A OBRIGATORIEDADE DO TRATAMENTO SIGILOSO
DAS INFORMAÇÕES MÉDICAS PELAS OPERADORAS
DO SISTEMA DE SAÚDE COMPLEMENTAR
52'1(<'(&$67523(,;272
SUMÁRIO:
I. VIDA PRIVADA – PRINCÍPIO CONSTITUCIONAL
II. ESTADOS UNIDOS – HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY
ACT - HIPAA
III. UNIÃO EUROPÉIA – DIRETIVA 95/96 /CE
IV. BRASIL – OBRIGAÇÃO DE PRESTAR INFORMAÇÕES
V.
PENALIDADES
VI. RESPONSABILIDADE DAS OPERADORAS
VII. SEGURANÇA DA INFORMAÇÃO
VIII. CERTIFICAÇÃO DIGITAL
IX. CONCLUSÃO
I. VIDA PRIVADA – PRINCÍPIO CONSTITUCIONAL
A Agência Nacional de Saúde Complementar - ANS1 emitiu a 5HVROXomR1RUPDWLYD±51Qž
em 12 de Dezembro de 2002 com o propósito de aditar uma outra Resolução formulada em
Junho de 2000, a 5'&Qž, onde estão dispostas as penalidades previstas à atividade das
operadoras de planos privados de assistência à saúde. Este aditamento está intrinsecamente
ligado a norma elevada de obrigatoriedade de resguardo da privacidade de dados pessoais, visto
no ,QFLVR;GRDUWLJRžGD&RQVWLWXLomR)HGHUDO, que indica:
...”;±6mRLQYLROiYHLVDLQWLPLGDGHDYLGDSULYDGDDKRQUDHDLPDJHPGDVSHVVRDV
DVVHJXUDGRRGLUHLWRDLQGHQL]DomRSHORGDQRPDWHULDORXPRUDOGHFRUUHQWHGHVXDYLRODomR; ...”
A intimidade e a vida privada mereceram constar no rol de direitos fundamentais do indivíduo
em território brasileiro, o que demonstra o grau de seriedade percebido pelos constituintes ao
discutirem a Lei Maior do país neste particular. Como é praxe em regimes democráticos mundo
afora, a privacidade é bem indiscutivelmente protegido e resguardado.
Nos Estados Unidos, a Quarta Emenda da Constituição trata do assunto; na Inglaterra há uma
legislação específica chamada -XVWLFHVRI3HDFH$FW, de 1361, que protege a intimidade de seus
cidadãos; a Itália abriga a norma protetora conjugando a Constituição de 1947 com o art. 10º do
Código Civil de 1942; a Constituição alemã traz o direito à intimidade em seu art. 30; na França,
o Código Civil, art. 9º, garante a proteção da intimidade da vida privada; a Constituição
portuguesa, de 1976, confere no art. 13 cominado com o art. 80 do Código Civil o “'LUHLWRj
UHVHUYDVREUHDLQWLPLGDGHGDYLGDSULYDGD”; o Canadá cuida da matéria na Constituição de
1982, art. 8º.
Já o Código de Manu, tido como o mais antigo conjunto de leis da humanidade, resvalou na
tutela da vida privada, ao tratar da proteção de portadores de defeitos físicos no seu Livro Oitavo
– “3DUWH*HUDO;,9GDV,QM~ULDV”.
Este consagrado princípio garantidor de privacidade expresso em muitos regulamentos mundo
afora deve ser observado em toda relação jurídica, com variantes restritivas de acordo com as
características do negócio firmado em caso concreto. No que toca especificamente a operação de
serviços assistenciais privados de saúde, a gama de informações pessoais que tramitam perante
os elos da cadeia de processamento dos serviços é vasta, o que determina a necessidade de
atenção redobrada no tratamento dos dados dos usuários.
Os prejuízos pessoais oriundos de acesso indevido de informações médicas são de fácil
constatação. Até mesmo o incremento da medicina genética abre precendentes perigosos, e
recentemente presenciamos um caso onde um imenso banco de '1$ foi obtido de maneira
obscura, em uma clínica de fertilidade norte-americana.
O princípio do resguardo da vida privada, tomando vulto em terras brasileiras a partir deste
dispositivo constitucional, movimenta-se de maneira eficaz para a atividade de prestação de
serviços de saúde. Esta necessidade é inequívoca, com o agravante da volatilidade das
informações, visto o surgimento da Tecnologia da Informação e suas aplicações corporativas.
