O dano pode ser enorme, e os médicos e outros profissionais e instituições de saúde os utilizam sem avaliar adequadamente e tomarem iniciativas para protegerem-se”, afirma Renato M.E. Sabbatini, PhD, CPHIMS, FIAHSI
Em um desses dias, recebi uma pergunta de um amigo, que também é analista de sistemas na área de saúde, sobre a legalidade do uso do WhatsApp, Skype, Messenger e outros comunicadores instantâneos que funcionam com celulares, para comunicação entre médicos, clínicas, hospitais, laboratórios, etc. e os pacientes.
Ele me mandou uma foto de uma receita enviada pela UBS de uma prefeitura pelo WhatsApp para a paciente, completa com seu nome, cartão do CNS, nome e CRM da médica que receitou. Segundo ele, a UBS também envia resultados de exames do mesmo jeito, agendamentos de consultas, entre outras informações relativas ao atendimento do paciente.
Sabemos também que quase todos os médicos estão se comunicando com seus pacientes por WhatsApp, que é um aplicativo muito popular, e que praticamente todo mundo tem, inclusive intercambiando dados privativos de saúde, modificando dosagens de medicamentos (como insulina!) e recebendo e enviando resultados de exames, dando orientações e diagnósticos. Especificamente para médicos, o Conselho Federal de Medicina já tem uma resolução a respeito, desde 2011, e um parecer técnico-jurídico para o uso de WhatsApp, de 2016 (veja as referências ao final do artigo).
Minha resposta: tudo isso é totalmente proibido, e altamente arriscado para quem participa, mas, principalmente, para o médico. E aqui vão os motivos:
1. Embora muitos médicos justifiquem o seu uso com base na informação que as transações ponto-a-ponto do WhatsApp são protegidas por criptografia, embora isso seja verdade, não é tudo. Isso dá uma sensação de boa segurança para o usuário, mas não é o caso. Esquecem-se que todas as informações ficam registradas tanto no aparelho do paciente quanto do paciente, em forma não criptografada, e normalmente com login e senha implícitos, ou seja sem proteção. Qualquer pessoa que tiver acesso ao celular (por roubo, por exemplo), também conseguirá visualizar todas essas informações confidenciais e sigilosas, segundo a Constituição Brasileira e o Código de Ética Médica
2. Essas informações deveriam ser registradas no Prontuário Eletrônico e não ficarem soltas na memória de um aplicativo que não é certificado para uso médico. Por lei (Lei Federal 13.787, de dezembro de 2018), os dados de saúde precisam residir em um PEP, apenas, e serem assinados digitalmente pelo autor ou registrador da informação dada pelo paciente ou por ele, que digam respeito a dados de identificação pessoal e de saúde. Tudo o que for registrado como intercâmbio de informação dessa natureza PRECISA ser preservado e identificado, se o causídico não quiser ter sérios problemas no futuro.
3. As informações do WhatsApp podem ser facilmente compartilhadas para outras pessoas ou grupos, e não se sabe para quem! Uma situação perigosíssima para o médico e o paciente, como se viu no caso da D. Marisa Lula da Silva, cujo exame de tomografia craniana foi divulgada num grupo só de médicos do WhatsApp, mas que em questão de minutos espalhou-se para milhões de pessoas. Além disso, sabemos que “hackers” já conseguiram penetrar facilmente nos celulares e acessar os arquivos de WhatsApp e Telegram, ou clonar contas nesses aplicativos. Portanto, não existe garantia nenhuma de manter-se a confidencialidade e a privacidade/sigilo desses dados.
Uma solução seria apagar toda a informação trocada com o paciente ou com outros profissionais de saúde logo após o seu uso, e fazer uma impressão ou cópia para o PEP (assinadas, respectivamente, por uma assinatura física e carimbo do médico no primeiro caso, ou assinadas digitalmente, no segundo caso).
Porém não há como ter certeza que a outra parte apagou, copiou, ou em uma situação mais radical, tenha alterado as mensagens, por má fé.
Se o médico for processado com base nesse intercâmbio de informação, por exemplo, não terá como apresentar documentação comprobatória, e certamente perderá o processo (inclusive no CRM), por não ter seguido as normas de documentação clinica eletrônica.
