No início de 2017 uma catástrofe atingiu o principal repositório on-line de informações sobre os cidadãos brasileiros: um “hacker” adolescente do Rio de Janeiro, aproveitando-se da fraca proteção do cadastro nacional do Cartão Nacional de Saúde (CNS), com mais de 120 milhões de registros individuais, roubou praticamente todos os dados e os disponibilizou em um serviço on-line hospedado em Miami, EUA, supostamente para permitir a consulta (ilegal, em si) ao CPF (Cadastro das Pessoas Físicas da Receita Federal) por qualquer um que conhecesse o endereço. Mas os registros roubados desvendavam muito mais do que isso: permitiam visualizar também o RG (identidade), CNS, nome completo, endereço, filiação, data e local de nascimento e até o grupo sanguíneo! Imaginem o estrago causado a milhões de pessoas se bandidos tomam posse e usam fraudulentamente essas informações.
O caso chamou a atenção para o atual estado caótico dos dados privativos, sigilosos, confidenciais e íntimos dos cidadãos brasileiros. O próprio Governo Federal está implementando programas em que os dados clínicos confidenciais e sigilosos, que somente médicos e outros profissionais de saúde podem acessar, transitarão e serão armazenados livremente em repositórios nas nuvens e em dispositivos móveis! As redes sociais on-line só tem agravado esse problema, como demonstrou muito bem a massiva venda de informações sigilosas perpetrada pelo Facebook para uma empresa inglesa que interferiu no eleitorado dos EUA.
Em boa hora, portanto, a União Européia promulgou um regulamento duríssimo para a proteção dos dados pessoais e privativos dos seus cidadãos, a GDPR (General Data Protection Regulation). Tão dura e restritiva, aliás, que poderá afetar enormemente várias inovações, como o “big data”, a epidemiologia e a inteligência artificial, para citar apenas alguns setores. A área de saúde será particularmente impactada, devido à natureza altamente sensível de suas informações, que, se manipuladas e afetadas por erros e alterações, poderão, literalmente, causar a morte de milhares de pacientes. Aliás, a GDPR também afeta empresas brasileiras, que porventura armazenarem dados de cidadãos europeus.
Quase que simultaneamente, as duas casas do Congresso Brasileiro aprovaram uma lei muito similar à GDPR europeia, a LGPD (Lei Geral de Proteção de Dados), igualmente dura e restritiva, que causará uma verdadeira revolução nas práticas de proteção de dados no Brasil, podendo levar a multas pesadíssimas aos violadores de suas normas, chegando a 5% do faturamento bruto da empresa responsável.
Os impactos sobre a área de saúde serão extensos e aumentarão muito os custos de processamento e armazenamento de dados para todo mundo. Entre as suas várias posturas (que não pretendo analisar em detalhe neste artigo), estão:
1. Os dados de um paciente somente poderão ser coletados, armazenados e processados em sistemas de informação em saúde com seu expresso consentimento livre e esclarecido (inclusive dados retroativos, ou seja, todos os pacientes já armazenados nos sistemas, ou seus responsáveis, terão que ser solicitados novamente!)
2. Os pacientes terão o direito de saber para que, quando e por quem os seus dados foram utilizados, e poderão restringir o direito de acesso a quem desejarem (inclusive grupos de usuários dos sistemas). Ou seja, terão acesso às trilhas de auditoria (logs) e a todos os dados armazenados, podendo, a qualquer momento, suspender seu consentimento ou pedir o apagamento completo ou parcial dos dados pessoais (inclusive demográficos);
3. Os dados pessoais terão que ser anonimizados e deverão ser criptografados os mais de 50 campos que podem levar à identificação da pessoa. Após cumprirem seu objetivo, deverão ser removidos dos bancos de dados;
4. Todas as transmissões entre sistemas terão que ser criptografadas;
5. Todas as empresas e instituições que armazenam dados identificados de pessoas terão que ter um políticas registradas e um sistema de gestão de segurança de informação, e pelo menos um gestor responsável pelo mesmo (requisitos já exigidos pela norma ISO/IEC 27.001, que pode ser certificada);
6. Os softwares terão que implementar massivas e complexas formas de proteção de dados contra vários tipos de roubo de identidade, de bancos de dados, de transações, etc., inclusive para sistemas baseados em nuvens.
Vale lembrar que as posturas da LGPD aplicam-se não somente aos pacientes, mas também aos funcionários, usuários, cadastros de pessoas que participam de redes sociais, de quaisquer plataformas on-line com autenticação controlada por login e senha, sistemas de notas fiscais eletrônicas, cursos on-line, etc., etc.
Tudo isso é muito bom e tem sido solicitado há décadas pelos profissionais de segurança da informação na área da saúde. Entretanto, precisamos estudar com muita cautela a nova LGPD, pois o excesso de segurança poderá prejudicar uma tendência fundamental para os prontuários eletrônicos, que é a interoperabilidade (troca de informações) entre sistemas heterogêneos e também a elaboração de dados agregados, como no DATASUS. O domínio total sobre quem vê e para que usou os dados poderá provocar situações esdrúxulas, como um paciente necessitando cuidados emergenciais não poder ser atendido em virtude dos seus dados estarem com acesso vetado!
Quanto às “start-ups” que pretendiam ganhar milhões vendendo dados e informações de cidadãos, captadas por aplicativos na área de saúde e bem estar, podem esquecer…
Renato M.E. Sabbatini, PhD, FIAHSI. Prof. Renato Marcos Endrizzi Sabbatini é um dos maiores e mais respeitados especialistas em tecnologias de informação em saúde, estando ativo como pesquisador, professor e consultor há quase 50 anos. Foi um dos fundadores e presidente da Sociedade Brasileira de Informática em Saúde (SBIS) e um dos fundadores e vice-presidente do Instituto HL7 Brasil, e é Founding Fellow da International Academy of Health Sciences Informatics. Entre seus campos de interesse está a segurança da informação em saúde, e é auditor líder certificado ISO-27.001 e vice relator do grupo GT4 de Segurança de Informação em Saúde da ABNT