“LGPD – Lei Mais Remendada da História – Piada Pronta para a Saúde”, por Enio Salu

Referências: Geografia Econômica da Saúde no Brasil e Jornada da Gestão em Saúde no Brasil

(*) todas as ilustrações são partes integrantes do material didático dos cursos Escepti e do Estudo Geografia Econômica da Saúde no Brasil

(1) Temos uma lei promulgada em 14 de agosto de 2018 … portanto nem 4 anos … e com uma pandemia no meio que fez com que o congresso desse foco em muitas coisas da área da saúde, meio que esquecendo outros assuntos … e que se tornou a lei mais “remendada” da história da Republica Brasileira … porque dizer “emendada”, com tantas e tantas alterações, é completamente inadequado !

(2) Ela é “tão insonsa” que até o seu nome mudou !!

E não é lei que versa sobre tema novo … é lei que altera uma outra (12.965 de 24 de abril de 2014 – portanto também 4 anos antes), que foi “pomposamente chamada” de Marco Civil da Internet … que já estava “absurdamente politraumatizada” e na prática nunca foi levada a sério !!!

E se tem um segmento onde isso não é mesmo levado a sério … nem a antiga, nem a nova … é o da saúde:

• Esta lei transformou instantaneamente operadoras de planos de saúde e serviços de saúde, em especial os hospitais, em criminosos cibernéticos, mesmo sem terem um hacker sequer !
• Parte de órgãos públicos (secretarias de saúde e institutos de pesquisa e desenvolvimento) e parte dos fornecedores de insumos para a área da saúde também infringem a lei, porque também é “inaderente” a realidade destas instituições;
• E todos … sem exceção … como não têm como cumprir integralmente o que está na lei … então “jogam” com a chance da fiscalização inexistir … porque inexiste … e continua “tudo como dantes no quartel de Abrantes” !!

Certamente desenvolvida por quem não tem intimidade com os processos e utilização dos dados nas áreas pública e privada da saúde, cuja essência da atividade é lidar com dados absolutamente sigilosos, que podem causar extremo danos às pessoas quando divulgados inescrupulosamente:

• A lei poderá ser objeto de mais “um milhão de band-aids” … que nunca será levada a sério;
• Porque não existem mecanismos de auditoria … de fiscalização … de processos capitaneados pelo próprio SUS e ANS, por incrível que pareça nem para coisas que seriam simples de aferir … quanto mais para as complexas !
• Mesmo absurdos cometidos por instituições do segmento … relacionadas a várias disposições que da lei que não se discute – têm que ser assim – não são objeto de fiscalização !!
• Aqui no Brasil, esperar que uma lei vai conscientizar alguém … sem fiscalização e punição exemplar dos que descumprem o estabelecido … não funciona;
• Racismo, violência contra a mulher, xenofobia … só foram levadas a sério quando se tornaram crimes hediondos e/ou inafiançáveis … vamos lembrar que estamos vivendo uma época em que algumas decisões da mais alta corte do poder judiciário são descaradamente descumpridas, e fica por isso mesmo !!!

O objetivo da lei é nobre:

• O avanço da tecnologia e a expansão do uso naturalmente “jogou” para o espaço cibernético toda a nossa privacidade;
• Nossas informações … nossa identidade … nossa autenticidade … foi passando do papel para o eletrônico;
• Com o argumento que fraudar papel é mais fácil do que o meio eletrônico, fomos aderindo ao “bit e byte”, esquecendo que mesmo sendo mais fácil falsificar uma assinatura em papel do que uma assinatura eletrônica, o fraudador do papel precisa ter uma montanha de papel para fraudar alguns milhares de documentos – ter acesso a eles (os papéis) exige esforço físico e muito espaço … mas basta apenas um (um do número 1) acesso fraudulento para fraudar milhões de assinaturas eletrônicas – ter acesso a estes documentos não requer nem esforço físico, nem espaço !
• E dano do uso da informação gerada na área da saúde é completamente diferente dos outros segmentos: uma coisa é “alguém” saber que voce está pesquisando comprar um novo celular para ficar exibindo “massacrantes” propagandas que voce não quer ver … outra coisa é “alguém” saber que voce tem uma doença crônica, ou que fez um procedimento que lhe debilitou em algo, ou que lhe causa dependência de algo !!

