e-Saúde e desafios à proteção da privacidade no Brasil
Koichi Kameda, Pesquisador do Instituto Nupef
Magaly Pazello, Pesquisadora do Instituto Nupef
Data da publicação: novembro 2013
O uso de tecnologias de informação e comunicação (TICs) para o oferecimento e entrega de serviços de saúde é hoje visto como estratégico em todo mundo, incluindo o Brasil. Grandes promessas (algumas antigas e custosas) alimentam a introdução de prontuários eletrônicos nas unidades de saúde e a criação de registro eletrônico de saúde dos usuários do Sistema Único de Saúde (SUS), assim como o uso de redes colaborativas para auxiliar a prestação de serviços, entre os quais o telediagnóstico, a teleconsultoria etc.
Esses sistemas envolvem a intensa manipulação de informações pessoais de saúde, consideradas informações sensíveis em razão do potencial discriminatório que guardam caso sejam reveladas em determinadas situações e sem o consentimento de seu titular. Assim, preocupações com a proteção da privacidade dos pacientes nesses ambientes inevitavelmente emergem.
Este artigo tem o propósito de apresentar um breve panorama da e-Saúde no Brasil, identificando as principais iniciativas já implementadas ou em vias de implementação, e a presença (ou ausência) de salvaguardas legais e normativas para a proteção da privacidade dos usuários dos sistemas de saúde.
INICIATIVAS DE E-SAÚDE NO BRASIL
O uso de tecnologias de informação e comunicação para mediar a atenção à saúde é denominado de e-Saúde (eHealth). A terminologia1, adotada pela Organização Mundial da Saúde para abarcar o campo, inclui a assistência a paciente, pesquisa, educação e capacitação da força de trabalho e monitoração e avaliação em saúde.2 de mais específico, processos de e-Saúde incluem: teleconsultorias, telediagnóstico, segunda opinião formativa, telecirurgia, telemonitoramento (televigilância), educação permanente, teleducação e prontuário eletrônico.3
Alguns exemplos de iniciativas de e-Saúde são a rede RUTE, considerada bem-sucedida; o Cartão nacional de Saúde; e a adoção de prontuário eletrônico.
A RUTE - Rede Universitária de Telemedicina (www.rute.rnp.br) -, é um projeto do Ministério da Ciência, Tecnologia e Inovação, criado em 2005 com o propósito de conectar hospitais universitários e instituições de ensino via infraestrutura de comunicação nacional da rede nacional de Ensino e Pesquisa, possibilitando, de modo colaborativo, a realização de videoconferências para o intercâmbio de informação, discussões, estudo de casos, educação continuada, segunda opinião formativa, teleconsultoria, entre outros usos.4 Outra rede é a Telessaúde Brasil redes, capitaneada pelo Ministério da Saúde, e inicialmente instituída sob o nome Programa nacional de Telessaúde em 2007.5
O Cartão nacional de Saúde, também conhecido como Cartão SUS, é um documento de identificação do usuário do SUS. Instituído em 1996, possui mais de 144 milhões de usuários cadastrados. Entre os objetivos do Cartão, que passa por reformulação, estão facilitar a marcação de consultas e exames pelos pacientes e permitir a consulta ao histórico clínico dos usuários a partir de uma base de dados.6 O projeto é alvo de críticas, tendo a falta de transparência sido apontada como uma das explicações para a sua não finalização. Com a promessa da integração digital do SUS com interoperabilidade, mais de duzentos milhões de dólares foram gastos pelos governos entre 2000 e 2011, sem o acompanhamento do controle social.7
Recentemente a Secretaria de Estado da Saúde de São Paulo lançou um modelo de prontuário eletrônico unificado com o histórico de atendimentos dos pacientes nas unidades estaduais de saúde. O programa “S4SP” (Saúde para São Paulo), com investimentos de R$ 56 milhões do governo do Estado, foi desenvolvido no Instituto do Coração (InCor) do Hospital das Clínicas da Faculdade de Medicina da USP, numa parceria com a Companhia de Processamento de dados de São Paulo (Prodesp). O sistema permitirá o armazenamento padronizado e o compartilhamento dos registros de saúde do paciente coletados em hospitais, ambulatórios, laboratórios ou farmácias da Secretaria. Segundo notícia da página eletrônica oficial da Secretaria da Saúde do Governo do Estado de São Paulo, “o grande diferencial do novo sistema é operar em ‘nuvem’, o que resultou em custo zero em hardwares, softwares e equipamentos, como microcomputadores, ou mesmo a montagem de uma rede física de servidores e sistema de segurança e manutenção.”8 A Prodesp ficará responsável pela garantia do sigilo das informações dos cerca de vinte milhões de pacientes do SUS no Estado.9
É preciso observar que o campo da e-Saúde está diretamente relacionado às políticas de informação, informática e comunicação em saúde no Brasil. Essa afirmação é importante num contexto em que se constata a inseparabilidade cada vez maior entre informação e as tecnologias que lhe dão suporte, o que tem contribuído para a progressiva substituição da denominação “informação, informática e comunicação” por “tecnologia da informação e comunicação”.10
O uso de informação para gestão do sistema de saúde não é de hoje entendida como relevante, tendo a lei 8.080/1990 incluído entre as atribuições das unidades federativas a organização e coordenação do sistema de informação em saúde (art. 15, inciso Iv, CF). A despeito dos diversos sistemas de informação em saúde existentes, vasconcellos e Moraes (2005, p. 97) identificam o potencial, ainda pouco explorado, do uso da informação no processo decisório de saúde, incluindo a formulação de políticas, gestão, vigilâncias, clínica e também no controle social a fim de enfrentar a desigualdade de acesso aos benefícios do avanço tecnológico.
