"LGPD – Lei Mais Remendada da História – Piada Pronta para a Saúde", por Enio Salu

Referências: Geografia Econômica da Saúde no Brasil e Jornada da Gestão em Saúde no Brasil

(*) todas as ilustrações são partes integrantes do material didático dos cursos Escepti e do Estudo Geografia Econômica da Saúde no Brasil

(1) Temos uma lei promulgada em 14 de agosto de 2018 … portanto nem 4 anos … e com uma pandemia no meio que fez com que o congresso desse foco em muitas coisas da área da saúde, meio que esquecendo outros assuntos … e que se tornou a lei mais “remendada” da história da Republica Brasileira … porque dizer “emendada”, com tantas e tantas alterações, é completamente inadequado !

(2) Ela é “tão insonsa” que até o seu nome mudou !!

E não é lei que versa sobre tema novo … é lei que altera uma outra (12.965 de 24 de abril de 2014 – portanto também 4 anos antes), que foi “pomposamente chamada” de Marco Civil da Internet … que já estava “absurdamente politraumatizada” e na prática nunca foi levada a sério !!!

E se tem um segmento onde isso não é mesmo levado a sério … nem a antiga, nem a nova … é o da saúde:

Esta lei transformou instantaneamente operadoras de planos de saúde e serviços de saúde, em especial os hospitais, em criminosos cibernéticos, mesmo sem terem um hacker sequer !
Parte de órgãos públicos (secretarias de saúde e institutos de pesquisa e desenvolvimento) e parte dos fornecedores de insumos para a área da saúde também infringem a lei, porque também é “inaderente” a realidade destas instituições;
E todos … sem exceção … como não têm como cumprir integralmente o que está na lei … então “jogam” com a chance da fiscalização inexistir … porque inexiste … e continua “tudo como dantes no quartel de Abrantes” !!

Certamente desenvolvida por quem não tem intimidade com os processos e utilização dos dados nas áreas pública e privada da saúde, cuja essência da atividade é lidar com dados absolutamente sigilosos, que podem causar extremo danos às pessoas quando divulgados inescrupulosamente:

A lei poderá ser objeto de mais “um milhão de band-aids” … que nunca será levada a sério;
Porque não existem mecanismos de auditoria … de fiscalização … de processos capitaneados pelo próprio SUS e ANS, por incrível que pareça nem para coisas que seriam simples de aferir … quanto mais para as complexas !
Mesmo absurdos cometidos por instituições do segmento … relacionadas a várias disposições que da lei que não se discute – têm que ser assim – não são objeto de fiscalização !!
Aqui no Brasil, esperar que uma lei vai conscientizar alguém … sem fiscalização e punição exemplar dos que descumprem o estabelecido … não funciona;
Racismo, violência contra a mulher, xenofobia … só foram levadas a sério quando se tornaram crimes hediondos e/ou inafiançáveis … vamos lembrar que estamos vivendo uma época em que algumas decisões da mais alta corte do poder judiciário são descaradamente descumpridas, e fica por isso mesmo !!!

O objetivo da lei é nobre:

O avanço da tecnologia e a expansão do uso naturalmente “jogou” para o espaço cibernético toda a nossa privacidade;
Nossas informações … nossa identidade … nossa autenticidade … foi passando do papel para o eletrônico;
Com o argumento que fraudar papel é mais fácil do que o meio eletrônico, fomos aderindo ao “bit e byte”, esquecendo que mesmo sendo mais fácil falsificar uma assinatura em papel do que uma assinatura eletrônica, o fraudador do papel precisa ter uma montanha de papel para fraudar alguns milhares de documentos – ter acesso a eles (os papéis) exige esforço físico e muito espaço … mas basta apenas um (um do número 1) acesso fraudulento para fraudar milhões de assinaturas eletrônicas – ter acesso a estes documentos não requer nem esforço físico, nem espaço !
E dano do uso da informação gerada na área da saúde é completamente diferente dos outros segmentos: uma coisa é “alguém” saber que voce está pesquisando comprar um novo celular para ficar exibindo “massacrantes” propagandas que voce não quer ver … outra coisa é “alguém” saber que voce tem uma doença crônica, ou que fez um procedimento que lhe debilitou em algo, ou que lhe causa dependência de algo !!