Então alguém teve a ideia (fora do Brasil) de regulamentar o acesso aos dados eletrônicos … e posteriormente comemoramos que o Brasil resolveu fazer a mesma coisa.

Os fundamentos da lei na teoria são essenciais para a humanidade:

• Mas a teoria na prática é outra;
• E no Brasil, infelizmente, “a outra” é “ainda mais outra”, não é verdade ?

Vários artigos de leis podem ter interpretações diferentes, mas alguns deles não têm como ficar elucubrando muito:

• Existe coisa mais clara e sem discussão do que o artigo 11 desta lei ?
• Ela existe … foi criada … justa e especificamente … para proteger os dados pessoais em qualquer circunstância – só estamos discutindo isso porque uma lei foi feita para isso !
• Meus dados são meus … não são de quem se utiliza deles para qualquer tipo de atividade … qualquer tipo de atividade … repetidamente e necessariamente é bom frisar: qualquer tipo de atividade !

Como descreve claramente a lei, somente em situações muito específicas …

• Uma autoridade constituída (governamental) pode fazer uso delas, no caso de necessidade para a administração pública e de políticas públicas;
• Ou, desde que minha identidade esteja absolutamente preservada, meus dados podem ser utilizados em estudos;
• Ou expressamente eu devo consentir isso – está escrito na lei: “de forma destacada e específica” – nada de termos genéricos de adesão … nada de implicitamente … qualquer um que esteja utilizando meus dados sem o meu consentimento “específico para finalidade específica” – está escrito na lei – se não for assim está cometendo uma infração legal … um crime !

Qualquer interpretação de outros trechos da lei que não considere isso “não é trigo” … “é joio” !

(1) É muito fácil perceber quando uma lei não foi bem definida … quando vai sendo remendada pela falta de envolvimento dos que são afetados por ela … e, evidentemente, pelo interesse de grupos econômicos:

• É só baixar a lei no próprio site do governo e observar “os azuizinhos” que descrevem as alterações;
• Os riscadinhos em preto ou em vermelho que eliminam e reescrevem a bobagem escrita anteriormente … ou que não era bobagem mas algum grupo de interesse não gostou e teve força para adequar ao que necessitava !

(2) Mas partes do texto não são modificadas, porque se assim forem a lei perde totalmente o sentido:

• É o caso “qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar danos ao titular”;
• Como estamos falando de saúde … o titular dos dados não é o serviço de saúde … não é a operadora … não é a secretaria de saúde … não é o fornecedor … não é o médico, o enfermeiro … é o paciente !
• Duvido que as pessoas envolvidas no desenvolvimento desta lei levaram realmente isso em conta … para a saúde a lei é uma “piada pronta” !!

(3) Desde a sua promulgação, não existe qualquer fato conhecido de que “a comunicação, ou uso compartilhado com o objetivo de obter vantagem econômica” na saúde tenha sido auditada, e quando identificada tenha sido punida exemplarmente:

• … nem mesmo punida “não exemplarmente”;
• … não foi, não está sendo, e não existe nenhum indício de que será !

Em uma lei que foi desenvolvida principalmente pensando em informações bancárias e comerciais, e no uso das informações pelas áreas de marketing das empresas em geral, os poucos capítulos que tratam de informações em saúde:

• Ou são insuficientes, porque que não envolveu pessoas que realmente conheçam o segmento no seu desenvolvimento;
• Ou estão mal escritos, dando margem a interpretações “mais do que dúbias” … na verdade “propositalmente dúbias”, se é que me entende;
• Ou completamente descumpridos … os envolvidos “não estão nem aí”, continuam fazendo o que sempre fizeram e a cada dia exagerando ainda mais nas “atrocidades”.