,,(67$'2681,'26±+HDOWK,QVXUDQFH3RUWDELOLW\DQG$FFRXQWDELOLW\$FW+,3$$
Nos Estados Unidos, temos o expoente máximo da importância conferida à proteção de dados
médicos, com o advento da Lei federal chamada +,33$±+HDOWK,QVXUDQFH3RUWDELOLW\DQG
$FFRXQWDELOLW\$FW , de 1996.
Com extremo detalhamento, esta Lei representa um marco na condução dos serviços de saúde
nos Estados Unidos, já que abrange, em vasto rol de disposições normativas, o uso da
informação pessoal de usuários e seu tratamento por meio eletrônico. O diploma destaca as
diretrizes de armazenamento de informações médicas dos pacientes antes, durante e depois de
transmissões eletrônicas. Em seu Título II, chamado $GPLQLVWUDWLYH6LPSOLILFDWLRQ, temos:
ƒ
Necessidade de implementação de padrões de serviços eletrônicos de dados;
ƒ
Proteção da confidencialidade de segurança de dados médicos através de diretrizes
técnicas.
Em mais de sessenta dispositivos, a Lei cobre três áreas distintas no que tange à segurança da
informação concernente aos usuários, a saber:
ƒ
6HUYLoRV7pFQLFRVGH6HJXUDQoD – controle de acesso, autorização e autenticação do
usuário e criptografia;
ƒ
3URFHGLPHQWRV$GPLQLVWUDWLYRV– planejamento da segurança da informação,
manutenção de registros e auditoria;
ƒ
'LUHWUL]HVGHRUGHPItVLFD – securança física, privacidade nos escritórios e terminais que
contém informações dos pacientes.
As regras da +,3$$ passam a vigorar em Março de 2003, e já são previstas lides no Poder
Judiciário americano, tal a complexidade de implementação de algumas medidas. Estabelecendo
padrões para transações eletrônicas e armazenamento de dados, a lei traz penas severas em
matéria de responsabilidade civil, com multas alcançando valores elevados, além da
responsabilidade criminal também estar presente.
III. UNIÃO EUROPÉIA – Diretiva 95/96/CE
A Comissão Européia, órgão que funciona como agente integralizador de políticas da União dos
Estados europeus, emitiu a Diretiva 95/96 em Outubro de 1995, versando sobre o “ tratamento de
dados pessoais” de seus cidadãos.
Como definição de tratamento de dados pessoais, temos, art. 2º, letra b:
³E7UDWDPHQWRGHGDGRVSHVVRDLVWUDWDPHQWRTXDOTXHURSHUDomRRXFRQMXQWR
GH RSHUDo}HV HIHFWXDGDV VREUH GDGRV SHVVRDLV FRP RX VHP PHLRV DXWRPDWL]DGRV
WDLV FRPR D UHFROKD UHJLVWUR RUJDQL]DomR FRQVHUYDomR DGDSWDomR RX DOWHUDomR
UHFXSHUDomR FRQVXOWD XWLOL]DomR FRPXQLFDomR SRU WUDQVPLVVmR GLIXVmR RX
TXDOTXHU RXWUD IRUPD GH FRORFDomR j GLVSRVLomR FRP FRPSDUDomR RX
LQWHUFRQH[mREHPFRPRREORTXHLRDSDJDPHQWRRXGHVWUXLomR´
Esta Diretiva é formulada com disposições genéricas de tratamento e circulação de dados
pessoais, e o art. 8º estipula as categorias específicas a serem observadas:
“Artigo 8º
7UDWDPHQWRGHFHUWDVFDWHJRULDVHVSHFtILFDVGHGDGRV
2V(VWDGRVPHPEURVSURLELUmRRWUDWDPHQWRGHGDGRVSHVVRDLVTXHUHYHOHPDRULJHPUDFLDO
RXpWQLFDDVRSLQL}HVSROtWLFDVDVFRQYLFo}HVUHOLJLRVDVRXILORVyILFDVDILOLDomRVLQGLFDOEHP
FRPRRWUDWDPHQWRGHGDGRVUHODWLYRVjVD~GHHjYLGDVH[XDO´(grifo nosso).