Outra solução é ativar a entrada obrigatória de login e senha toda vez que for entrar no app, com autenticação de dois níveis (entrar outro número enviado pelo aplicativo para o celular, para cada nova sessão)
Esses são os aspectos “feios e malvados” da comunicação para fins clínicos usando comunicadores instantâneos. O dano pode ser enorme, e os médicos e outros profissionais e instituições de saúde os utilizam direto, simplesmente sem avaliar adequadamente e tomarem iniciativas para protegerem-se. È um erro.
Finalmente, é importantíssimo, como tenho alertado em outros artigos e palestras sobre o tema de segurança de informação de dados pessoais, que a Lei Geral de Proteção de Dados (LGPD) é especialmente rigorosa com relação a todos esses usos (inclusive outras formas de comunicação, como correio eletrônico).
Violações poderão ser punidas com multas extremamente altas, processos por danos materiais e morais, além da possibilidade de bloqueio do banco de dados e a proibição de utilização do mesmo até que a situação tenha sido corrigida e comunicada.
A conclusão é: nunca use comunicadores instantâneos e correio eletrônico inseguros e não assinados digitalmente para intercâmbio de informação clínica.
Utilize sempre aplicativos de comunicação seguros integrados com o Prontuário Eletrônico do Paciente (PEP), protegido por criptografia, e notifique o paciente que deseja utilizar, solicitando que ele assine um consentimento livre e esclarecido (CLE) sobre o uso e as garantias de privacidade e confidencialidade desse tipo de recurso! Esse CLE também deve ser assinado digitalmente pelo médico e armazenado no próprio PEP.
Assegurar a conformidade (“compliance”) com todas essas regras e certificações é um trabalho sério e profissional, e todos os profissionais envolvidos devem conhecê-las e saber como agir, como gerentes de informática, CIOs, diretores executivos (CEOs, CTOs), diretores clínicos, etc.
Também recomendamos que as instituições e empresas de saúde (inclusive startups de healthtech) sempre utilizem PEPs seguros, certificados pelo processo da Sociedade Brasileira de Informática em Saúde (SBIS) para os níveis básicos mínimos de segurança dos sistemas de registro eletrônico de saúde, em acordo com a Resolução 1821/2007 do Conselho Federal de Medicina, inclusive quanto ao uso do certificado digital para assinatura de documentos eletrônicos com confidencialidade, integridade a autenticidade.
Para Saber Mais
- Resolução CFM sobre o uso de redes sociais para comunicação médica: https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2015/2126
- Parecer-Consulta 50/2016: Uso do WhatsApp no ambiente hospitalar: https://sistemas.cfm.org.br/normas/visualizar/pareceres/BR/2017/14
- Resolução CFM 1821/2007 sobre níveis de garantia de segurança do prontuário médico eletrônico: http://www.portalmedico.org.br/resolucoes/CFM/2007/1821_2007.pdf
- Certificação de Sistemas de Registro Eletrônico de Saúde. Versão 4.3. São Paulo: Sociedade Brasileira de Informática em Saúde, 2018; http://www.sbis.org.br/certificacao-sbis
- Lei 13.709/2018: Lei Geral de Proteção de Dados Pessoais: Brasília, Presidência da República: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
- Lei 13.787/2018 de Digitalização do Prontuário de Paciente, Brasília, Presidência da República: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13787.htm
- Sabbatini, Renato M.E.: Sanções Extremamente Severas Voltam à LGPD: Instituições de Saúde Ignoram Riscos Altíssimos. Revista de Segurança da Informação em Saúde, https://medium.com/seguran%C3%A7a-da-informa%C3%A7%C3%A3o-em-sa%C3%BAde/san%C3%A7%C3%B5es-extremamente-severas-voltam-%C3%A0-lgpd-institui%C3%A7%C3%B5es-de-sa%C3%BAde-ignoram-riscos-alt%C3%ADssimos-f26cbdbd311b
- Sabbatini, Renato M.E.: Privacidade e Proteção dos Dados Pessoais: Como a LGPD Irá Afetar as Informações de Saúde. Fórum de Saúde Digital, 31 agosto 2019. Disponível na Internet. URL: https://forumsaudedigital.com.br/privacidade-e-protecao-dos-dados-pessoais-como-a-lgpd-ira-afetar-as-informacoes-de-saude/
O Prof. Renato M.E. Sabbatini é uma das maiores autoridades internacionais em tecnologias de informação em saúde, e um dos poucos brasileiros que são Fellows (membros fundadores) da prestigiosa International Academy of Health Sciences Informatics (IAHSI).