A utilização de soluções tecnológicas na área da saúde acontece em um ritmo nunca observado antes, contribuindo muito para enfrentarmos o atual momento de pandemia. A adoção da Telemedicina, já utilizada antes da crise, é crescente, porém como qualquer outra inovação, surgem algumas dúvidas em relação ao seu uso e, principalmente, à segurança das plataformas e até à própria legislação vigente. Uma delas é a “certificação HIPAA”, oferecida por algumas empresas no Brasil. Neste post, vamos esclarecer alguns pontos importantes em relação à real necessidade e aplicação da certificação em território nacional.
O que dizia a lei brasileira e como era antes da pandemia?
A Telemedicina foi autorizada pelo Ministério da Saúde em abril de 2020 em caráter excepcional, por meio da Lei 13.989, aprovada pelo Congresso e sancionada pelo Presidente da República. A legislação respondeu a uma demanda por atendimentos a distância no contexto da pandemia. Uma complementação aprovada em novembro do mesmo ano permitiu que após o fim da emergência sanitária, essas práticas sejam regulamentadas pelo Conselho Federal de Medicina (CFM).
Empresas brasileiras devem seguir uma lei americana?
As empresas brasileiras devem seguir a regulamentação vigente no país. Portanto, a resposta é não. Porém, a HIPAA serviu como um exemplo importante de segurança da informação, quando o Brasil ainda não tinha uma legislação clara dedicada ao assunto. Assim como no Brasil, a lei americana exerceu um papel de padrão global de normas, já que entre os requisitos mandatórios estabelecidos pela HIPAA estão: garantir a confidencialidade, integridade e disponibilidade de todos os prontuários que eles criam, recebem, mantém ou transmitem; proatividade em identificar e proteger contra ameaças cibernéticas antes delas acontecerem e proteção contra o mau uso ou divulgação de relatórios não permitidos.
Considerando os pontos mencionados, a certificação HIPAA não deve ser confundida com formas de certificação legalmente reconhecidas para profissionais de saúde no Brasil, como o programa de Conscientização e Treinamento de Segurança e a própria Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020.
LEIA TAMBÉM
O que é LGPD e como se adequar
O que significa ser “HIPAA Compliant” no Brasil?
Essa é uma abordagem comumente utilizada por empresas de softwares brasileiras, porém é importante entender que na prática, para ser HIPAA Compliant é preciso ser uma empresa americana, que siga as leis vigentes naquele país. Muitas vezes, essas empresas brasileiras estão em um datacenter certificado HIPAA, ou seja, têm um parceiro americano, que atende a essa lei. No entanto, nem o aplicativo, nem a infraestrutura do fornecedor, nem mesmo a operação do aplicativo são certificados. Além disso, é importante observar que a certificação HIPAA não é vista como obrigatória pelo governo dos Estados Unidos e não isenta as organizações de nenhum dos requisitos HIPAA encontrados nas Regras de privacidade e segurança.
Antes da regulamentação da telemedicina no Brasil e da aprovação da Lei Geral de Proteção de Dados (LGPD), os profissionais brasileiros tinham como referência a HIPAA, dos Estados Unidos, ou General Data Protection Regulation (GDPR – da Europa). Essas entidades regem as leis da telemedicina naqueles países e prezam pela segurança e criptografia de dados. Hoje, a LGPD é a lei que regulariza o ambiente digital no Brasil, visando eliminar o uso do mercado de dados pessoais para fins comerciais sem a autorização do usuário. Por isso, no Brasil, é necessário que as plataformas de telemedicina operem de acordo com a Lei Geral de Proteção de Dados, que impõe uma série de sanções para as empresas de tecnologia e prestadoras de serviços médicos que não cumprem as normas.
Segurança não é opção, é lei!
As instituições de Saúde têm como obrigação seguir as deliberações e resoluções do Conselho Federal de Medicina (CFM), conforme as disposições e os deveres do Código de Ética Médica. Porém, com a entrada em vigor da LGPD, em agosto de 2020, a questão passou para a esfera cível.
Sob a perspectiva da LGPD, as instituições, como clínicas médicas, têm apenas a guarda dos dados e são responsáveis por zelar pela sua integridade, segurança e confidencialidade.
Com exceção de bancos e instituições financeiras, poucos estabelecimentos coletam tantos dados pessoais e dados sensíveis em um procedimento de rotina. Como guardiões dos dados dos pacientes, os gestores realmente sabem se as soluções de telemedicina, softwares médicos e outras plataformas que utilizam são confiáveis ?
Então, o que profissionais de saúde devem considerar em relação à segurança das soluções de telemedicina no Brasil ?
Dentre os requisitos legais exigidos pela lei brasileira para o teleatendimento estão o uso de tecnologias que garantam a integridade, segurança e sigilo de informações de médicos e pacientes. Além disso:
- Toda a consulta deve ser registrada em prontuário, com indicação de data, hora, tecnologia utilizada e o número do Conselho Regional Profissional do médico e sua unidade da federação.
- Impressos, como receitas e atestados, devem ser assinados digitalmente por meio de certificados e chaves emitidos pela Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil
- Criptografia das informações sensíveis;
- Termo de consentimento;
- Ferramenta de monitoramento de qualidade de rede automatizado.
O desenvolvimento e a adoção de inovações tecnológicas é acelerado e, muitas vezes, não permite que o entendimento de segurança chegue aos usuários. Ainda existe uma falta de conhecimento de variáveis tecnológicas que afetam diretamente o mercado da saúde, já que os médicos têm responsabilidade direta sobre as informações de seus pacientes e para qual fim elas estão sendo utilizadas. Por isso, é fundamental ir além das comunicações feitas pelas empresas para se ter um entendimento mais profundo das questões de segurança e tomar uma decisão responsável. As consequências da violação de privacidade nunca foram tão sérias (ainda bem !).