Falar da saúde é falar de todos nós. Isso porque não há indivíduo que não precise de cuidados médicos. Qualquer ser humano, por questão de sobrevivência, precisa buscar se manter saudável e evitar doenças. Em geral, para atingir esses objetivos, é importante contar com o apoio de profissionais da saúde e de estabelecimentos hospitalares, clínicas e laboratórios.

Até aqui nada de novo, exceto, pelo fato de que estamos inseridos na cultura do algoritmo, o que acarreta o uso de tecnologias como inteligência artificial, para classificação, predição e tomada de decisões, inclusive na área da saúde.

Com o uso de data analytics e com base em indicadores laboratoriais e clínicos, exames, registros de condição de saúde, etc, os laboratórios, clínicas e hospitais têm mais condições de ajudar seus pacientes a cuidar da saúde, diminuir riscos e evitar doenças.

Por meio de programas de cuidado direcionado ao paciente, é cada vez mais comum a interação dos estabelecimentos de saúde com os seus pacientes, seja para acompanhamento ou prevenção. A interação é feita por meio de projetos terapêuticos e protocolos clínicos aplicáveis.

Esses programas preventivos encontram respaldo na regulação setorial de saúde e na Lei Geral de Proteção de Dados (LGPD). A Agência Nacional de Saúde Suplementar (ANS), inclusive, por meio de sua publicação Cartilha para Modelagem de Programas para Promoção da Saúde e Prevenção de Riscos e Doenças, incentiva a adoção dessa prática:

"O crescente custo da assistência e da incorporação tecnológica em saúde, o envelhecimento populacional, a transição epidemiológica com o aumento da incidência e da prevalência das doenças crônicas, os potenciais impactos das ações para promoção de saúde e prevenção de riscos e doenças e a necessidade de estimular a vida com qualidade ao longo do seu curso são alguns dos fatores motivadores, entre outros, da busca de estratégias para o enfrentamento dos desafios postos. Nesse contexto, a Agência Nacional de Saúde Suplementar (ANS) tem conduzido sua atuação no sentido de criar mecanismos que incentivem as operadoras a desenvolverem programas para a Promoção da Saúde e Prevenção de Riscos e Doenças, e a estimularem a adesão dos beneficiários a tais programas levando em consideração as especificidades do setor e, ao mesmo tempo, coadunados com as políticas empreendidas pelo Ministério da Saúde (MS) e pela Organização Mundial de Saúde (OMS)."

A Instrução Normativa ANS 15/22 traz orientações a serem seguidas por operadoras de planos privados de assistência à saúde que desenvolvam programas para promoção da saúde e prevenção de riscos e doenças e queiram cadastrá-los na agência.

Somente os programas aprovados pela ANS poderão obter o benefício previsto na norma, que consiste na redução da exigência mensal de margem de solvência do exercício corrente – limitada a dez por cento. A redução é calculada com base no total de despesas com programas para promoção da saúde e prevenção de riscos e doenças, que precisam ser aprovados e registrados contabilmente no exercício anterior.

Despesas relacionadas a investimentos em proteção de dados e cibersegurança se enquadram no escopo desses programas para promoção da saúde e prevenção de riscos e doenças. Entre esses investimentos estão:

  • treinamento e capacitação em proteção de dados, privacidade e cibersegurança dos profissionais que prestam serviços específicos para o programa;
  • sistemas de informação específicos para o monitoramento do programa, incluindo o controle do uso mínimo e necessário de dados pessoais;
  • confecção de materiais educativos sobre a proteção de dados pessoais no âmbito do programa; e
  • desenvolvimento de material publicitário e marketing específico do programa para demonstrar a seriedade da operadora com o cuidado dos dados pessoais, visando ganhar a confiança do paciente e mostrar que seus dados serão usados de acordo com a legislação.

Sobre esse tema, um importante acordo de cooperação técnica (ACT) foi firmado entre a Autoridade Nacional de Proteção de Dados (ANPD) e a ANS em 20 de dezembro de 2024. O objetivo do acordo é estabelecer um canal de cooperação para o desenvolvimento de ações conjuntas que promovam a segurança da informação e a conscientização sobre boas práticas no setor. 

A importância desse ACT é especialmente relevante diante do aumento do processamento de dados pessoais sensíveis no âmbito da saúde. Esse tipo de operação exige um cuidado ainda maior para garantir a privacidade e segurança dos titulares, especialmente de crianças, adolescentes, idosos e pessoas com deficiência.