(1) O §4 do artigo 11, pessimamente escrito:

• Trata dos dados da saúde restringindo apenas em relação ao objetivo de “obter vantagem econômica”;
• Se este é o tema, então o resto – todas as demais trocas de informações em saúde – estão omissos neste artigo, e não poderiam ser feitos, de acordo com todos os demais artigos da lei;
• Mas não é este o foco do artigo, tanto que mais abaixo cita a questão da “portabilidade”, e “das transações financeiras e administrativas”, que são rotina na troca de informações entre fonte pagadora (operadoras de planos de saúde e SUS) e serviços de saúde (hospitais, clínicas, centros de diagnósticos, prontos socorros e farmácias – públicas e privadas);
• E em nenhum momento … em qualquer ponto da lei … cita informações assistenciais (prescrições, evoluções, diagnósticos, descrição de procedimentos, etc.);
• Cita apenas e tão somente “transações financeiras e administrativas”;
• Compartilhar … trocar … informações do prontuário do paciente … não existe nada explicitamente na lei … portanto se enquadra em todos os demais dados de todos os segmentos de mercado: saúde, banco, comércio, indústria …
• Compartilhar dados de prontuário é crime, segundo a lei;
• Lei que nem precisaria existir se quase 100 % das empresas que atuam no segmento agissem de forma ética … se entendessem que estão lidando com informações que deveriam proteger ao máximo, existindo ou não alguma lei que trate sobre isso !

(2) O §5 do artigo 11 é o exemplo maior de descumprimento:

• Quem escreveu ignorou que a atividade básica de uma operadora de plano de saúde é atuar no risco …
• … que não existe forma de fazer isso sem seletividade (escolher onde e “no quê” quer atuar) e elegibilidade (exclusão de riscos) …
• É claro que isso é rotina na maioria absoluta das operadoras que existem …
• … e é claro que ninguém audita e penaliza isso, senão operadoras não existiriam !

(3) O Artigo 13, cita explicitamente que informações pessoais de bases de dados públicas para efeito de pesquisa em saúde pública só podem ser só podem ser tratados exclusivamente dentro do órgão:

• Como pode alguém ter escrito isso em se tratando de saúde, é “a pergunta que vale 1 milhão de dólares” !
• Como é possível fazer pesquisa em saúde pública sem coletar dados em diversas instituições que atuam na saúde ?
• O que pensou quem escreveu isso: “só podem ser tratados exclusivamente dentro do órgão” ? …
• … é só pensar na pandemia: como tabular casos, óbitos, recidivas de COVID-19, pessoas vacinadas … “tratando os dados exclusivamente dentro do órgão” ?

Lembra da citação dos “azuizinhos e riscadinhos” lá em cima ?

• Olha este artigo da lei que define a “tal autoridade de proteção de dados” …
• … “fala sério” !

A ANPD tem tudo para ser um “cabidão em empregos”:

• Um ditado antigo dos “mais velhos” como eu diz: “errar é humano, mas insistir no erro é burrice”;
• É uma forma popular de dizer que devemos aprender com o passado para não repetir erros do futuro …
• … que devemos estudar história não para “passar no vestibular”, mas para melhorarmos como cidadãos ! … para não passar por “previsíveis perrengues” !!

Em diversos posts tenho comentado que a regulação da ANS (Agência Nacional de Saúde Suplementar) é péssima:

• Não porque quem trabalha nela é incompetente … muito pelo contrário … conheço muitos destes profissionais … extremamente competentes;
• Mas porque o foco da ANS é inadequado e “não aderente” ao que a população necessita;
• Ela deveria se restringir a regular os planos de saúde … não as operadoras e os serviços de saúde !
• Como não dá foco no básico … erra no atacado !!
• Não aprendemos nada com isso, porque a ANPD está sendo desenhada para ter menos foco no que é necessário do que a ANS – “o crime da mala” … “a farra do boi” … infelizmente !!!

Veja o que acontece na prática na área da saúde:

• Apenas pegando o exemplo da operadora “vasculhando” o prontuário do paciente em hospitais para “pagar ou glosar” as contas … sem falar de outros intercâmbios de informações;
• Como minha experiência profissional proporcionou conhecer mais de 200 hospitais … mais de 30 operadoras … por dentro e não fazendo visitas guiadas pela área de marketing …
• … e boa parte deles analisando estes processos de “troca de informações” entre operadoras e hospitais …
• … construí a tabela acima na semana passada a partir do que ocorre com os clientes atuais, e com a colaboração de amig@s dos clientes antigos (graças a Deus … muitos amig@s).

Em tempo: muito obrigado aos amig@s … conforme prometido, sem identificar ninguém … como sempre, promessa é dívida !

Não considerei, para não contaminar a amostra, os hospitais de rede própria de operadoras, nem hospitais públicos em relação às auditorias do SUS, uma vez que nestes casos a mantenedora da fonte pagadora é a mesma do hospital – isso é outra discussão que quem desenvolveu a lei provavelmente pode nem imaginar que exista.

