A Santa Casa de Mauá Saúde é operadora de plano de assistência médica que atua no segmento de saúde suplementar, sujeita à regulação da Agência Nacional de Saúde Suplementar e às normas legais aplicáveis ao setor. A proteção de dados pessoais, especialmente dados sensíveis relacionados à saúde, é parte estruturante do nosso modelo de governança, porque envolve a confiança de milhares de beneficiários e a responsabilidade técnica inerente à atividade.

Esta Política estabelece como tratamos dados pessoais de beneficiários, dependentes, contratantes, representantes legais, prestadores credenciados e usuários do portal institucional, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e com a legislação específica da saúde suplementar.

Papel da Operadora no Tratamento de Dados

A Santa Casa de Mauá Saúde atua como controladora dos dados pessoais tratados no âmbito da relação contratual com o beneficiário e na gestão da assistência à saúde.

Isso significa que define as finalidades e os meios de tratamento necessários à execução do contrato, à regulação assistencial, à autorização de procedimentos, ao faturamento, à auditoria, ao reembolso e à interlocução com a rede credenciada.

Em determinadas hipóteses, pode atuar também como operadora (no sentido técnico da LGPD) quando trata dados em nome de terceiros, sempre mediante instrumento contratual que discipline responsabilidades, confidencialidade e segurança.

Natureza dos dados tratados

A atividade de operadora de plano de saúde envolve, de forma inevitável e contínua, o tratamento de dados pessoais sensíveis, nos termos do artigo 5º, inciso II, da LGPD, especialmente dados relacionados à saúde.

Entre os dados tratados, podem estar:

– Dados cadastrais de beneficiários e dependentes (nome, CPF, data de nascimento, endereço, contatos, número de contrato);

– Dados econômicos e financeiros vinculados à cobrança, emissão de boletos, reembolsos e controle de inadimplência;

– Dados clínicos constantes de declarações de saúde, pedidos de autorização, guias, relatórios médicos e auditorias assistenciais;

– Dados necessários à elegibilidade, carências, coberturas, rede credenciada e regulação técnica;

– Dados de navegação coletados no portal institucional, incluindo cookies e registros de acesso.

O tratamento desses dados é indispensável para garantir a continuidade da assistência, a sustentabilidade atuarial do plano e o cumprimento das obrigações regulatórias impostas à operadora.

Finalidades do tratamento e bases legais

Os dados pessoais são tratados para finalidades diretamente vinculadas à execução do contrato de assistência à saúde e à regulação do setor.

Entre as principais finalidades estão:

– Formalização e administração do contrato de plano de saúde;

– Análise de risco e declaração de saúde no momento da contratação;

– Autorização e regulação de procedimentos;

– Gestão da rede credenciada;

– Auditoria médica e administrativa;

– Processamento de reembolsos;

– Emissão de boletos e comunicações operacionais;

– Atendimento via SAC e Ouvidoria;

– Cumprimento de obrigações regulatórias perante a Agência Nacional de Saúde Suplementar;

– Atendimento de ordens judiciais e determinações administrativas;

– Prevenção a fraudes, inclusive fraudes relacionadas a boletos e solicitações eletrônicas.

As bases legais que fundamentam esses tratamentos incluem:

– Execução de contrato ou procedimentos preliminares (artigo 7º, inciso V, da LGPD);

– Cumprimento de obrigação legal ou regulatória (artigo 7º, inciso II, e artigo 11, inciso II, alínea “a”);

– Tutela da saúde, quando indispensável à assistência e à continuidade do cuidado (artigo 11, inciso II, alínea “f”);

– Legítimo interesse da operadora, especialmente em medidas de segurança, prevenção a fraudes e melhoria de serviços (artigo 7º, inciso IX), sempre com avaliação de necessidade e proporcionalidade;

– Consentimento, quando exigido para finalidades específicas não essenciais à execução contratual.

Relação com a rede credenciada e compartilhamento

Como operadora, a Santa Casa de Mauá Saúde mantém relacionamento contínuo com prestadores credenciados, hospitais, clínicas, laboratórios e profissionais de saúde.

O compartilhamento de dados ocorre estritamente quando necessário para:

– Viabilizar a assistência ao beneficiário;

– Autorizar e executar procedimentos;

– Realizar auditorias técnicas;

– Corrigir inconsistências e melhorar fluxos operacionais;

– Cumprir exigências regulatórias.

Não há comercialização de dados pessoais e todo compartilhamento ocorre sob cláusulas contratuais de confidencialidade e segurança, com controle de acesso e rastreabilidade.

Segurança da informação e governança

A operadora adota medidas técnicas e administrativas compatíveis com a sensibilidade dos dados tratados, incluindo:

– Criptografia de dados em trânsito (SSL/TLS);

– Controle de acesso por perfil e necessidade;

– Registro de logs e trilhas de auditoria;

– Gestão de vulnerabilidades;

– Políticas internas de segurança da informação;

– Treinamento periódico de colaboradores;

– Avaliação de fornecedores e operadores contratados.

A proteção de dados na saúde suplementar não é apenas requisito legal, mas fator de qualidade assistencial e reputacional.

Cookies e ambiente digital

O portal institucional pode utilizar cookies essenciais, analíticos e de marketing. Cookies essenciais garantem funcionamento e segurança. Cookies analíticos e de marketing devem estar sujeitos a gestão de preferência pelo usuário, respeitando transparência e liberdade de escolha.

O usuário pode ajustar preferências no banner do site ou diretamente no navegador, ciente de que determinadas funcionalidades podem ser impactadas.

Retenção e guarda de dados

Os dados são mantidos pelo tempo necessário para:

– Execução do contrato;

– Cumprimento de obrigações legais e regulatórias da saúde suplementar;

– Atendimento de exigências de auditoria e fiscalização;

– Defesa em processos administrativos e judiciais;

– Observância de prazos prescricionais.

Após o término da finalidade ou do prazo legal, os dados são eliminados ou anonimizados, quando possível.

Direitos dos titulares

Nos termos do artigo 18 da LGPD, o titular pode solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio ou eliminação quando cabível, portabilidade, informação sobre compartilhamento e revogação de consentimento.

Alguns pedidos podem sofrer limitação quando houver obrigação legal de retenção, necessidade de preservação de prova, proteção da segurança do beneficiário ou prevenção a fraudes.

As solicitações devem ser encaminhadas ao canal do Encarregado pelo tratamento de dados pessoais, divulgado no portal institucional.

Compromisso com qualidade e transparência

A Santa Casa de Mauá Saúde entende que o tratamento de dados sensíveis é inerente à sua atividade, mas não ilimitado. Cada tratamento deve ser necessário, proporcional e juridicamente fundamentado.

Privacidade, segurança da informação e conformidade regulatória não são elementos acessórios. São condições estruturais para a continuidade da assistência, para a confiança do beneficiário e para a sustentabilidade do sistema de saúde suplementar.

Oportuno afirmar que esta Política pode ser atualizada para refletir mudanças do portal, melhorias de segurança, alterações operacionais ou exigências legais.

A versão vigente estará sempre disponível no site, com indicação de data de atualização.

Dúvidas ou sugestões podem ser encaminhadas para o e-mail [email protected] e [email protected] ou pelo telefone (11) 5555-4643.