MÓDULO 2 | AULA 3 Aspectos éticos no registro da Mpox com ênfase nos ambientes digitais
Cuidados com o tratamento de dados de usuários da Atenção Primária em Saúde
A legislação que norteia uso de dados e informações é, em primeiro lugar, a Lei nº 12.527/2011, que regulou o direito constitucional ao acesso às informações públicas. O artigo 2º dessa lei diz que o Estado deve garantir o direito de acesso à informação utilizando-se para isso de mecanismos dotados de agilidade, de forma transparente e com linguagem acessível a toda a população. O artigo 31, determina que as informações devem ser tratadas de modo transparente, respeitando intimidade, vida privada, honra e imagem das pessoas, bem como suas liberdades e garantias individuais. No caso da APS, tais aspectos devem ser observados tanto na produção de informações via fonte de dados oficiais, como no prontuário, e nas não oficiais, como anotações em aplicativos de mensagens.
No contexto atual, os registros e informações são produzidos em grande volume. O mesmo ocorre com o tratamento deles, e inclui informações sensíveis. Desse modo, surgem alguns desafios à proteção da privacidade dos usuários do sistema de saúde, como aqueles relacionados ao “vazamento” e ao acesso indevido a dados pessoais.
Veja esta manchete de 2020 sobre falha no sistema do Ministério da Saúde:
A ausência de gestão arquivística desses registros e informações possibilita que ocorram sua manipulação e divulgação pública, acidental ou intencional, sem autorização. Em caso de vazamento de dados pessoais, ao se tornarem públicos, provocam desconfiança por parte dos cidadãos em relação à instituição que permitiu a difusão das informações, e do próprio SUS. Lembre-se do caso das fraudes encontradas no CONECTE SUS, dos casos de vazamento e perda de dados no Ministério da Saúde.
Aos dados produzidos pelas instituições de saúde, que registram os atendimentos recebidos e outras atividades vinculadas, estamos chamando de dados de saúde. Esses dados pertencem à pessoa que recebeu o atendimento (paciente) e só podem ser usados mediante o seu consentimento. Eles são vistos como mais valiosos do que dados de cartões de crédito, pois os dados nesse documento podem expirar ou ter seus números cancelados, enquanto os registros e informações de saúde são vistos como permanentes.
Essa discussão nos leva justamente ao aprofundamento do tema envolvendo privacidade, segurança e proteção dos dados em saúde. Para finalidades como essas, a Lei Geral de Proteção de Dados (LGPD) permite que os dados de pacientes sejam usados, desde que de maneira anônima. Quando a identificação é necessária, é preciso pedir autorização expressa a cada usuário. É um direito das pessoas serem informadas como e para que os seus dados serão utilizados para além do cuidado assistencial prestado. Dados de saúde têm duas faces:
- Uma é a da privacidade, que exige o comprometimento de todos que são responsáveis por protegê-los — profissionais de saúde (tanto de nível médio quanto de nível superior), gestores, instituições de saúde e usuários dos serviços;
- A outra é a do acesso a esses dados quando eles se revertem para o cuidado da saúde do próprio indivíduo, para estudos que impulsionam os avanços da saúde coletiva e medicina e para pautar políticas públicas.
A fim de que sejam utilizados, os dados sensíveis devem ser tratados para se retirar a possibilidade de identificação de seus donos. Essa descaracterização chama-se “anonimização”. Para que os dados possam ser acessados sem anonimização é necessário que o titular dos dados ou o responsável por eles autorize seu uso.
Em alguns casos pode ocorrer o acesso sem consentimento:
- Cumprimento de obrigação legal ou regulatória pelo controlador dos dados (aqui faz-se referência a alguma situação jurídica, definida por uma lei ou regulamento);
- Tratamento compartilhado de dados necessários à execução, pela Administração Pública, de políticas públicas previstas em leis ou regulamentos;
- Realização de estudos (pesquisa científica, histórica, estatística ou tecnológica) por órgão de pesquisa (órgão de pesquisa devidamente registrado), garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Proteção da vida ou da incolumidade física (condição do ser humano de estar ileso, livre do perigo ou dano) do titular ou de terceiros (empresa que coleta ou trata dados pessoais e seus trabalhadores);
- Tutela da saúde (deve ser interpretada amplamente, ultrapassando os limites do sistema jurídico e entendendo que inclui qualquer procedimento) em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- Tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso às bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico. Tais práticas devem incluir, sempre que possível, a anonimização ou pseudonimização dos dados (processo de remover identificadores pessoais dos dados e substituí-los por valores de marcadores de posição), bem como considerar os devidos padrões éticos relacionados a estudos e pesquisas. Deve ser destacado, lembrando-se da característica arquivística, que os dados e informações precisam ser gerenciados e preservados, assim como o tratamento dado a eles.
Vejamos agora informações e assuntos importantes:
É tudo aquilo que diz respeito à vida particular de cada indivíduo. São os dados e informações relacionados à intimidade e que não estão sujeitos a serem acessados sem que haja autorização para tal. Já a proteção de dados envolve o armazenamento dos dados e informações, e, quando se referirem à vida privada do indivíduo, sua proteção deve seguir as linhas do sigilo, que envolvem privacidade. A proteção envolve métodos e técnicas para garantir que não haja acesso indevido.
O comportamento do usuário é regularmente monitorado on-line. Os cookies geralmente registram as atividades de um usuário e, embora a maioria dos países exija que os sites alertem os usuários sobre o uso de cookies, eles podem não estar cientes de até que ponto os cookies estão registrando suas atividades.
Com tantos serviços on-line de uso comum, os indivíduos podem não estar cientes de como seus dados estão sendo compartilhados para além dos sites com os quais interagem on-line e podem não ter influência sobre o que acontece com essas informações.
Para usar aplicativos da web, os usuários geralmente precisam fornecer dados pessoais como nome, e-mail, número de telefone ou localização; enquanto isso, as políticas de privacidade associadas a esses aplicativos podem ser densas e difíceis de entender.
É mais fácil que nunca encontrar alguém online usando plataformas de redes sociais, mas as postagens em redes sociais podem revelar mais informações pessoais do que os usuários imaginam. Além disso, as plataformas de redes sociais geralmente coletam mais dados do que os usuários têm consciência.
Muitos invasores tentam roubar dados de usuários para cometer fraudes, comprometer sistemas seguros ou vendê-los em mercados clandestinos para partes que os usarão para fins maliciosos. Alguns invasores usam ataques de phishing para tentar induzir os usuários a revelar informações pessoais; outros tentam comprometer os sistemas internos das empresas que contêm dados pessoais.
Para saber mais sobre crimes cibernéticos separamos duas leituras complementares: