Por Andréa Gobbato e Nuria Baxauli, do Grupo de Altos Estudos em Computação em Nuvem do Legal Grounds Institute.
Publicado originalmente no Conjur.
O uso de serviços de computação em nuvem pode auxiliar o setor de saúde a enfrentar diversos desafios, como financeiros, de gestão e no oferecimento dos serviços. Isso porque uma das características da nuvem consiste em permitir o acesso a informações a todo momento e a partir de diferentes localidades, além de permitir que organizações adotem serviços e funcionalidades adequados ao seu porte e negócios.
No setor de saúde, o fácil acesso às informações de pacientes pelos profissionais de saúde tem o potencial de promover o cuidado a esses indivíduos, permitir que recebam tratamento adequado e auxiliar o trabalho dos profissionais, fornecendo-lhes informações atualizadas e mais completas para a tomada de decisões. Em um país com a dimensão territorial do Brasil, o acesso e compartilhamento de informações viabiliza a comunicação entre profissionais de diferentes regiões e pode aproximar localidades mais distantes dos grandes centros [1].
Assim como outros segmentos, o setor de saúde está sujeito a sofrer ataques de agentes mal-intencionados. Ocorre que, nos sistemas de saúde, circulam dados e informações de grande valor comercial, o que os tornam, a princípio, alvos atrativos de agentes maliciosos. Além disso, falhas de segurança da informação e incidentes envolvendo dados pessoais de saúde podem causar grande impacto aos indivíduos.
Exemplos incluem os incidentes de segurança e ataques cibernéticos sofridos pelo Ministério da Saúde. Até o momento, o ministério já divulgou publicamente três incidentes de segurança, por meio do Registro de Incidentes com Dados Pessoais, disponibilizado em seu site [2], ocorridos entre 2021 e 2022. Um deles diz respeito à falha identificada no Sistema de Cadastro e Permissão de Acesso (SCPA), que permitia consulta individual, a partir do número do CPF a dados pessoais, como nome completo, endereço, telefone, data de nascimento, nome da mãe e cartão nacional de saúde.
Em outro, com maior exposição de dados sensíveis, o Ministério da Saúde reportou um possível vazamento de credencial do sistema Cadsus, que expôs diversos dados pessoais, incluindo nome social, nome da mãe e do pai, raça/cor, etnia indígena, tipo sanguíneo, nacionalidade, país de nascimento, entre outros. Já o terceiro caso se refere a um possível crime cibernético relacionado à venda ilegal de bases de dados oriundas do Cadsus e do e-SUS Notifica. O Registro de Incidentes não menciona os dados pessoais afetados, mas informa que o caso foi comunicado a outras autoridades responsáveis.
Apesar dos benefícios que as soluções de computação em nuvem apresentam, sua adoção por organizações do setor enfrenta desafios relacionados às questões de segurança e proteção de dados trazidas acima.
Há também desafios relacionados à regulação específica das atividades do setor de saúde. Em complemento às questões de segurança e proteção de dados, que se tornam mais evidentes com o uso de novas tecnologias, tradicionalmente, o setor de saúde já deve atender e continuar atendendo a normas direcionadas a suas atividades.
A seguir, analisaremos esses desafios em maiores detalhes.
Regulação
O setor de saúde conta com uma robusta regulamentação, que se aplica às diferentes atividades, profissionais e entidades do setor. Primeiramente, a saúde é um direito fundamental de todos e um dever do Estado, a ser garantida por meio de políticas sociais e econômicas, conforme previsto nos artigos 6° e 196 da Constituição.
Além disso, agências reguladoras e instituições jurídicas editam normas e fiscalizam a saúde pública e privada no País, tais como a Agência Nacional de Saúde (ANS), Agência Nacional de Vigilância Sanitária (Anvisa), os conselhos nacionais, estaduais e municipais de saúde e as conferências de saúde [3]. Há normas específicas impactando indiretamente os fornecedores de serviços de computação em nuvem, bem como regulamentação específica sobre cybersegurança neste âmbito [4].
