização !!

· Aqui no Brasil, esperar que uma lei vai conscientizar alguém ... sem fiscalização e punição exemplar dos que descumprem o estabelecido ... não funciona;

· Racismo, violência contra a mulher, xenofobia ... só foram levadas a sério quando se tornaram crimes hediondos e/ou inafiançáveis ... vamos lembrar que estamos vivendo uma época em que algumas decisões da mais alta corte do poder judiciário são descaradamente descumpridas, e fica por isso mesmo !!!

O objetivo da lei é nobre:

· O avanço da tecnologia e a expansão do uso naturalmente “jogou” para o espaço cibernético toda a nossa privacidade;

· Nossas informações ... nossa identidade ... nossa autenticidade ... foi passando do papel para o eletrônico;

· Com o argumento que fraudar papel é mais fácil do que o meio eletrônico, fomos aderindo ao “bit e byte”, esquecendo que mesmo sendo mais fácil falsificar uma assinatura em papel do que uma assinatura eletrônica, o fraudador do papel precisa ter uma montanha de papel para fraudar alguns milhares de documentos – ter acesso a eles (os papéis) exige esforço físico e muito espaço ... mas basta apenas um (um do número 1) acesso fraudulento para fraudar milhões de assinaturas eletrônicas – ter acesso a estes documentos não requer nem esforço físico, nem espaço !

· E dano do uso da informação gerada na área da saúde é completamente diferente dos outros segmentos: uma coisa é “alguém” saber que voce está pesquisando comprar um novo celular para ficar exibindo “massacrantes” propagandas que voce não quer ver ... outra coisa é “alguém” saber que voce tem uma doença crônica, ou que fez um procedimento que lhe debilitou em algo, ou que lhe causa dependência de algo !!

Então alguém teve a ideia (fora do Brasil) de regulamentar o acesso aos dados eletrônicos ... e posteriormente comemoramos que o Brasil resolveu fazer a mesma coisa.

Os fundamentos da lei na teoria são essenciais para a humanidade:

· Mas a teoria na prática é outra;

· E no Brasil, infelizmente, “a outra” é “ainda mais outra”, não é verdade ?

Vários artigos de leis podem ter interpretações diferentes, mas alguns deles não têm como ficar elucubrando muito:

· Existe coisa mais clara e sem discussão do que o artigo 11 desta lei ?

· Ela existe ... foi criada ... justa e especificamente ... para proteger os dados pessoais em qualquer circunstância – só estamos discutindo isso porque uma lei foi feita para isso !

· Meus dados são meus ... não são de quem se utiliza deles para qualquer tipo de atividade ... qualquer tipo de atividade ... repetidamente e necessariamente é bom frisar: qualquer tipo de atividade !

Como descreve claramente a lei, somente em situações muito específicas ...

· Uma autoridade constituída (governamental) pode fazer uso delas, no caso de necessidade para a administração pública e de políticas públicas;

· Ou, desde que minha identidade esteja absolutamente preservada, meus dados podem ser utilizados em estudos;

· Ou expressamente eu devo consentir isso – está escrito na lei: “de forma destacada e específica” – nada de termos genéricos de adesão ... nada de implicitamente ... qualquer um que esteja utilizando meus dados sem o meu consentimento “específico para finalidade específica” – está escrito na lei – se não for assim está cometendo uma infração legal ... um crime !

Qualquer interpretação de outros trechos da lei que não considere isso “não é trigo” ... “é joio” !

(1) É muito fácil perceber quando uma lei não foi bem definida ... quando vai sendo remendada pela falta de envolvimento dos que são afetados por ela ... e, evidentemente, pelo interesse de grupos econômicos:

· É só baixar a lei no próprio site do governo e observar “os azuizinhos” que descrevem as alterações;

· Os riscadinhos em preto ou em vermelho que eliminam e reescrevem a bobagem escrita anteriormente ... ou que não era bobagem mas algum grupo de interesse não gostou e teve força para adequar ao que necessitava !