Então alguém teve a ideia (fora do Brasil) de regulamentar o acesso aos dados eletrônicos … e posteriormente comemoramos que o Brasil resolveu fazer a mesma coisa.

Os fundamentos da lei na teoria são essenciais para a humanidade:

Mas a teoria na prática é outra;
E no Brasil, infelizmente, “a outra” é “ainda mais outra”, não é verdade ?

Vários artigos de leis podem ter interpretações diferentes, mas alguns deles não têm como ficar elucubrando muito:

Existe coisa mais clara e sem discussão do que o artigo 11 desta lei ?
Ela existe … foi criada … justa e especificamente … para proteger os dados pessoais em qualquer circunstância – só estamos discutindo isso porque uma lei foi feita para isso !
Meus dados são meus … não são de quem se utiliza deles para qualquer tipo de atividade … qualquer tipo de atividade … repetidamente e necessariamente é bom frisar: qualquer tipo de atividade !

Como descreve claramente a lei, somente em situações muito específicas …

Uma autoridade constituída (governamental) pode fazer uso delas, no caso de necessidade para a administração pública e de políticas públicas;
Ou, desde que minha identidade esteja absolutamente preservada, meus dados podem ser utilizados em estudos;
Ou expressamente eu devo consentir isso – está escrito na lei: “de forma destacada e específica” – nada de termos genéricos de adesão … nada de implicitamente … qualquer um que esteja utilizando meus dados sem o meu consentimento “específico para finalidade específica” – está escrito na lei – se não for assim está cometendo uma infração legal … um crime !

Qualquer interpretação de outros trechos da lei que não considere isso “não é trigo” … “é joio” !

(1) É muito fácil perceber quando uma lei não foi bem definida … quando vai sendo remendada pela falta de envolvimento dos que são afetados por ela … e, evidentemente, pelo interesse de grupos econômicos:

É só baixar a lei no próprio site do governo e observar “os azuizinhos” que descrevem as alterações;
Os riscadinhos em preto ou em vermelho que eliminam e reescrevem a bobagem escrita anteriormente … ou que não era bobagem mas algum grupo de interesse não gostou e teve força para adequar ao que necessitava !

(2) Mas partes do texto não são modificadas, porque se assim forem a lei perde totalmente o sentido:

É o caso “qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar danos ao titular”;
Como estamos falando de saúde … o titular dos dados não é o serviço de saúde … não é a operadora … não é a secretaria de saúde … não é o fornecedor … não é o médico, o enfermeiro … é o paciente !
Duvido que as pessoas envolvidas no desenvolvimento desta lei levaram realmente isso em conta … para a saúde a lei é uma “piada pronta” !!

(3) Desde a sua promulgação, não existe qualquer fato conhecido de que “a comunicação, ou uso compartilhado com o objetivo de obter vantagem econômica” na saúde tenha sido auditada, e quando identificada tenha sido punida exemplarmente:

… nem mesmo punida “não exemplarmente”;
… não foi, não está sendo, e não existe nenhum indício de que será !

Em uma lei que foi desenvolvida principalmente pensando em informações bancárias e comerciais, e no uso das informações pelas áreas de marketing das empresas em geral, os poucos capítulos que tratam de informações em saúde:

Ou são insuficientes, porque que não envolveu pessoas que realmente conheçam o segmento no seu desenvolvimento;
Ou estão mal escritos, dando margem a interpretações “mais do que dúbias” … na verdade “propositalmente dúbias”, se é que me entende;
Ou completamente descumpridos … os envolvidos “não estão nem aí”, continuam fazendo o que sempre fizeram e a cada dia exagerando ainda mais nas “atrocidades”.