Como informações médicas são eivadas de particularidades intrínsecas em seu tratamento, o
Item 3 do mesmo artigo traz a seguinte observação:
“ 2QžQmRVHDSOLFDTXDQGRRWUDWDPHQWRGRVGDGRVIRUQHFHVViULRSDUDHIHLWRVGHPHGLFLQD
SUHYHQWLYDGLDJQyVWLFRPpGLFRSUHVWDomRGHFXLGDGRVRXWUDWDPHQWRVPpGLFRVRXJHVWmRGH
VHUYLoRVGHVD~GHHTXDQGRRWUDWDPHQWRGHVVHVGDGRVIRUHIHFWXDGRSRUXPSURILVVLRQDOGD
VD~GHREULJDGRDRVHJUHGRSURILVVLRQDOSHORGLUHLWRQDFLRQDORXSRUUHJUDVHVWDEHOHFLGDVSHORV
RUJDQLVPRVQDFLRQDLVFRPSHWHQWHVRXSRURXWUDSHVVRDLJXDOPHQWHVXMHLWDDXPDREULJDomRGH
VHJUHGRHTXLYDOHQWH´
Verificamos o princípio superlativo da observância do sigilo médico no trato das informações de
usuários de serviços de saúde sobrepondo-se a norma genérica de resguardo de dados pessoais.
A sigilo na profissão médica é universal.
Esta diretriz já se encontra consolidada, e promove regras gerais a serem adotadas pelos Estadosmembros no quesito privacidade de dados pessoais em sentido amplo.
Interessada em saber se estas proposições seriam suficientes para a proteção de dados pessoais
do empregado, de forma específica, a Comissão Européia lançou uma Consulta Pública em
Agosto de 2002, indagando sobre a necessidade de formalizar regras referentes ao resguardo de
dados em questões relativas ao trabalho.
Após análise do conteúdo das respostas da Consulta, a Comissão Européia acordou que um novo
conjunto normativo específico sobre trabalho, extrapolando os limites da Diretiva 95/96 e
também de uma outra que trata da matéria, a Diretiva 95/46, se mostra necessário, dado o estágio
de evolução do uso da tecnologia da informação no ambiente de trabalho e suas consequências
nas disposições existentes na relação empregador-empregado.
Desta conclusão surgiu um IUDPHZRUNcontendo várias tópicos relativos ao trabalho, e temos os
seguintes relativos ao temário deste texto:
ƒ
Os registros médicos não podem ser coletados pelo empregador, em primeira análise,
havendo exceções como interesse do próprio empregado, para determinação de
titularidade de benefícios relativos ao cargo ocupado, para a verificação de melhorias no
ambiente de trabalho ou justificação de aptidão para funções a serem exercidas;
ƒ
Todo e qualquer informação médica deve ser colhida e tratada por profissional
qualificado e com resguardo de regras de sigilo, e mantida separadamente dos outros
tipos de registros pessoais;
ƒ
Os dados genéticos recebem proteção maior, dado seu caráter proeminentemento
invasivo da personalidade da pessoa. O uso de resultado de testes genéticos podem gerar
prejuízos como preconceito e discriminação no trabalho e por parte de seguros-saúde. Os
testes genéticos podem ser relevantes em caso de determinadas funções que acarretam
risco à saúde do empregado. Ainda carecem de regulamentação, e assim a Comissão
Européia pretende tratar do assunto de maneira acurada.
IV. BRASIL – obrigação de prestar informações
No Brasil, coadunado com o texto constitucional, temos primeiramente o Capítulo II da Parte
Geral do Novo Código Civil - NCC, que trata dos Direitos da Personalidade, onde destacamos o
artigo 21:
“ $YLGDSULYDGDGDSHVVRDQDWXUDOpLQYLROiYHOHRMXL]DUHTXHULPHQWRGRLQWHUHVVDGRDGRWDUi
DVSURYLGrQFLDVQHFHVViULDVSDUDLPSHGLURXID]HUFHVVDUDWRFRQWUiULRDHVWDQRUPD.”
O codificador das leis civis expressou a vontade constitucional ao atentar para a privacidade de
dados da pessoa natural. Incorre ainda o código em mandamento ao órgão judicante no sentido
de atuar em defesa desta privacidade.
O NCC é uma Lei geral, com abrangência plena em território nacional.
Em termos de operadoras de serviços de saúde temos a competência especial da ANS regulando
o setor.
Esta regulamentação do setor de prestadores de serviços particulares de saúde foi estabelecida na
Lei nº 9.656, de 24 de 03 de Junho de 1998. Além de conter as definições pertinentes à atividade,
traz obrigações e regulamentações operacionais que dirigem o ramo de prestação privada de
serviços de saúde. Dentre estas, o art. 20 da Lei informa:
“ $VRSHUDGRUDVGHSURGXWRVGHTXHWUDWDPRLQFLVR,HR†žGRDUWžGHVWD/HLVmRREULJDGDVD
IRUQHFHUSHULRGLFDPHQWHj$16WRGDVDVLQIRUPDo}HVHHVWDWtVWLFDVUHODWLYDVDVXDVDWLYLGDGHV
LQFOXtGDVDVGHQDWXUH]DFDGDVWUDOHVSHFLDOPHQWHDTXHODVTXHSHUPLWDPDLGHQWLILFDomRGRV
FRQVXPLGRUHVHGHVHXVGHSHQGHQWHVLQFOXLQGRVHXVQRPHVLQVFULo}HVQR&DGDVWURGH3HVVRDV
)tVLFDVGRVWLWXODUHVH0XQLFtSLRVRQGHUHVLGHPSDUDILQVGRGLVSRVWRQRDUW.”
Aqui temos uma obrigação conferida aos planos de saúde que prestam serviços de assistência
médica, hospitalar e odontológica, de maneira continuada e prazo indeterminado.
Da redação do presente dispositivo concluimos duas implicações importantes:
ƒ
Responsabilidade no envio de dados privados de consumidores;
ƒ
Necessidade de segurança no envio de informação empresarial.
Complementando este artigo legal, a ANS emitiu a Resolução – RDC nº 64, de 10 de Abril
de 2001, criando a figura do Coordenador Médico de Informações em Saúde, profissional
designado pelas operadoras privadas para ser responsável pelo fluxo dos dados.
O art. 2º da RDC nº 64 dispõe:
³5HVJXDUGDQGR DV SUHUURJDWLYDV H REULJDo}HV SURILVVLRQDLV GR &RRUGHQDGRU
0pGLFR GH ,QIRUPDo}HV HP 6D~GH FRP UHODomR DR VLJLOR PpGLFR DV RSHUDGRUDV
SHUPDQHFHP UHVSRQViYHLV SHOR HQYLR GDV LQIRUPDo}HV UHODWLYDV DRV EHQHILFLiULRV
GH SODQRV GH DVVLVWrQFLD j VD~GH UHVSRQGHQGR SHOD RPLVVmR RX LQFRUUHomR GRV
GDGRV´
O sigilo médico deverá ser resguardado na comunicação com a ANS, e o art. 6º complementa a
obrigação:
“ 2VFRQWUDWRVGHSODQRVGHDVVLVWrQFLDj6D~GHILUPDGRVSRURSHUDGRUDVFRPSHVVRDVMXUtGLFDV
GHYHUmRFRQWHUFOiXVXODGHREVHUYDomRGDOHJLVODomRUHODWLYDDRVLJLORPpGLFR´grifo nosso
93(1$/,'$'(6
A 5HVROXomR±5'&Qž informa, em seus 20 artigos, sobre as penalidades voltadas aos
administradores, diretores, membros de conselhos administrativos, deliberativos, consultivos,
fiscais e assemelhados de planos de serviços privados de saúde no exercício de suas atribuições,
que são:
ƒ
Advertência;
ƒ
Multa pecuniária;
ƒ
Suspensão de exercício dos cargos elencados acima;
ƒ
Inabilitação temporária para o exercício dos mesmos cargos;
ƒ
Cancelamento da autorização de funcionamento e alienação da carteira da operadora
mediante leilão.
O art. 5º da RDC nº 24 trata das infrações passíveis de multa pecuniária no valor de trinta e cinco
mil reais,e teve sua redação alterada com a emissão da Resolução Normativa – RN nº 21,
conforme citação no início do texto, a qual reproduzimos o art. 1º:
“ $VRSHUDGRUDVGHSODQRVSULYDGRVGHDVVLVWrQFLDjVD~GHGHYHUmRPDQWHUSURWHJLGDVDV
LQIRUPDo}HVDVVLVWHQFLDLVIRUQHFLGDVSHORVVHXVFRQVXPLGRUHVRXSRUVXDUHGHGHSUHVWDGRUHV
REVHUYDGRRGLVSRVWRQD5HVROXomR±5'&QžGHGH$EULOGHTXDQGRDFRPSDQKDGDV
GHGDGRVTXHSRVVLELOLWHPDVXDLQGLYLGXDOL]DomRQmRSRGHQGRDVPHVPDVVHUGLYXOJDGDVRX
IRUQHFLGDVDWHUFHLURVVDOYRHPFDVRVH[SUHVVDPHQWHSUHYLVWRVQDOHJLVODomR.”