A necessidade de se estabelecer o propósito e as diretrizes de um Sistema nacional de Informação em Saúde levou à elaboração de uma Política nacional de Informação e Informática em Saúde, finalizada em 2004. Embora a PnIIS não tenha tido seu conteúdo regulamentado nem institucionalizado, acredita-se que tenha servido de inspiração para ações e normatizações no âmbito do SUS e do MS, bem como fundamento para o processo de construção da PnIIS 2012, em fase final de elaboração.11
O documento de 2012, que ainda resta ser aprovado, reconhece “e-Saúde” como a terminologia mais utilizada no mundo para descrever as políticas nacionais na área de TI em saúde e propõe a mudança da nomenclatura para “Política nacional de e-Saúde”.12
Nesse contexto, o documento afirma que a nova PnIIS deve ter como foco o usuário e registro eletrônico de saúde (rES), defendendo para isso o estabelecimento de padrões para representação e compartilhamento da informação em saúde, de infraestrutura de conectividade, a capacitação de recursos humanos na área de informação e informação em saúde, e, principalmente, a garantia da privacidade e confidencialidade da informação de saúde pessoal.13
Em paralelo aos debates para revisão da PnIIS, a constatação da necessidade de uma política estratégica de e-Saúde levou à elaboração de uma proposta de “visão Estratégica de e-Saúde para o Brasil”, conduzida pela Secretaria de Gestão Estratégica e Participativa (SGEP) do Ministério da Saúde, por meio do departamento de Informática do SUS (dATASUS). A construção desse documento se deu em oficinas com a participação de profissionais representativos do Ministério da Saúde e de outros órgãos do governo federal, estadual e municipal, bem como do setor privado e de organizações não governamentais. Essas oficinas de e-Saúde, realizadas desde maio de 2012, tiveram como foco a construção do RES, que integrado ao Sistema de Informação de Saúde (E-SUS), compõe o Sistema Cartão nacional de Saúde. O grupo de trabalho é composto por especialistas e técnicos do Poder Executivo Federal, de conselhos de classe, das operadoras de planos de saúde e profissionais de saúde dos Estados e Municípios.14
DESAFIOS À PROTEÇÃO DA PRIVACIDADE NO ÂMBITO DOS SISTEMAS DE E-SAÚDE E A NECESSIDADE DE UM MARCO REGULATÓRIO DO TRATAMENTO DE DADOS PESSOAIS
Os sistemas de e-Saúde, por envolverem o processamento de informações, que varia da simples comunicação entre pacientes e funcionários ao compartilhamento mais complexo de dados entre instituições de atenção à saúde15, exigem cautela quanto ao seu emprego e ambiente tecnológico e, ao mesmo tempo, garantias com relação a proteção da privacidade e dos dados pessoais dos pacientes e usuários dos serviços de saúde. Ademais, esses sistemas, em razão de sua diversidade, envolvem o tratamento de diferentes tipos de informação pessoal para propósitos distintos.16
Antes de avançar, é preciso fazer alguns esclarecimentos.
Ainda que corriqueiramente utilizados como sinônimos, existe distinção entre “dado” e “informação”. “dado” possui uma conotação mais primitiva, estando ligado a uma espécie de “pré-informação”, anterior à interpretação e ao processo de elaboração da informação. “Informação”, por sua vez, pressupõe a depuração de seu conteúdo.17
Quando se fala em dados ou informações pessoais, refere-se a qualquer informação relativa a uma pessoa identificada ou identificável, direta ou indiretamente, como o seu nome, número de identidade, etc.