(1) O §4 do artigo 11, pessimamente escrito:

Trata dos dados da saúde restringindo apenas em relação ao objetivo de “obter vantagem econômica”;
Se este é o tema, então o resto – todas as demais trocas de informações em saúde – estão omissos neste artigo, e não poderiam ser feitos, de acordo com todos os demais artigos da lei;
Mas não é este o foco do artigo, tanto que mais abaixo cita a questão da “portabilidade”, e “das transações financeiras e administrativas”, que são rotina na troca de informações entre fonte pagadora (operadoras de planos de saúde e SUS) e serviços de saúde (hospitais, clínicas, centros de diagnósticos, prontos socorros e farmácias – públicas e privadas);
E em nenhum momento … em qualquer ponto da lei … cita informações assistenciais (prescrições, evoluções, diagnósticos, descrição de procedimentos, etc.);
Cita apenas e tão somente “transações financeiras e administrativas”;
Compartilhar … trocar … informações do prontuário do paciente … não existe nada explicitamente na lei … portanto se enquadra em todos os demais dados de todos os segmentos de mercado: saúde, banco, comércio, indústria …
Compartilhar dados de prontuário é crime, segundo a lei;
Lei que nem precisaria existir se quase 100 % das empresas que atuam no segmento agissem de forma ética … se entendessem que estão lidando com informações que deveriam proteger ao máximo, existindo ou não alguma lei que trate sobre isso !

(2) O §5 do artigo 11 é o exemplo maior de descumprimento:

Quem escreveu ignorou que a atividade básica de uma operadora de plano de saúde é atuar no risco …
… que não existe forma de fazer isso sem seletividade (escolher onde e “no quê” quer atuar) e elegibilidade (exclusão de riscos) …
É claro que isso é rotina na maioria absoluta das operadoras que existem …
… e é claro que ninguém audita e penaliza isso, senão operadoras não existiriam !

(3) O Artigo 13, cita explicitamente que informações pessoais de bases de dados públicas para efeito de pesquisa em saúde pública só podem ser só podem ser tratados exclusivamente dentro do órgão:

Como pode alguém ter escrito isso em se tratando de saúde, é “a pergunta que vale 1 milhão de dólares” !
Como é possível fazer pesquisa em saúde pública sem coletar dados em diversas instituições que atuam na saúde ?
O que pensou quem escreveu isso: “só podem ser tratados exclusivamente dentro do órgão” ? …
… é só pensar na pandemia: como tabular casos, óbitos, recidivas de COVID-19, pessoas vacinadas … “tratando os dados exclusivamente dentro do órgão” ?

Lembra da citação dos “azuizinhos e riscadinhos” lá em cima ?

Olha este artigo da lei que define a “tal autoridade de proteção de dados” …
… “fala sério” !

A ANPD tem tudo para ser um “cabidão em empregos”:

Um ditado antigo dos “mais velhos” como eu diz: “errar é humano, mas insistir no erro é burrice”;
É uma forma popular de dizer que devemos aprender com o passado para não repetir erros do futuro …
… que devemos estudar história não para “passar no vestibular”, mas para melhorarmos como cidadãos ! … para não passar por “previsíveis perrengues” !!

Em diversos posts tenho comentado que a regulação da ANS (Agência Nacional de Saúde Suplementar) é péssima:

Não porque quem trabalha nela é incompetente … muito pelo contrário … conheço muitos destes profissionais … extremamente competentes;
Mas porque o foco da ANS é inadequado e “não aderente” ao que a população necessita;
Ela deveria se restringir a regular os planos de saúde … não as operadoras e os serviços de saúde !
Como não dá foco no básico … erra no atacado !!
Não aprendemos nada com isso, porque a ANPD está sendo desenhada para ter menos foco no que é necessário do que a ANS – “o crime da mala” … “a farra do boi” … infelizmente !!!