No que tange especificamente ao setor brasileiro de prestação de serviços privados de saúde, os
processos, métodos e procedimentos de tratamento da informação médica de seus usuários
necessitam de atenção redobrada e transformações no sentido de alinhamento com o teor da RN
nº 21.
A informação fornecida pelos consumidores de planos de assistência à saúde deve agora, por
força de regulamentação e com previsão de sanção, ser protegida.
Na prática, essa proteção deve abranger toda a cadeia de suprimento da informação médica:
EMPRESAS
CORRETORES
LABORATÓRIOS
MÉDICOS
HOSPITAIS
CLÍNICAS
PRESTADORES DE SERVIÇOS
9,5(63216$%,/,'$'('$623(5$'25$6
Depreende-se da vista aos dispositivos legais mencionados neste texto que a responsabilidade
das operadoras do sistema privado de saúde no Brasil é direta, implicando em controle severo
dos dados dos usuários constantes nos bancos de dados informatizados das empresas.
Esta responsabilidade se divide em dois veios principais:
1. 2IRUQHFLPHQWRGHGDGRVFDGDVWUDLVSURWHJLGRVSRUVLJLOROHJDOSHUWHQFHQWHVDRVVHXV
FRQVXPLGRUHVEHPFRPRLQIRUPDomRHPSUHVDULDOSURSULHWiULDUHYHODGRUDGRQtYHOGH
DWLYLGDGHSUHVWDGD
22XVRGDLQIRUPDomRSURYHQLHQWHGHGDGRVPpGLFRVGRVXVXiULRVRWUDWDPHQWRLQWHUQR
GHVWDLQIRUPDomRVHXDUPD]HQDPHQWRHWUDQVPLVVmR
Toda atividade profissional acarreta riscos operacionais, porém, no caso de operadoras de planos
privados de serviços de saúde, temos agravantes legais que obrigam as empresas a redobrarem a
atenção nos trâmites dos processos de trabalho. Corroborando esta obrigação, o NCC traz em seu
art. 927 uma responsabilidade objetiva aos empresários, mesmo não havendo ilicitude na
conduta dos negócios:
“ $TXHOHTXHSRUDWRLOtFLWRDUWVHFDXVDUGDQRDRXWUHPILFDREULJDGRDUHSDUiOR
3DUiJUDIR~QLFR+DYHUiREULJDomRGHUHSDUDURGDQRLQGHSHQGHQWHPHQWHGHFXOSDQRVFDVRV
HVSHFLILFDGRVHPOHLRXTXDQGRDDWLYLGDGHQRUPDOPHQWHGHVHQYROYLGDSHORDXWRUGRGDQR
LPSOLFDUSRUVXDQDWXUH]DULVFRSDUDRVGLUHLWRVGHRXWUHP´JULIRQRVVR
A natureza da operação de serviços voltados à saúde se encaixa perfeitamente neste dispositivo
legal, visto a obtenção e manuseio de informação médica alheia.
Por cuidar de bem intangível, a saúde, implicando no direito relativo à vida, um empresário do
ramo de saúde carece de maiores precauções no ato do desenvolvimento de suas atividades.
Assim, podemos observar os pontos de maior potencialidade de riscos:
ƒ
Cadastramento de usuários;
ƒ
Comunicação com as empresas corretoras de seguro-saúde;
ƒ
Comunicação com a agência regulatória;
ƒ
Tratamento interno da informação;
ƒ
Armazenamento seguro da informação;
ƒ
Classificação da informação.
Exemplificando, uma operadora que possua uma listagem de usuários com 30 mil “ vidas” ,
possui 30 mil chances de adentrar em alguma penalidade civil, criminal ou administrativa ao
exercer suas atividades e circular informação privada de seus clientes.
Com os avanços da tecnologia médica, como reprodução assistida, terapia genética, transplantes
e medicina preventiva, o caráter do dano à privacidade do paciente se torna aumentado, já que
atinge o bem mais íntimo que uma pessoa pode possuir, o direito ao seu próprio corpo, tanto
material como psicologicamente.
O jurista italiano Calogero Culpi3, ao classificar os direitos da personalidade, destaca:
1.