Na prática a realidade na saúde “é isso aí gente”:

• Quase 38 % dos hospitais não permitem acesso ao Prontuário Eletrônico do Paciente (PEP), ou porque ainda não implantaram nem parcialmente, ou porque têm juízo: como não tem mecanismos que protegem o acesso no PEP, disponibilizam apenas em papel;
• Quase 35 % permitem acesso ao PEP pela operadora pela Internet … sem saber como está sendo acessado do lado de lá !
• Quase 90 % dos hospitais não têm sistema para restringir o acesso da operadora apenas ao beneficiário das contas que estão em análise … e impressionante … inacreditável … 10 % deles acredita que o acesso adequado é “filtrado” pela observação pessoal de um faturista e/ou auditor interno … de novo: “fala sério” !!
• Somente 4 % dos hospitais não envia informações do PEP por e-mail, ou fazendo upload nos sites das operadoras … dos 96 % que fazem isso, 20 % deles acreditam que somente informações produzidas especificamente para autorizações são enviadas – mas sem processos de auditoria em relação a isso … “fala sério” !!!

O que temos então na área da saúde:

• Uma lei que não se aplica … não tem como se aplicar … a necessidade da relação comercial entre fontes pagadoras e serviços de saúde;
• Não é questão de reformar esta lei … não sou originário da área da saúde, embora esteja atuando nela há décadas – conheço outros segmentos até porque ainda, vez em quando, desenvolvo projetos para outros segmentos …
• … posso afirmar categoricamente: não tem como uma LGPD aderir para a saúde da mesma forma que possa aderir à área financeira, à indústria, ao comercio, aos demais serviços públicos !

É pura perda de tempo … por isso entendo perfeitamente a razão pela qual ela é descaradamente descumprida !!

• O que recomendo aos clientes, porque quando uma regulação descabida pune … pune aleatoriamente … discricionariamente … é analisar caso a caso;
• A pergunta para hospitais é: no caso desta fonte pagadora, vale a pena correr o risco ?
• A pergunta para operadora e órgãos gestores do SUS é: no caso deste hospital, vale a pena correr o risco ?

A pergunta para qualquer instituição que atua no segmento da saúde (fonte pagadora, serviço de saúde, fornecedor …):

• Vale a pena correr o risco de destruir instantaneamente a marca que voce demorou anos e anos para construir ? …
• … em um segmento de mercado onde a marca é a coisa mais valiosa que uma instituição pode ter !
• Com lei ou sem lei, o risco vale a pena ? … e com uma lei esdrúxula ?

Porque esperar algo acontecer … uma demanda judicial, ou um evento midiático expor a instituição … não tenha dúvida: o órgão que “não fiscalizou” vai ser o primeiro a utilizar a lei absurda para “detonar você” !

Assim é o Brasil … a omissão da rotina de fiscalização “não dá manchete” … é a manchete que faz as pessoas lembrarem da falta de fiscalização … enquanto durar a manchete, é claro !!!

Leia mais de Enio Salu:

• “Planejar e Remunerar a Saúde Privada e Pública não é Coisa para Amadores”, por Enio Salu

• “Negócios na Saúde Privada e Pública | 7 x 1 | Desaforos do Governo ao SUS e a Saúde Suplementar”, por Enio Salu

• “10 mandamentos para gestão do faturamento hospitalar”, Enio Salu

Enio Salu

Enio Jorge Salu tem especializações em Administração Hospitalar, Epidemiologia Hospitalar e Economia e Custos em Saúde pela FGV – Fundação Getúlio Vargas. É professor em Turmas de Pós-graduação na Faculdade Albert Einstein, Fundação Getúlio Vargas, FIA/USP, FUNDACE-FUNPEC/USP, Centro Universitário São Camilo, SENAC, CEEN/PUC-GO e Impacta. Coordenador Adjunto do Curso de Pós-graduação em Administração Hospitalar da Fundação Unime. Também é CEO da Escepti Consultoria e Treinamento e já foi gerente de mais de 200 projetos em operadoras de planos de saúde, hospitais, clínicas, centros de diagnósticos, secretarias de saúde e empresas fornecedoras de produtos e serviços para a área da saúde e outros segmentos de mercado.