Segurança e privacidade de dados pessoais continuam sendo uma barreira para avanço da saúde digital no Brasil

26 de janeiro de 2024 9:39

Dia Internacional da Proteção de Dados

Segundo Victor Prata, coordenador do Grupo de Trabalho Segurança da Informação e Proteção de Dados da Saúde Digital Brasil (SDB), embora não haja mais dúvidas sobre a importância de estabelecer políticas, o setor ainda enfrenta dificuldades em relação a como agir para estar em conformidade. A ausência de diretrizes únicas e claras é um dos pontos negativos

 

O Dia Internacional da Proteção de Dados, celebrado em 28 de janeiro, destaca a importância crucial da segurança e privacidade das informações no cenário global. Originado no Conselho da Europa em 2006, a data coincide com a assinatura da Convenção 108, o primeiro tratado internacional dedicado à proteção de dados pessoais. 

 

No Brasil, essa é uma data que vem conquistando cada vez mais exposição desde a promulgação da Lei Geral de Proteção de Dados (LGPD) em 2018, marcando um compromisso renovado com a privacidade em meio ao crescente papel da tecnologia nas nossas vidas. Em um contexto de avanços digitais rápidos, o Dia Internacional da Proteção de Dados destaca a necessidade contínua de conscientização, legislação robusta e práticas éticas para preservar a integridade das informações pessoais na era digital.

 

A crescente percepção sobre a importância da proteção de informações é particularmente evidente no contexto da saúde. No âmbito da assistência médica, a necessidade de um tratamento cuidadoso dos dados dos pacientes é imperativa. Isso se deve à urgência em evitar vazamentos, acessos maliciosos, roubos ou modificações de conteúdo nos prontuários, destacando a relevância da segurança de dados para preservar a integridade e confidencialidade das informações médicas.

 

Apesar de tudo isso, segurança e privacidade de dados pessoais continuam sendo uma barreira para o avanço da saúde digital no Brasil. Para Victor Prata, coordenador do Grupo de Trabalho Segurança da Informação e Proteção de Dados da Saúde Digital Brasil (SDB), já é um consenso entre as empresas que atuam no setor de saúde a importância que essa pauta tem no atual contexto. Ou seja, os gestores já têm clareza disso tudo. 

 

Na opinião do especialista, o principal ponto, hoje, que inclusive acaba aproximando pequenas, médias e grandes empresas, é como garantir a proteção da privacidade dos dados, sobretudo no ambiente digital. Embora, algumas vezes, dependendo do porte ou até mesmo da atuação, existam algumas ameaças iminentes e algumas dificuldades um pouco maiores, todos estão suscetíveis a esse mesmo risco de negócio. 

 

“Um hospital que só atende pacientes em suas instalações físicas recebe menos pacientes do que uma plataforma digital, o que a deixa muito mais vulnerável. Além disso, no caso do físico, a única forma de acessar o sistema é ir até lá, presencialmente, logar na rede Wi-Fi, por exemplo, para conectar-se a esse ambiente e promover o ataque. Quando trazemos isso para o ambiente digital, isso fica mais sensível. Qualquer pessoa com um celular que acesse a sua rede conseguirá adentrar no seu ambiente. Ou seja, temos duas premissas que devem ser observadas na telessaúde: são mais portas de entradas, e o impacto é maior por ter uma quantidade maior de pacientes com dados no ambiente digital”, reforça. 

 

Outro agravante importante é que há uma série de normas que podem ser aplicadas e inúmeras autoridades envolvidas nesse processo de regulação, indo além da LGPD. Entre elas estão a Agência Nacional da Vigilância Sanitária (Anvisa), a Agência Nacional de Saúde Suplementar (ANS), a Agência Nacional de Proteção de Dados (ANPD), o Conselho Federal de Medicina (CFM), os demais conselhos de outros profissionais de saúde e o próprio Ministério da Saúde. Em saúde digital, somam-se a esses requisitos as normas que regulam a internet e a infraestrutura de segurança. Além disso, como muitas empresas têm bancos de dados e armazenamento em nuvem no exterior, para estar conforme os padrões de segurança, é preciso considerar as regulamentações vigentes nesses países.

 

Também vale enfatizar que, embora exista uma grande discussão na ANPD sobre a regulamentação na cadeia de saúde para designar a responsabilidade dos possíveis atores quando acontece um vazamento, ainda não existe na agenda regulatória uma previsão para que se estabeleçam padrões específicos a serem seguidos pelo setor.

 

“O ‘como’ é um problema e uma barreira, exatamente pelo fato de não estar consolidado em lugar algum, o que já não acontece em outros setores mais regulados, como financeiro e o de seguros, por exemplo. Todas falam que precisam se preocupar com a segurança da informação e com a privacidade de dados, mas nenhuma delas fala o que precisa ser feito. Não existe um caminho oficial. Isso traz muita insegurança do que precisa ser feito para não ser multado, inclusive”, reforça o coordenador. 

 

Prata salienta ainda que, na ausência dessas diretrizes, o próprio setor, especialmente por conhecer a fundo as especificidades envolvidas, deve agir como regulador. Daí a importância de entidades, como a SDB, discutirem esse tema. Além de um Grupo de Trabalho, que proporciona um ambiente de discussão entre os associados e envolve todos os stakeholders, e do Manual de Boas Práticas de Telessaúde e Telemedicina para apoiar as empresas em seus desafios, em breve será lançado um curso que tratará também dessa disciplina. 

 

De qualquer forma, várias medidas podem ser adotadas para mitigar os riscos. “Na SDB, estamos trabalhando formas de mitigação: treinamentos com colaboradores sobre privacidade e proteção de dados, sobre segurança da informação, coisas práticas desde incentivar o uso dos dispositivos corporativos, e a implantação de política da mesa limpa, senha consciente, entre outros”, explica. 

 

Segundo ele, um pilar-chave quando se fala em proteção e privacidade de dados na saúde são as pessoas e, por mais que o controle exista, sem a capacitação ele será útil apenas para mitigar danos e aplicar sanções punitivas. Disso decorre a necessidade de estabelecer processos e de conscientizar todo o time, sem exceções, incluindo desde a alta administração até as áreas que, em um primeiro momento, pareçam não ter nenhuma relação direta com isso. 

 

“Fortalecer esse pilar de educação de proteção de dados e segurança da informação é essencial para as organizações conseguirem não só zelar pela privacidade, como também mitigar vazamentos e outros tipos de incidentes de segurança. Simplesmente contratar as melhores ferramentas de segurança não garantirá que você esteja livre de problemas. Se as pessoas quebrarem esse fluxo não adianta nada, e precisamos sempre pensar em proteger o paciente lá na ponta”, finaliza.