Veja o que acontece na prática na área da saúde:

Apenas pegando o exemplo da operadora “vasculhando” o prontuário do paciente em hospitais para “pagar ou glosar” as contas … sem falar de outros intercâmbios de informações;
Como minha experiência profissional proporcionou conhecer mais de 200 hospitais … mais de 30 operadoras … por dentro e não fazendo visitas guiadas pela área de marketing …
… e boa parte deles analisando estes processos de “troca de informações” entre operadoras e hospitais …
… construí a tabela acima na semana passada a partir do que ocorre com os clientes atuais, e com a colaboração de amig@s dos clientes antigos (graças a Deus … muitos amig@s).

Em tempo: muito obrigado aos amig@s … conforme prometido, sem identificar ninguém … como sempre, promessa é dívida !

Não considerei, para não contaminar a amostra, os hospitais de rede própria de operadoras, nem hospitais públicos em relação às auditorias do SUS, uma vez que nestes casos a mantenedora da fonte pagadora é a mesma do hospital – isso é outra discussão que quem desenvolveu a lei provavelmente pode nem imaginar que exista.

Na prática a realidade na saúde “é isso aí gente”:

Quase 38 % dos hospitais não permitem acesso ao Prontuário Eletrônico do Paciente (PEP), ou porque ainda não implantaram nem parcialmente, ou porque têm juízo: como não tem mecanismos que protegem o acesso no PEP, disponibilizam apenas em papel;
Quase 35 % permitem acesso ao PEP pela operadora pela Internet … sem saber como está sendo acessado do lado de lá !
Quase 90 % dos hospitais não têm sistema para restringir o acesso da operadora apenas ao beneficiário das contas que estão em análise … e impressionante … inacreditável … 10 % deles acredita que o acesso adequado é “filtrado” pela observação pessoal de um faturista e/ou auditor interno … de novo: “fala sério” !!
Somente 4 % dos hospitais não envia informações do PEP por e-mail, ou fazendo upload nos sites das operadoras … dos 96 % que fazem isso, 20 % deles acreditam que somente informações produzidas especificamente para autorizações são enviadas – mas sem processos de auditoria em relação a isso … “fala sério” !!!

O que temos então na área da saúde:

Uma lei que não se aplica … não tem como se aplicar … a necessidade da relação comercial entre fontes pagadoras e serviços de saúde;
Não é questão de reformar esta lei … não sou originário da área da saúde, embora esteja atuando nela há décadas – conheço outros segmentos até porque ainda, vez em quando, desenvolvo projetos para outros segmentos …
… posso afirmar categoricamente: não tem como uma LGPD aderir para a saúde da mesma forma que possa aderir à área financeira, à indústria, ao comercio, aos demais serviços públicos !

É pura perda de tempo … por isso entendo perfeitamente a razão pela qual ela é descaradamente descumprida !!

O que recomendo aos clientes, porque quando uma regulação descabida pune … pune aleatoriamente … discricionariamente … é analisar caso a caso;
A pergunta para hospitais é: no caso desta fonte pagadora, vale a pena correr o risco ?
A pergunta para operadora e órgãos gestores do SUS é: no caso deste hospital, vale a pena correr o risco ?

A pergunta para qualquer instituição que atua no segmento da saúde (fonte pagadora, serviço de saúde, fornecedor …):

Vale a pena correr o risco de destruir instantaneamente a marca que voce demorou anos e anos para construir ? …
… em um segmento de mercado onde a marca é a coisa mais valiosa que uma instituição pode ter !
Com lei ou sem lei, o risco vale a pena ? … e com uma lei esdrúxula ?

Porque esperar algo acontecer … uma demanda judicial, ou um evento midiático expor a instituição … não tenha dúvida: o órgão que “não fiscalizou” vai ser o primeiro a utilizar a lei absurda para “detonar você” !

Assim é o Brasil … a omissão da rotina de fiscalização “não dá manchete” … é a manchete que faz as pessoas lembrarem da falta de fiscalização … enquanto durar a manchete, é claro !!!