A privacidade de dados sensíveis é um dos fatores que mais despertam preocupação nas instituições de Saúde quando o assunto é o uso do PEP. A boa notícia é que essa solução é segura e, quando operada por profissionais bem treinados, traz a garantia de segurança para os pacientes e empresas

Os pacientes e seus dados são, sem dúvida, o ativo mais valioso para as organizações de Saúde. Porém, a troca de informações entre uma variedade de fontes e entidades faz com que a segurança da privacidade se torne um fator crítico e venha recebendo cada vez mais atenção, principalmente com a criação da Lei Geral de Proteção de Dados (LGPD). 

Assim como em tantos processos na área da Saúde, o prontuário também evoluiu e tornou-se eletrônico há algum tempo. Utilizado para o registro, armazenamento e controle digital de todos os dados pessoais e do histórico de saúde dos pacientes, o Prontuário Eletrônico do Paciente (PEP) tem diversas vantagens sobre o documento em papel. Além de ser mais bem organizado e fácil de acompanhar, tornando o trabalho mais ágil, a versão digital do prontuário ajuda a reduzir erros médicos, refletindo na melhora da qualidade do atendimento. O risco de perda de documentos ou de amplo acesso às informações por pessoas indevidas também é quase nulo. Sem falar no caráter sustentável proporcionado pela eliminação do papel e na economia de espaço de armazenamento físico. Afinal, prontuários devem, por lei, ser arquivados por, no mínimo, 20 anos.  

Outra grande vantagem do PEP é que ele facilita a conformidade com a LGPD, “uma vez que as informações coletadas, armazenadas e processadas nesse segmento são consideradas pessoais e sensíveis, requerendo um tratamento ainda mais rigoroso”, explica Luís Mateus da Silva Matos, professor dos cursos de MBA em Cibersegurança e do curso de Defesa Cibernética do Centro Universitário FIAP. 

O fator segurança 

Apesar de todos esses benefícios, o PEP realmente traz a segurança necessária para pacientes e instituições? A resposta é sim: o prontuário eletrônico é uma solução segura de armazenamento de dados médicos, que oferece múltiplas camadas de proteção para garantir a integridade deles.   

Segundo Matos, a Lei 13.787/18 é muito clara ao estabelecer diretrizes sobre a digitalização e a utilização de sistemas informatizados para guarda, armazenamento e manuseio de prontuários. “Para que o prontuário eletrônico possa ser aderente à legislação, a implementação de tecnologias de segurança é fundamental para mitigar o vazamento de dados”, conta. Dentre as tecnologias mais utilizadas para a segurança dos dados, o professor destaca as seguintes:  

- A criptografia, técnica que torna um documento praticamente inviolável; 

- Os certificados digitais, que fazem o controle de identidade dos profissionais que têm acesso aos documentos, garantindo uma confiabilidade muito maior do que uma simples assinatura manual; 

- Um sistema de armazenamento seguro, para que os dados estejam disponíveis quando necessário.  

O acesso ao PEP, no entanto, deve ser restrito aos profissionais ligados aos cuidados da saúde, como médicos, enfermeiros, auxiliares e dentistas. E só pode ser fornecido mediante autorização do paciente, responsável legal ou em casos judiciais. “O monitoramento do PEP é realizado por meio dos certificados digitais, que evitam fraudes de identidade que eventualmente possam ser cometidas por quem não tem acesso ao programa”, lembra Matos.  

Além dos programas que permitem a identificação do profissional ou da instituição, data e horário do acesso ao sistema, existem recursos de segurança que permitem a restrição do uso do software médico, fazendo com que o gestor do consultório defina quais membros da equipe podem fazer conexão com o sistema e quais serão os limites dessa utilização.   

O fator humano  

Embora a ferramenta tecnológica, em si, seja segura, a falha humana pode levar a uma quebra na privacidade do paciente. “A falta de uma política madura de proteção pode comprometer a segurança de qualquer tipo de solução de tecnologia, incluindo o prontuário eletrônico. Um funcionário não autorizado pode ter acesso a dados por meio de uma tela de sistema e isto pode ser tão prejudicial quanto um ataque de cibercriminosos”, diz o professor da FIAP. 

Para a LGPD e a Lei do Prontuário Eletrônico (Lei 13.787), o acesso não autorizado às informações do paciente caracteriza-se como sendo uma clara violação de dados, um roubo de identidade, por exemplo, que podem levar as empresas de saúde a sofrer multas e outros litígios civis, fora as perdas de dinheiro e credibilidade. 

Em geral, os motivos mais comuns que levam à violação de dados são as senhas fracas; a exploração de vulnerabilidades de softwares pouco seguros; computadores e dispositivos móveis roubados ou perdidos; usuários que se conectam a redes não autorizadas e a obtenção de dados sigilosos de usuários por informações encontradas em redes sociais, técnica conhecida como engenharia social.  

Por isso, antes de implementar a ferramenta, é preciso considerar todos os pontos que auxiliem na segurança, como treinamento constante sobre uma interação responsável com os dados e sobre os riscos envolvidos com a cibersegurança.