Sob a perspectiva médica, o Código de Ética do Conselho Federal de Medicina (CFM) regula o exercício da atividade profissional e o sigilo profissional. Mais especificamente, o Código de Ética veda ao médico revelar fato de que tenha conhecimento em razão do exercício de sua profissão, salvo se por motivo justo, dever legal ou consentimento do paciente [5].
Proteção de dados
No que tange a legislação de proteção de dados, a Lei Geral de Proteção de Dados (Lei nº 13.709/18 ou “LGPD”) foi a primeira lei brasileira específica sobre proteção de dados aplicável a todos os setores. Neste âmbito, os dados de saúde foram incluídos na definição de dados sensíveis, os quais possuem maiores restrições para o seu tratamento.
A LGPD também requer a adoção de medidas de segurança adequadas para proteger os dados pessoais, o que deve levar em conta o risco do seu tratamento. Assim, o tratamento de dados sensíveis exige medidas de segurança organizacionais e técnicas robustas para sua proteção.
Esse dever de proteção dos dados, em conjunto com as demais questões de segurança, pode constituir um entrave na transição do setor da saúde para uma computação baseada em nuvem. Isto porque, é necessário que os detalhes específicos de cada realidade sejam endereçados nas contratações, o que se contrapõem a modelos de contratação que costumam ser padronizados e muitas vezes, em sistema de adesão.
A Autoridade Nacional de Proteção de Dados (ANPD) chegou a instaurar dois processos administrativos sancionatórios em face do Ministério da Saúde [6], com o objetivo de investigar as medidas de segurança implementadas e a necessidade de comunicação do incidente de segurança à ANPD e aos titulares dos dados pessoais. Esse movimento, em um momento em que a autoridade ainda está começando a aplicar penalidades e atuar de forma mais consistente, demonstra que a proteção de dados no setor da saúde deve estar entre os temas prioritários da ANPD.
Segurança
Já no âmbito das questões específicas de segurança, são desafios a invasão dos sistemas por hackers, o uso inadequado por usuários e as falhas na rede de internet [7]. Com relação a este tema, também é relevante mencionar que vírus, malwares e outras ameaças de segurança são consideradas mais complexas de se resolver quando ocorrem no ambiente cloud em comparação a sistemas convencionais in-house [8].
O mau uso por usuários também se relaciona a necessidade de manter certas informações com alto nível de confidencialidade e do questionamento sobre a efetividade dos controles de segurança utilizados. Os serviços de computação em nuvem são considerados carentes de gerenciamento efetivo de chaves criptográficas, interface de gerenciamento público e separações de armazenamento limitadas [9]. Além do exposto, critérios adicionais de segurança necessários para lidar com dados no setor de saúde se relacionam ao controle de acesso, gerenciamento de dados e segurança no armazenamento [10].
Diante de tantos desafios específicos do setor para a adoção da computação em nuvem, bem como da constatação de que os principais estão relacionados à proteção de dados e segurança, é importante ressaltar que a LGPD promove a autorregulamentação do setor.
Esse tipo de iniciativa pode ser benéfica para discutir a aplicação de conceitos legais e regulatórios em contextos práticos e a conscientização dos stakeholders sobre as diversas questões relevantes a serem consideradas na contratação de cloud. Neste sentido, já foi criado um código de boas práticas de proteção de dados no setor de saúde [11], entretanto entendemos que seria benéfico um maior foco no assunto de computação em nuvem neste setor ou a criação de código específico sobre o assunto e seus impactos neste setor, tendo em vista a ampliação do uso da computação em nuvem no setor, atualmente desacompanhada de maiores diretrizes sobre seus riscos, benefícios e melhores práticas de segurança da informação envolvendo dados sensíveis.
[1] Nessa linha, a Estratégia de Saúde Digital para o Brasil 2020-2028 estabelece objetivos para a saúde que incluem o rompimento de barreiras regionais. Para mais informações, acesse https://bvsms.saude.gov.br/bvs/publicacoes/estrategia_saude_digital_Brasil.pdf. Acesso em 16.10.2023.