Dentre os dados pessoais, uma subcategoria especial é a dos dados sensíveis, assim compreendidos aqueles tipos de informação que se conhecidos e processados podem ter utilização potencialmente discriminatória ou particularmente lesiva, apresentando maiores riscos que a média, para o indivíduo e até mesmo para a coletividade.18
Os dados de saúde são considerados dados sensíveis, assim como aqueles dados que revelem a origem racial ou étnica de uma pessoa, sua convicção religiosa, filosófica ou moral, sua opinião política, sua filiação partidária, sindical ou a organizações de caráter religioso, filosófico ou político. Também são incluídos entre os dados sensíveis os dados referentes à vida sexual e os dados genéticos e biométricos de uma pessoa.19 20
Considerados esses esclarecimentos, num contexto atual em que as novas tecnologias possibilitam o registro e o tratamento de informações em grande volume, incluindo informações sensíveis, surgem alguns desafios à proteção da privacidade dos usuários do sistema de saúde, como aqueles relacionados ao “vazamento” e ao acesso indevido de dados pessoais. A ausência de uma política de administração dessas informações permite que a sua manipulação ocorra de modo descuidado e em quantidades excessivas, facilitando a sua difusão pública, acidental ou intencional.21
Os casos de vazamento de dados pessoais, ao se tornarem públicos, acabam provocando uma sensação de desconfiança por parte dos cidadãos e dos consumidores em relação à instituição que permitiu a difusão das informações. E ainda que não se torne pública, a difusão indevida dos dados é capaz de provocar danos concretos em diversas situações, com potencial de discriminação no caso de dados sensíveis.22
Outro risco envolve a transferência de dados pessoais sem consentimento do seu titular ou utilização dos dados para fins distintos dos que legitimaram a sua coleta. denúncia recente causou grande polêmica ao revelar convênio firmado pelo Tribunal Superior Eleitoral para entrega de dados pessoais de eleitores para o Serasa, empresa privada que se ocupa da comercialização de informações.23
Essas preocupações fazem total sentido no âmbito das iniciativas de e-Saúde, que têm o potencial e-Saúde e desafios à proteção da privacidade no Brasil de identificar o usuário dos serviços de saúde a partir da expansão e do aprimoramento de bases nominais e da integração entre os bancos de dados. Exemplos são os já citados Cartão nacional de Saúde, que promove o cadastramento da população, e as aplicações da telemedicina e da telessaúde, que poderão fornecer informações de percurso do paciente pelos serviços de saúde e seu atendimento sem a necessidade de presença física do médico.24
É, portanto, importante que existam regras claras sobre o tratamento dos dados pessoais por essas iniciativas, sobretudo num contexto de tensão entre interesses públicos, coletivos e da indústria privada no âmbito do uso das TICs no SUS.25 Moraes26 adverte sobre a importância de se adotar um processo democrático emancipador em relação à implantação das tecnologias de informação para a saúde, o que inclui o estabelecimento de limites ao tratamento de informações pessoais dos pacientes, sob pena de os pobres terem os seus corpos esquadrinhados, de os indivíduos serem regulados e controlados em nome da garantia das suas qualidades de vida.27
Por tais razões, o tratamento de dados pessoais vêm sendo alvo de crescente regulação no exterior. Contudo, o Brasil ainda não possui uma lei de proteção de dados pessoais, a exemplo dos demais integrantes do G2028.
A proteção da privacidade no país tem como base a Constituição Federal, que a inclui entre os direitos fundamentais, nos dispositivos que tratam da tutela da intimidade e da vida privada (art. 5o, inciso X) e da inviolabilidade da correspondência, do domicílio e das comunicações (art. 5o, incisos XI e XII).29
no âmbito infraconstitucional, o Código Civil (lei 10.406/2002) garante a proteção da vida privada do indivíduo (art. 21) e o Código de defesa do Consumidor (lei 8.078/1990) regula a manutenção de bancos de dados e cadastros de consumidores, estabelecendo uma série de garantias a estes últimos.
O sigilo profissional também é tratado pela legislação. O Código Penal trata da divulgação de informações obtidas no exercício de atividade profissional, incluindo entre os tipos penais a revelação, sem justa causa, de segredo do qual se teve conhecimento em razão de função, ministério, ofício ou profissão, e cuja revelação possa causar dano a alguém (art. 154). Também é proibida ou desobrigada de depor a pessoa a respeito de fato que deva guardar sigilo profissional (Código de Processo Penal, Código de Processo Civil e Código Civil).