Tudo se torna mais relevante quando nos deparamos com os desafios éticos envolvidos na aplicação de IA em programas de prevenção de riscos de doenças. Estabelecer uma governança para esses programas baseada em IA ética e IA explicável (XAI, na sigla em inglês) pode se tornar um grande diferencial para ganhar a confiança do paciente.

Segurança de dados, ética e confiança

Cada vez mais, os titulares de dados estão mais informados e conscientes. Não basta mais adequar-se à legislação de proteção de dados. É preciso ir além e construir processos consistentes que garantam a proteção de dados. A palavra de ordem é transparência, para proporcionar uma experiência ao paciente mais segura, pautada na ética e na confiança.

Vale ressaltar que a agenda regulatória publicada pela ANPD para o biênio 2025–2026 destaca, entre outros temas, o exercício de direitos de titulares.

Para tentar equilibrar a relação assimétrica de poder, é preciso demonstrar que são adotados todos os cuidados e mecanismos para proteger e empoderar o paciente. Todos ganham com isso. Mas há que se ter cuidado em não reduzir esses mecanismos à coleta de consentimento, recurso que se provou ineficiente na cultura do algoritmo. Não à toa, a literatura usa os termos "fadiga do consentimento" ou "hipocrisia do consentimento".

Diante dessas constatações, ganham cada vez mais terreno os conceitos de privacy by design e privacy by default, que tornam a privacidade dos dados um pressuposto e proporcionam ao usuário maior controle sobre seus dados. Embasadas em lei, essas soluções empoderam o titular e dão a ele mais confiança.

A proteção de dados em um mercado de saúde alavancado por dados, portanto, se mostra um recurso estratégico de competitividade e sustentabilidade econômica, que favorece e empodera o titular/paciente. Ela contribui para o sucesso dos projetos que envolvam dados pessoais no âmbito da saúde, como os programas para promoção da saúde e prevenção de riscos e doenças.

Restrição da LGPD ao tratamento de dados de saúde

A LGPD estabelece as hipóteses legais que podem fundamentar o tratamento de dados de saúde, além de reconhecer sua legitimidade e necessidade para a própria tutela da saúde.  Em relação à tutela da saúde, a LGPD restringe o tratamento de dados a procedimentos executados exclusivamente por:

  • profissionais de saúde;
  • serviços de saúde; ou
  • autoridade sanitária.

Limitar o tratamento de dados de saúde não é uma inovação brasileira. Essa abordagem encontra correspondência parcial no regulamento EU 2016/679, da União Europeia – o General Data Protection Regulation (GDPR).

A estratégia europeia proíbe o tratamento de dados de saúde, exceto em circunstâncias específicas, como:

  • medicina preventiva;
  • diagnóstico médico e prestação de cuidados;
  • tratamentos de saúde;
  • ação social;
  • gestão de sistemas e serviços de saúde; ou
  • por força de um contrato com um profissional de saúde.

A exceção contida na norma europeia exige que os dados sejam tratados por (ou fiquem sob a responsabilidade de) um profissional sujeito à obrigação de sigilo profissional ou por outra pessoa também sujeita ao dever de confidencialidade legal.

Já no Brasil, como mencionado, o tratamento de dados de saúde só pode ser realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária – embora a lei não aborde diretamente a questão do sigilo, como o GDPR. Dessa forma, a LGPD acaba por adotar posição ainda mais restritiva do que o GDPR com relação ao tratamento de dados de saúde.

Em uma análise superficial desse requisito, pode parecer (erroneamente) que colocar um profissional de saúde na área de dados atenderia a exigência legal. Entretanto, não se trata de um simples requisito formal. O ecossistema de proteção de dados tem, entre seus principais valores, a transparência na relação com o titular e o respeito aos objetivos informados e alinhados. O intuito do legislador é assegurar que os dados serão tratados de modo transparente, em atenção às prioridades de saúde do titular e para fins efetivamente assistenciais.

Na prática, o tratamento de dados de saúde pode também se basear em outras hipóteses legais, como no caso da coleta de consentimento do paciente para atendimento médico e assistencial – que não deve ser confundido com o consentimento de natureza regulatória, exigido, por exemplo, para a realização de certos exames e procedimentos médicos.

Conclusão

O que se vê, portanto, é que, apesar do potencial das iniciativas e modelos de negócio baseados em dados na área da saúde, sua construção envolve uma análise holística e de alta complexidade.

Ao incorporar as práticas de proteção de dados, que transcendem a simples adequação à LGPD, os agentes da saúde suplementar agregam a sua marca valores fundamentais, especialmente no atual contexto digital, capazes de atrair e fidelizar mais clientes: a confiabilidade na prestação dos serviços e o compromisso com a ética.