2.
3.
4.
direito à vida;
direito à integridade física e corporal;
direito de disposição do próprio corpo e do próprio cadáver;
direito ao livre desenvolvimento da própria atividade ou direito de liberdade de
locomoção, de residência e de domicílio;
5. direito à liberdade matrimonial;
6. direito à liberdade contratual e comercial;
7. direito à liberdade de trabalho;
8. direito à honra;
9. direito à imagem;
10. direito moral de autor e inventor;
11. direito ao segredo epistolar, telefônico e telegráfico.
Tomando por exemplo o ilustre professor italiano, temos os direitos inerentes à vida e saúde no
topo da classificação da tutela da personalidade.
Resta inequívoco, portanto, o entendimento da necessidade de cuidados extras na operação dos
serviços de saúde privada.
9,,6(*85$1d$'$,1)250$d­2
Proteger ativos intangíveis é necessidade intrínseca das operadoras de saúde privada. Esta
proteção deve ser atingida coadunando-se métodos laborais, processos tecnológicos e a
legislação vigente. Nesse particular, a elaboração de um instrumento formal que direcione o
comportamento de pessoas envolvidas na cadeia de tráfego de informações privadas é a melhor
prática a ser considerada. Este instrumento recebe o nome de 3ROtWLFDGH6HJXUDQoD GD
,QIRUPDomR.
Uma Política de Segurança é um documento central onde se encontram dispostos os detalhes das
diretrizes tomadas como aceitáveis em uma rede de informação.
Esta formalização de condutas e definição de comportamentos aceitáveis no ambiente de
trabalho deve também estipular penalidades em caso de descumprimento de medidas
estabelecidas, identificando os objetivos da segurança almejada na empresa e mostrando, acima
de tudo, a importância de cada funcionário na manutenção da segurança do ambiente de trabalho,
com o fim último da preservação dos postos existentes, e propiciando o crescimento operacional.
Os primeiros passos verificados na adoção de uma Política de Segurança:
ƒ
a compreensão das necessidades da empresa;
ƒ
a observação das práticas existentes;
ƒ
a identificação dos ativos que precisam ser protegidos;
ƒ
a identificação dos componentes de informação presentes.
Uma Política de Segurança eficaz deve apresentar a seguinte estrutura:
ƒ
Conhecimento – divulgação em todos os setores da empresa;
ƒ
Consentimento – aceitação por todas as pessoas envolvidas no trabalho, tanto
funcionários como colaboradores e fornecedores;
ƒ
Vínculo – toda a cadeia hierárquica da empresa precisa estar vinculada às regras de
segurança adotadas;
ƒ
Definição de responsabilidades – delimitação de responsabilidades entre empregador e
empregados, além das relações com terceiros;
ƒ
Especificação de penalidades – previsão de sanção pra desvios de conduta;
ƒ
Formalização de compromissos – monitoramento, confidencialidade, responsabilidade,
adendos a contrato de trabalho.
Uma Política de Segurança de dados corporativos deve ser elaborada de acordo com as
necessidades de cada empresa em particular, estabelecendo um verdadeiro código de conduta
envolvendo os diversos níveis dos processos de negócio, tanto interna como externamente,
incrementando a capacidade de gerenciamento de riscos.
A correta formalização de diretrizes comportamentais traz:
ƒ
Diminuição concreta da possibilidade de ocorrência de incidentes de segurança;
ƒ
Maior controle sobre o funcionamento da banda de comunicação da empresa;
ƒ
Maior controle sobre o uso do aparelhamento de TI da empresa;
ƒ
Maior controle sobre a configuração de equipamentos e uso de senhas;
ƒ
Diminuição da perda de produtividade dos funcionários;
ƒ
Previsão legal para monitoramento de correspondência eletrônica na empresa;
ƒ
Delimitação de responsabilidades legais e regulatórias decorrentes de comportamento de
funcionários;
ƒ
Determinação objetiva dos conceitos do NCC.
A adoção de um conjunto de regras operacionais para operadoras de serviços de saúde torna-se
fundamental, à luz dos dispositivos legais pertinentes à atividade, para a segurança cotidiana dos
processos empresariais. Este conjunto de regras deve estar em sintonia tanto com os
procedimentos técnológicos quanto ao ordenamento jurídico vigente.