Na área da saúde, a privacidade e o sigilo de informações em saúde são abordadas por algumas normas setoriais e éticas.
O Código de Ética Médica (CEM) elenca, entre os seus princípios, o dever de sigilo profissional, salvo por motivo justo, dever legal ou consentimento do paciente; veda ao médico permitir o manuseio dos prontuários sob sua responsabilidade por pessoas não obrigadas ao sigilo profissional (art. 85); e proíbe também, durante o exercício da docência, a prática da medicina sem o consentimento do paciente e sem zelar por privacidade (art. 110).
A Agência nacional de Saúde Suplementar (AnS) estabeleceu um padrão obrigatório para a troca de informações em saúde entre operadoras de planos privados de assistência à saúde e prestadores de serviço, que foi denominado Padrão TISS (Troca de Informações na Saúde Suplementar), atualmente estabelecido pela resolução normativa 305 (rn 305), de outubro de 2012. Um dos componentes desse padrão é o da segurança e privacidade, que prevê os requisitos para proteção dos dados de atenção à saúde, devendo seguir a legislação vigente.
Cabe mencionar que as normas existentes relacionadas a e-Saúde demonstram preocupação com a segurança e a privacidade das informações, como a portaria 2.073/2011, sobre o uso de padrões de informação em saúde e de interoperabilidade entre os sistemas de informação do SUS e para os sistemas privados e de saúde suplementar, e a Portaria 940/2011, que regulamenta o Sistema Cartão nacional de Saúde, ambas do Ministério da Saúde. Enquanto a Portaria 2.073/2011 apenas coloca entre seus objetivos a promoção da utilização de uma arquitetura da informação em saúde de modo a permitir o compartilhamento de informações em saúde num meio seguro e com respeito ao direito à privacidade (art 2o, II), a Portaria 940/2011 especifica as regras para garantia do sigilo dos dados e das informações dos usuários SUS coletados pelo Sistema.
Também a PnIIS 2012, como mencionado, entende a importância da garantia da confidencialidade, sigilo e privacidade do que chama de “informação de saúde pessoal”, identificando a necessidade do estabelecimento de um marco legal, normativo e organizacional relacionado à segurança e confidencialidade da informação.30
Tendo em vista a legislação existente sobre privacidade no país, percebe-se a importância de um marco regulatório que estabeleça de modo mais geral os limites para o tratamento de dados pessoais, sobretudo para as informações pessoais sensíveis e de saúde, e os direitos do titular desses dados. Esse seria um primeiro passo para se garantir a proteção da privacidade num momento em que se descobre o potencial das tecnologias da informação para a prestação de serviços, como em iniciativas de e-Saúde.
Uma iniciativa que merece menção é o anteprojeto de lei (APl) de proteção aos dados pessoais, concebido pelo Ministério da Justiça e levado a discussão pública entre novembro de 2010 e abril de 2011. O anteprojeto regula o tratamento31 de dados pessoais realizado em território nacional por pessoa física ou jurídica de direito público ou privado, estabelecendo os princípios gerais e requisitos para utilização desses dados. O APl estabelece que, em regra, o tratamento de dados pessoais somente pode ocorrer mediante prévio consentimento livre e expresso do titular, o qual deve ser informado, entre outras questões, da finalidade da coleta e tratamento de seus dados, da difusão desses dados e de seus direitos como, por exemplo, o de se negar a fornecer tais dados.
O anteprojeto elenca alguns princípios gerais de proteção aos dados pessoais, entre eles:
- Princípio da finalidade: os dados pessoais somente podem ser alvo de tratamento compatível com as finalidades que fundamentaram a sua coleta e foram informadas ao titular.
- Princípio da necessidade: o tratamento dos dados pessoais deve ser limitada ao mínimo necessário, sobretudo quando a finalidade possa ser atingida com a utilização de dados anônimos ou com uso de meios que permitam a identificação do titular somente em caso de necessidade.
- Princípio do livre acesso: o titular deve poder consultar gratuitamente os seus dados pessoais e as modalidades de tratamento dos mesmos.
- Princípio da proporcionalidade: o tratamento de dados pessoais deve ocorrer apenas quando houver relevância e pertinência em relação à finalidade para a qual foram coletados.
- Princípio da qualidade dos dados: exatidão dos dados pessoais alvo de tratamento.