[2] O Registro de Incidentes com Dados Pessoais está disponível em https://www.gov.br/saude/pt-br/acesso-a-informacao/lgpd/registro-de-incidentes-com-dados-pessoais. Acesso em 16.10.2023.
[3] A ANS é criada pela Lei n° 9.961/2000; a Anvisa é criada pela Lei n° 9.782/1999; e as conferências de saúde e os conselhos de saúde estão previstos na Lei n° 8.142/1990.
[4] Por exemplo, o Guia nº 38/2020 da Anvisa sobre Princípios e práticas de cibersegurança em dispositivos médicos. Disponível em https://www.gov.br/anvisa/pt-br/assuntos/noticias-anvisa/2020/saiba-mais-sobre-ciberseguranca-em-dispositivos-medicos/guia-38.pdf. Acesso em 16.10.2023.
[5] Resolução CFM n° 2217/2018. Disponível em: https://portal.cfm.org.br/images/PDF/cem2019.pdf. Acesso em 16.10.2023.
[6] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-lista-de-processos-sancionatorios. Acesso em 16.10.2023.
[7] Lian, J., Yen, D. C., & Wang, Y. (2014). An exploratory study to understand the critical factors affecting the decision to adopt cloud computing in Taiwan hospital. International Journal of Information Management, 34, 28–36. Mehraeen, E., Ayatollahi, H., & Ahmadi, M. (2016). Health information security in hospitals: The application of security safeguards. Act Information Medical, 24(1), 47–50.
Mehraeen, E., Ghazisaeedi, M., Farzi, J., & Mirshekari, S. (2017). Security challenges in healthcare cloud Rodrigues, J. J., de la Torre, I., Fernández, G., & López-Coronado, M. (2013). Analysis of the security and privacy requirements of cloud-based electronic health records systems. Journal of Medical Internet Research, 15(8), e186.
[8] Armbrust, M., Fox, A., Griffith, R., Joseph, A. D., Katz, R. H., & Konwinski, A. (2009). Above the clouds: A Berkeley view of cloud computing. Disponível em: http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf. Acesso em 16.10.2023.
[9] Omar Alia, Anup Shresthaa, Jeffrey Soara, Samuel Fosso Wambab (2018). Cloud computing-enabled healthcare opportunities, issues, and applications: A systematic review. Disponível em: https://www.sciencedirect.com/science/article/abs/pii/S0268401218303736. Acesso em 16.10.2023.
[10] Omar Alia, Anup Shresthaa, Jeffrey Soara, Samuel Fosso Wambab (2018). Cloud computing-enabled healthcare opportunities, issues, and applications: A systematic review. Disponível em https://www.sciencedirect.com/science/article/abs/pii/S0268401218303736. Acesso em 16.10.2023.
[11] Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde. Disponível em: http://cnsaude.org.br/wp-content/uploads/2021/03/Boas-Praticas-Protecao-Dados-Prestadores-Privados-CNSaude_ED_2021.pdf. Acesso em 16.10.2023.
Sobre as autoras:
Andréa Gobbato é membro-pesquisadora do Legal Grounds Institute, mestranda e graduada em Direito pela Universidade de São Paulo (USP), pós-graduada em Direito Digital e Proteção de Dados pelo IDP., especialista em Direito Digital Aplicado pela Fundação Getúlio Vargas (FGV), dupla graduação em Direito em parceria com universidades francesas pelo Parceria Internacional Triangular de Ensino Superior (Pites-USP) e advogada nas áreas de Tecnologia e Proteção de Dados.
Nuria Baxauli é membro-pesquisadora do Legal Grounds Institute, advogada com foco nas áreas de Tecnologia, Proteção de Dados e Propriedade Intelectual, participou de um programa de intercâmbio entre universidades na Friedrich Alexander Universität (FAU) Erlangen-Nurnberg na Alemanha com foco em Direito Constitucional e Comparado e LLM em Direito e Tecnologia na Universidade de Tilburg na Holanda.