9,,,&(57,),&$d­2',*,7$/
Com o advento da Medida Provisória nº 2.200 – 02/01, que trata sobre a Infra-estrutura de
chaves públicas brasileira - ICP-Brasil4 - , temos o caminho aberto para a popularização do uso
de certificados digitais nos negócios, o que propicia a segurança necessária e validação jurídica
dos atos efetuados digitalmente.
Esta infra-estrutura tem por definição oficial:
³eXPFRQMXQWRGHWpFQLFDVSUiWLFDVHSURFHGLPHQWRVDVHULPSOHPHQWDGRSHODVRUJDQL]Do}HV
JRYHUQDPHQWDLVHSULYDGDVEUDVLOHLUDVFRPRREMHWLYRGHHVWDEHOHFHURVIXQGDPHQWRVWpFQLFRVH
PHWRGROyJLFRVGHXPVLVWHPDGHFHUWLILFDomRGLJLWDOEDVHDGRHPFKDYHS~EOLFD´
Este “ VLVWHPDGHFHUWLILFDomRGLJLWDOEDVHDGRHPFKDYHS~EOLFD” consiste na utilização de
DVVLQDWXUDGLJLWDO, vale dizer, gerar um documento digitalizado com uso de sistema de
criptografia de chaves públicas, onde dois códigos de cifração diferentes são utilizados, através
da titulariedade de um certificado digital.
O certificado digital é um procedimento que une seu possuidor, pessoa física ou jurídica, a um
sistema criptográfico garantidor da identidade das partes envolvidas em transações efetuadas
digitalmente, revestindo o ato de autenticidade e segurança.
As certificadoras digitais possuem seu regime instiuído em terras brasileiras sobre a égide da MP
2.200-02/01, e os critérios de cadastramento e operacionalidades são extremamente rígidos, já
que o assunto apresenta extrema relevância. Podem ser certificadoras digitais empresas públicas
e privadas, e a regulamentação da atividade ficou a cargo do ITI – Instituto Nacional da
Tecnologia da Informação5, autarquia federal vinculada á Casa Civil da Presidência da
República que é a Autoridade Certificadora Raiz.
O uso corporativo da certificação digital é inevitável. A utilização do ambiente digital para a
prática de negócios é irreversível, daí, a adoção de medidas possibilitadoras de segurança é uma
prática que não pode ser olvidada.
Quanto ao assunto que norteia este texto, as imposições legais brasileiras referentes ao
tratamento de informações médicas, torna-se imperioso a observância de medidas de segurança
na veiculação da informação privada dos clientes de prestadoras de serviços de saúde.
Não temos, em nossa legislação, diretrizes rígidas e detalhadas como na +,3$$, mas ouso de
criptografia em sistemas informáticos é inequivocamente requerido.
A certificação digital traz a segurança necessária para o cumprimento das disposições restritivas,
proporcionando esta segurança além dos limites da pessoalidade, validando transações
eletrônicas em todas as etapas da cadeia de negócio.
IX. CONCLUSÃO
As disposições normativas legais e regulatórias voltadas aos empresários do setor de saúde
demandam atenção redobrada no tratamento da informação transmitida nos sistemas das
empresas, já que possuem caráter de direitos personalíssimos, relativos à vida privada . Esta
condição torna especial o trabalho de coletar e manter os bancos de dados com informações dos
clientes, e neste sentido, este tratamento da informação recebe condições mais restritas do que
em várias outras áreas de trabalho.
Com o incremento dos sistemas informáticos, advindo através do desenvolvimento da tecnologia
da informação, temos a inevitável utilização da Internet e suas aplicações como mola mestra das
atividades que requerem armazenamento e classificação de dados.
Esta convergência para sistemas digitais incorre em riscos, daí o motivo da necessidade de
atenção redobrada aos agentes possibilitadores de maior segurança no ambiente eletrônico.
Como todos os setores econômicos, o sistema de saúde complementar recebe os impactos da
tecnologia em seu cotidiano.
A correta estipulação de Políticas de Segurança da Informação alinhada com o uso de
criptografia forte derivada de Certificação Digital promove maior segurança nos negócios de
saúde, possibilitando a obtenção dos objetivos empresariais com tranquilidade e observância dos
mandamentos legais vigentes no Brasil.
Rodney de Castro Peixoto
1
www.ans.gov.br
www.hhs.gov/ocr/hipaa
3
3HUVRQHILVLFKHHJLXULGLFKH0LODQR*LXIIUq 1946.
4
www.icpbrasil.gov.br
5
www.iti.gov.br
2