- Princípio da transparência: o titular deve ser informado sobre os tratamentos de seus dados, como finalidade, quais dados foram tratados e tempo de conservação dos mesmos; o anteprojeto também exige o respeito da lealdade e da boa fé objetiva no tratamento das informações (princípio da boa fé objetiva).
- Princípios da segurança e da prevenção: utilização das medidas técnicas e administrativas proporcionais ao atual estado da tecnologia, à natureza dos dados pessoais e às características específicas do tratamento a fim de proteger os dados de destruição, perda, alteração e difusão, tanto acidentais quanto ilícitas, bem como do acesso não autorizado. Ademais, tais medidas, sempre que possível, devem ser capazes de prevenir a ocorrência desses danos.
- Princípio da responsabilidade: deverão ser reparados os danos patrimoniais, morais, individuais ou coletivos causados aos titulares dos dados pessoais.
O anteprojeto possui normas específicas sobre dados sensíveis, categoria que inclui os dados de saúde. Por se tratarem de dados pessoais com potencial de gerar discriminação de seus titulares, os dados sensíveis encontram restrições para a sua inclusão em bancos de dados. O tratamento seria permitido em alguns casos, mediante prévio consentimento livre, informado e por escrito do titular, quando indispensável para o exercício legítimo das atribuições legais ou estatutárias do responsável pela utilização dos dados; quando for destinado a pesquisa histórica, científica ou estatística; quando for realizado por profissionais da área da saúde e for indispensável para a tutela da saúde do interessado; e quando for necessário para o exercício de funções próprias dos poderes de Estado.
Para a estrita observância das normas do anteprojeto é criada uma autoridade de garantia da proteção de dados pessoais. A autoridade é responsável por propor ações da política nacional de proteção de dados pessoais; receber e analisar consultas, denúncias e sugestões apresentadas por titulares de dados pessoais, entidades representativas ou pessoas jurídicas de direito público ou privado referentes à proteção de dados pessoais; e aplicar sanções, medidas corretivas e preventivas para garantir a observância das normas e princípios do anteprojeto, entre outras medidas.
Os princípios e regras previstos no APl se coadunam com os requisitos legais e regulatórios estabelecidos em legislações dos Estados Unidos, Canadá e Europa a respeito da privacidade em ambientes de alta tecnologia. Segundo estudo da Policy Engagement Initiative, da London School of Economics, tais requisitos podem, inclusive, auxiliar na própria prestação dos serviços de saúde e na incorporação de iniciativas de e-Saúde, ajudando a garantir a integridade e acurácia da informação médica presente nesses bancos de dados.32
CONCLUSÃO
Este artigo procurou apresentar brevemente um panorama das iniciativas de e-Saúde no Brasil, apontando as lacunas da legislação sobre privacidade em termos de proteção aos dados pessoais no âmbito da saúde. Os sistemas de e-Saúde, um campo marcado pela diversidade de tecnologias e aplicações, envolve o tratamento de diferentes tipos de dados pessoais e para finalidades distintas.
Num momento em que se discute a implementação de iniciativas como o Cartão nacional de Saúde, que inclui o registro eletrônico de saúde dos usuários dos sistemas de saúde, e a adoção de prontuários eletrônicos pelas unidades de saúde, é preciso que sejam acompanhadas de regras claras sobre o tratamento dos dados e informações de saúde. A portaria 940/2011 do MS possui dispositivos específicos sobre o sigilo das informações dos usuários vinculadas ao Cartão nacional de Saúde, mas outras legislações são exigidas para regular o tratamento de informações pessoais de saúde em outras iniciativas.
É importante que as iniciativas e políticas de e-Saúde, como a PnIIS 2012, que já identificam a importância de um marco legal relacionado à segurança e à confidencialidade da informação, estejam integradas a outras iniciativas do próprio governo envolvendo a regulação das tecnologias de informação e comunicação e o tratamento de dados pessoais. Um marco normativo para proteção dos dados pessoais beneficiaria sem dúvida o setor da saúde ao prever princípios e regras que assegurem, por exemplo, que apenas as informações relevantes sejam coletadas e sejam armazenadas com o devido cuidado.
É claro, além das medidas legais, outras são igualmente primordiais para se garantir a privacidade dos pacientes no âmbito dos sistemas de e-Saúde. Assim, a adoção de tecnologias baseadas em conceitos como privacy-enhancing, privacy assessment impact e privacy-by-design, e normas que regulem a nível profissional a confidencialidade e a privacidade das informações dos pacientes e usuários dos sistemas de saúde, inclusive com medidas de educação dos profissionais envolvidos no tratamento dos dados pessoais, podem ser úteis.33