(2) Mas partes do texto não são modificadas, porque se assim forem a lei perde totalmente o sentido:

· É o caso “qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar danos ao titular”;

· Como estamos falando de saúde ... o titular dos dados não é o serviço de saúde ... não é a operadora ... não é a secretaria de saúde ... não é o fornecedor ... não é o médico, o enfermeiro ... é o paciente !

· Duvido que as pessoas envolvidas no desenvolvimento desta lei levaram realmente isso em conta ... para a saúde a lei é uma “piada pronta” !!

(3) Desde a sua promulgação, não existe qualquer fato conhecido de que “a comunicação, ou uso compartilhado com o objetivo de obter vantagem econômica” na saúde tenha sido auditada, e quando identificada tenha sido punida exemplarmente:

· ... nem mesmo punida “não exemplarmente”;

· ... não foi, não está sendo, e não existe nenhum indício de que será !

Em uma lei que foi desenvolvida principalmente pensando em informações bancárias e comerciais, e no uso das informações pelas áreas de marketing das empresas em geral, os poucos capítulos que tratam de informações em saúde:

· Ou são insuficientes, porque que não envolveu pessoas que realmente conheçam o segmento no seu desenvolvimento;

· Ou estão mal escritos, dando margem a interpretações “mais do que dúbias” ... na verdade “propositalmente dúbias”, se é que me entende;

· Ou completamente descumpridos ... os envolvidos “não estão nem aí”, continuam fazendo o que sempre fizeram e a cada dia exagerando ainda mais nas “atrocidades”.

(1) O §4 do artigo 11, pessimamente escrito:

· Trata dos dados da saúde restringindo apenas em relação ao objetivo de “obter vantagem econômica”;

· Se este é o tema, então o resto – todas as demais trocas de informações em saúde – estão omissos neste artigo, e não poderiam ser feitos, de acordo com todos os demais artigos da lei;

· Mas não é este o foco do artigo, tanto que mais abaixo cita a questão da “portabilidade”, e “das transações financeiras e administrativas”, que são rotina na troca de informações entre fonte pagadora (operadoras de planos de saúde e SUS) e serviços de saúde (hospitais, clínicas, centros de diagnósticos, prontos socorros e farmácias – públicas e privadas);

· E em nenhum momento ... em qualquer ponto da lei ... cita informações assistenciais (prescrições, evoluções, diagnósticos, descrição de procedimentos, etc.);

· Cita apenas e tão somente “transações financeiras e administrativas”;

· Compartilhar ... trocar ... informações do prontuário do paciente ... não existe nada explicitamente na lei ... portanto se enquadra em todos os demais dados de todos os segmentos de mercado: saúde, banco, comércio, indústria ...

· Compartilhar dados de prontuário é crime, segundo a lei;

· Lei que nem precisaria existir se quase 100 % das empresas que atuam no segmento agissem de forma ética ... se entendessem que estão lidando com informações que deveriam proteger ao máximo, existindo ou não alguma lei que trate sobre isso !

(2) O §5 do artigo 11 é o exemplo maior de descumprimento:

· Quem escreveu ignorou que a atividade básica de uma operadora de plano de saúde é atuar no risco ...

· ... que não existe forma de fazer isso sem seletividade (escolher onde e “no quê” quer atuar) e elegibilidade (exclusão de riscos) ...

· É claro que isso é rotina na maioria absoluta das operadoras que existem ...

· ... e é claro que ninguém audita e penaliza isso, senão operadoras não existiriam !

(3) O Artigo 13, cita explicitamente que informações pessoais de bases de dados públicas para efeito de pesquisa em saúde pública só podem ser só podem ser tratados exclusivamente dentro do órgão:

· Como pode alguém ter escrito isso em se tratando de saúde, é “a pergunta que vale 1 milhão de dólares” !

· Como é possível fazer pesquisa em saúde pública sem coletar dados em diversas instituições que atuam na saúde ?

· O que pensou quem escreveu isso: “só podem ser tratados exclusivamente dentro do órgão” ? ...

· ... é só pensar na pandemia: como tabular casos, óbitos, recidivas de COVID-19, pessoas vacinadas ... “tratando os dados exclusivamente dentro do órgão” ?

Lembra da citação dos “azuizinhos e riscadinhos” lá em cima ?

· Olha este artigo da lei que define a “tal autoridade de proteção de dados” ...

· ... “fala sério” !

A ANPD tem tudo para ser um “cabidão em empregos”:

· Um ditado antigo dos “mais velhos” como eu diz: “errar é humano, mas insistir no erro é burrice”;

· É uma forma popular de dizer que devemos aprender com o passado para não repetir erros do futuro ...

· ... que devemos estudar história não para “passar no vestibular”, mas para melhorarmos como cidadãos ! ... para não passar por “previsíveis perrengues” !!

Em diversos posts tenho comentado que a regulação da ANS (Agência Nacional de Saúde Suplementar) é péssima:

· Não porque quem trabalha nela é incompetente ... muito pelo contrário ... conheço muitos destes profissionais ... extremamente competentes;

· Mas porque o foco da ANS é inadequado e “não aderente” ao que a população necessita;

· Ela deveria se restringir a regular os planos de saúde ... não as operadoras e os serviços de saúde !

· Como não dá foco no básico ... erra no atacado !!

· Não aprendemos nada com isso, porque a ANPD está sendo desenhada para ter menos foco no que é necessário do que a ANS – “o crime da mala” ... “a farra do boi” ... infelizmente !!!

Veja o que acontece na prática na área da saúde:

· Apenas pegando o exemplo da operadora “vasculhando” o prontuário do paciente em hospitais para “pagar ou glosar” as contas ... sem falar de outros intercâmbios de informações;

· Como minha experiência profissional proporcionou conhecer mais de 200 hospitais ... mais de 30 operadoras ... por dentro e não fazendo visitas guiadas pela área de marketing ...

· ... e boa parte deles analisando estes processos de “troca de informações” entre operadoras e hospitais ...

· ... construí a tabela acima na semana passada a partir do que ocorre com os clientes atuais, e com a colaboração de amig@s dos clientes antigos (graças a Deus ... muitos amig@s).

Em tempo: muito obrigado aos amig@s ... conforme prometido, sem identificar ninguém ... como sempre, promessa é dívida !

Não considerei, para não contaminar a amostra, os hospitais de rede própria de operadoras, nem hospitais públicos em relação às auditorias do SUS, uma vez que nestes casos a mantenedora da fonte pagadora é a mesma do hospital – isso é outra discussão que quem desenvolveu a lei provavelmente pode nem imaginar que exista.

Na prática a realidade na saúde “é isso aí gente”:

· Quase 38 % dos hospitais não permitem acesso ao Prontuário Eletrônico do Paciente (PEP), ou porque ainda não implantaram nem parcialmente, ou porque têm juízo: como não tem mecanismos que protegem o acesso no PEP, disponibilizam apenas em papel;

· Quase 35 % permitem acesso ao PEP pela operadora pela Internet ... sem saber como está sendo acessado do lado de lá !

· Quase 90 % dos hospitais não têm sistema para restringir o acesso da operadora apenas ao beneficiário das contas que estão em análise ... e impressionante ... inacreditável ... 10 % deles acredita que o acesso adequado é “filtrado” pela observação pessoal de um faturista e/ou auditor interno ... de novo: “fala sério” !!

· Somente 4 % dos hospitais não envia informações do PEP por e-mail, ou fazendo upload nos sites das operadoras ... dos 96 % que fazem isso, 20 % deles acreditam que somente informações produzidas especificamente para autorizações são enviadas – mas sem processos de auditoria em relação a isso ... “fala sério” !!!

O que temos então na área da saúde:

· Uma lei que não se aplica ... não tem como se aplicar ... a necessidade da relação comercial entre fontes pagadoras e serviços de saúde;

· Não é questão de reformar esta lei ... não sou originário da área da saúde, embora esteja atuando nela há décadas – conheço outros segmentos até porque ainda, vez em quando, desenvolvo projetos para outros segmentos ...

