O setor é um dos que mais precisa preparar sua infraestrutura para a adoção da regulamentação
A LGPD (Lei Geral de Proteção dos Dados) entrará em vigor, com todos os seus efeitos jurídicos, em agosto de 2020, ou seja, em pouco mais de um ano. Assim, a urgente necessidade de uma cultura voltada à Segurança da Informação é fundamental para melhorar a infraestrutura, processos e comportamentos (pessoas), para salvaguardar não apenas a saúde de cada paciente, mas também as suas informações.
As informações sobre a saúde de cada paciente estão protegidas pelo sigilo médico. No entanto, a informatização dos dados do paciente, que vem acontecendo em uma escala cada vez maior, abre espaço para o vazamento dessas informações de forma muito mais devastadora. Assim, pode-se reconhecer que a evolução da tecnologia ocasionou um upgrade e impulsionou alguns tipos de crimes, antes restritos tão somente ao “mundo real”.
Nesta era digital, quando a Internet oferece vários meios de troca de mensagens e comunicações de dados, voz e multimídia – por meio de uma rede de telecomunicações muito mais aberta do que a rede pública de telefonia comutada – e a conduta do ser humano sendo inerente a ele, independentemente do ambiente em que ele se relaciona, a responsabilidade recai ainda mais sobre os responsáveis pela Segurança da Informação.
O sigilo médico, reconhecido como uma prática necessária desde a origem do próprio ofício da medicina, não foi e não é suficiente para evitar o vazamento de informações, em alguns casos, por profissionais da própria área. Isso torna possível, muitas vezes, acompanhar, na mídia, pessoas públicas tendo suas vidas expostas através de prontuários médico, exames, laudos etc, seja pelo prestígio/fama que possui ou posição de liderança/política que ocupa. O interesse em obter tais informações pode variar desde a mera ridicularização, especulação ou até mesmo interesses mais sórdidos. Assim, qualquer instituição, seja pública ou privada, que lida com informações sigilosas de pacientes, deve zelar por estes dados da mesma forma que zelaria por um diamante precioso.
Além dos vazamentos “a granel”, há também os vazamentos em massa. Recentemente em Singapura, os dados confidenciais de 14.200 pessoas diagnósticas com HIV, inclusive visitantes estrangeiros, foram vazados. Independentemente das circunstância e seus respectivos responsáveis, o vazamento de informação na área da saúde, como em qualquer outra área, é inadmissível.
Um ambiente, seja real ou virtual, onde o sentimento de impunidade prevalece, gera a percepção “aqui é terra de ninguém” e embates com “leis próprias” são e serão estabelecidos, inevitavelmente. A LGPD é uma ação concreta do governo para sinalizar que não deixará impune a falta de cuidado, desleixo ou negligência por parte das instituições, seja pública ou privada, em proteger, entre outras questões, os direitos fundamentais de privacidade.
Da mesma forma que um médico não prescreve um remédio ou tratamento sem antes fazer um diagnóstico detalhado no paciente, o responsável pela Segurança da Informação não deve sugerir a implementação de novos controles, processos ou até mesmo adquirir novas ferramentas, sem antes fazer um diagnóstico completo nos processos e na infraestrutura que suporta os serviços de saúde prestados. Sendo assim, uma das formas possíveis para diagnosticar a “saúde” da infraestrutura de rede é realizar um PenTest (Penetration Testing).
Os PenTests funcionam como ataques reais controlados, com o benefício de serem realizados por profissionais de Segurança da Informação e sem prejudicar os servidores e aplicações em questão. Com um levantamento completo das vulnerabilidades exploradas e uma análise sobre quão expostos estão os dados sensíveis, com certeza, será possível definir ações mais efetivas (custo/benefício) na sua infraestrutura.
Além disso, as resoluções publicadas pelo CFM (Conselho Federal de Medicina), tais como a resolução no 2.178/2017, que regulamenta o funcionamento de aplicativos que oferecem consultas médicas em domicílio e, mais recentemente, no dia 06 de fevereiro de 2019, a resolução no 2.227/2018 que define e disciplina a telemedicina no Brasil, com certeza trazem novos desafios à privacidade dos dados dos pacientes e controles mais rígidos de acesso devem ser estabelecidos.
Porém, as divergências e discussões estão tão intensas que a própria resolução de Telemedicina foi revogada no dia 22 de fevereiro de 2019. Enquanto a incerteza permanece, nos resta participar das discussões para garantir que os dados relacionados a saúde de cada paciente sejam, na prática, tratados como dados sensíveis, assim como define a LGPD.
*Andreia Goll, gerente de conta do segmento de saúde da Redbelt
