Dados pessoais e saúde pública
- Criado em 13/08/2019 Por LinkLei
Uma regulação (ainda) insuficiente para a segurança dos dados
de aparelhos eletrônicos médicos
Em dezembro de 2018, a Apple lançou atualização muito aguardada para o Apple Watch. Com a nova versão, consumidores podem fazer testes de eletrocardiograma (ECG) com o relógio. Após seguir as instruções, a Apple notifica o usuário acerca do resultado. O revolucionário teste de ECG do Apple Watch já impactou a vida de centenas de pessoas, entre elas um consumidor que alegou ter sido notificado de potencial doença cardiovascular (atrial fibrillation) que fora confirmada por médicos nos EUA. O diagnóstico eletrônico pode ter salvado a sua vida[1].
O exemplo do Apple Watch é apenas o começo de um ecossistema em IoT (Internet of Things) que promete mudar a dinâmica entre consumidor, provedores de produtos e serviços de saúde e agencias reguladoras (como a ANVISA). Estima-se que o impacto de tecnologias, como ECG do Apple Watch, vai girar investimentos de cerca de US$ 136,8 bilhões pelo mundo nos próximos anos. O avanço de IoT na área de saúde é tão aguardado que ganhou termo específico: IoMT (Internet of Medical Things).
Infelizmente, com o avanço da IoMT um outro problema aparece: ataques cibernéticos focados no setor de saúde pública. Nos últimos meses, setores como hoteleiro, varejo, aviário, anunciaram problemas de vazamentos de dados, em virtude de ataques, que impactaram milhões de pessoas. Na saúde o problema é ainda maior. Na medida em que crescem as possibilidades de monitoramento e controle de saúde através de equipamentos, cresce a preocupação com segurança dos dados frente a ataques cibernéticos.
Nos EUA, a agência reguladora de saúde norte-americana (FDA), publicou em outubro de 2018 consulta pública sobre potenciais atualizações das diretrizes para cybersecurity (Guidance on Content of Premarket Submissions for Management of Cybersecurity in Medical Devices”). O guia aponta que as empresas devem seguir o guia da National Institute of Science and Technology (NIST) ao desenvolver seus produtos. As bases do guia para o desenvolvimento de produtos são: (i) coibir qualquer uso não autorizado; (ii) garantir a integridade do programa, dos dados e da execução; e (iii) proteger a confidencialidade dos dados.
Fora isso, os produtos são categorizados conforme seu nível de segurança: nível 1 para maior risco, considerados produtos capazes de se conectar em outro dispositivo (médico ou não) ou em rede, bem como aqueles que eventual ataque teria impacto direto na saúde do paciente. Os demais produtos seriam categorizados como nível 2. Para o nível 1, diversos requisitos devem ser apresentados ao FDA, enquanto para o nível 2, basta comprovar que não há risco de falha cibernética.
No Brasil, a questão dos dados pessoais e da saúde pública passa pelo Sistema Único de Saúde. O SUS, por gerir muitos dados, lida com risco elevado de invasões e de vazamento de dados. Em julho de 2016, veio à tona a notícia de que uma falha de segurança expôs dados pessoais de milhares de pacientes da rede pública de saúde na cidade de São Paulo, incluindo detalhes de prontuários médicos. Em 2018, foi tornado público que o aplicativo E-Saúde, do Ministério da Saúde, possuía uma brecha de segurança que expôs, durante mais de sete meses, informações sobre a saúde de diversos cidadãos brasileiros.
Os órgãos reguladores também não estão alheios aos riscos. Na ANVISA, a Roche Diagnóstica Brasil Ltda >recomendou uma atualização de software dos dispositivos(Sistemas Accu-Chek® Inform II, cobas h 232, CoaguChek® Pro II e CoaguChek®XS Plus/XS Pro) para melhorar a segurança cibernética. Em outro caso, >da Medtronic, foram identificadas possíveis vulnerabilidades de cibersegurança relacionadas a essas bombas de insulina MiniMed™ 508 e MiniMed™ Paradigm™. Em ambos os casos, foram recomendadas medidas para evitar invasão dos dispositivos.
A lei brasileira de proteção de dados (LGPD ou Lei 13.707/2018) estabelece no art. 5º, II, que dados referentes à saúde são considerados dados pessoais sensíveis. Dessa forma, sistemas de cadastro, como os detidos pelo SUS, estariam tutelados pela LGPD, requerendo especial cuidado e uma série de condições, dentre elas a devida proteção em caso de ataques cibernéticos.
Um exemplo é a vedação prevista no art. 11, § 4º, em que o compartilhamento de dados sensíveis referentes a saúde não pode ser feito com o objetivo de obter vantagem econômica, salvo em casos excepcionais. As exceções a esta vedação compreendem hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, além da portabilidade de dados solicitada pelo titular e das transações financeiras e administrativas resultantes do uso e da prestação dos serviços.
Apesar da previsão, a regulação nos parece insuficiente. A segurança dos dados de aparelhos eletrônicos médicos precisa de uma atenção especial em virtude do potencial dano de eventual vazamento de dados sensíveis. Os casos relatados na mídia e em portais oficiais já dão indícios suficientes que é preciso regular de forma mais inteligente e direcionada os dados em tais casos. A LGPD foi o ponto de partida, mas é preciso uma regulação setorial.
_______________________________________________________________
[1] https://9to5mac.com/2018/12/07/apple-watch-ecg-saves-life/
ANA LUÍZA CALIL – Professora de Direito Administrativo da UFRJ. Mestre em Direito Público (UERJ). Membro fundador do Laboratório de Regulação Econômica da UERJ. Associada no Licks Advogados.
ROBERTO RODRIGUES PINHO – LLM Stanford University. Associado no Licks Advogados.
EDUARDO HALLAK – Sócio no Licks Advogados
DOUGLAS LEITE – Mestrando em Direito da Regulação pela FGV DIREITO RIO. Associado no Licks Advogados
FONTE: https://www.jota.info/tributos-e-empresas/regulacao/dados-pessoais-e-saude-publica-13082019