· ... posso afirmar categoricamente: não tem como uma LGPD aderir para a saúde da mesma forma que possa aderir à área financeira, à indústria, ao comercio, aos demais serviços públicos !

É pura perda de tempo ... por isso entendo perfeitamente a razão pela qual ela é descaradamente descumprida !!

· O que recomendo aos clientes, porque quando uma regulação descabida pune ... pune aleatoriamente ... discricionariamente ... é analisar caso a caso;

· A pergunta para hospitais é: no caso desta fonte pagadora, vale a pena correr o risco ?

· A pergunta para operadora e órgãos gestores do SUS é: no caso deste hospital, vale a pena correr o risco ?

A pergunta para qualquer instituição que atua no segmento da saúde (fonte pagadora, serviço de saúde, fornecedor ...):

· Vale a pena correr o risco de destruir instantaneamente a marca que voce demorou anos e anos para construir ? ...

· ... em um segmento de mercado onde a marca é a coisa mais valiosa que uma instituição pode ter !

· Com lei ou sem lei, o risco vale a pena ? ... e com uma lei esdrúxula ?

Porque esperar algo acontecer ... uma demanda judicial, ou um evento midiático expor a instituição ... não tenha dúvida: o órgão que “não fiscalizou” vai ser o primeiro a utilizar a lei absurda para “detonar você” !

Assim é o Brasil ... a omissão da rotina de fiscalização “não dá manchete” ... é a manchete que faz as pessoas lembrarem da falta de fiscalização ... enquanto durar a manchete, é claro !!!

Conheça os cursos da Jornada da Gestão em Saúde – www.jgs.net.br !

Conheça o estudo Geografia Econômica da Saúde no Brasil, e os seminários temáticos www.gesb.net.br !

Informações adicionais sobre cursos e consultoria em gestão na área da saúde contato@escepti.com.br !

Sobre o autor Enio Jorge Salu

Histórico Acadêmico

· Formado em Tecnologia da Informação pela UNESP – Universidade do Estado de São Paulo

· Pós-graduação em Administração de Serviços de Saúde pela USP – Universidade de São Paulo

· Especializações em Administração Hospitalar, Epidemiologia Hospitalar e Economia e Custos em Saúde pela FGV – Fundação Getúlio Vargas

· Professor em Turmas de Pós-graduação na Faculdade Albert Einstein, Fundação Getúlio Vargas, FIA/USP, FUNDACE-FUNPEC/USP, Centro Universitário São Camilo, SENAC, CEEN/PUC-GO e Impacta

· Coordenador Adjunto do Curso de Pós-graduação em Administração Hospitalar da Fundação Unimed

Histórico Profissional

· CEO da Escepti Consultoria e Treinamento

· Pesquisador Associado e Membro do Comitê Assessor do GVSaúde – Centro de Estudos em Planejamento e Gestão de Saúde da EAESP da Fundação Getúlio Vargas

· Membro Efetivo da Federação Brasileira de Administradores Hospitalares

· CIO do Hospital Sírio Libanês, Diretor Comercial e de Saúde Suplementar do InCor/Fundação Zerbini, e Superintendente da Furukawa

· Diretor no Conselho de Administração da ASSESPRO-SP – Associação das Empresas Brasileiras de Tecnologia da Informação

· Membro do Comitê Assessor do CATI (Congresso Anual de Tecnologia da Informação) do Centro de Tecnologia de Informação Aplicada da Fundação Getúlio Vargas

· Associado NCMA – National Contract Management Association

· Associado SBIS – Sociedade Brasileira de Informática em Saúde

· Autor de 12 livros pela Editora Manole, Editora Atheneu / FGV e Edições Própria

· Gerente de mais de 200 projetos em operadoras de planos de saúde, hospitais, clínicas, centros de diagnósticos, secretarias de saúde e empresas fornecedoras de produtos e serviços para a área da saúde e outros segmentos de mercado