Mesmo com todo o avanço em tecnologia e legislação, a área da Saúde enfrenta mais desafios na digitalização e no armazenamento de dados do que outros segmentos de mercado. Além de manter informações financeiras e de recursos humanos, as empresas de Saúde precisam arquivar dados de saúde, classificados pela Lei Geral de Proteção de Dados (LGPD) como sensíveis.
A LGPD D especifica “como informações sensíveis” origem racial ou étnica, convicções filosóficas ou religiosas, opiniões políticas, questões genéticas, biométricas sobre saúde ou a vida sexual. Além dessas, as informações pessoais também precisam ser mantidas de forma apropriada.
Embora a nossa legislação tenha sido influenciada pelo conjunto normativo norte-americano em relação à segurança médica, o conceito de informação sensível no Brasil é mais amplo do que nos Estados Unidos – que conceitua especificamente quais os dados médicos precisam ser protegidos.
Em 1966 foi criado nos EUA o Health Insurance Portability and Accountability Act – HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde, em português) para assegurar a confidencialidade, integridade e disponibilidade na proteção de informações dos pacientes como: diagnóstico, número do seguro social, tratamento, exames, prescrição médica, faturas de cobrança, entre outros. Conhecer como as empresas norte-americanas protegem esses dados pode ajudar os profissionais do Brasil em sua estratégia de digitalização e armazenamento.
Do físico para o digital
O grande avanço de digitalização nos Estados Unidos começou a partir de 2009, com a Health Information Technology for Economic and Clinical Health – HITECH (Lei de Tecnologia de Informação em Saúde para Saúde Econômica e Clínica, em português), que estimulou, por meio de incentivos financeiros, a digitalização dos dados de saúde. O programa MyHealthEData, lançado em 2018, promoveu o conceito que os pacientes deveriam ter o controle de suas informações e poderiam transferi-las de um médico a outro, o que estimulou as organizações a buscarem ferramentas para a interoperabilidade de dados.
Segundo o Office of the National Coordinator for Health Information Technology – ONC (Gabinete da Coordenação Nacional de Tecnologia da Informação em Saúde, em português), dos Estados Unidos, em 2008, 9% dos hospitais e 17% dos médicos usavam registros eletrônicos dos pacientes. Em 2021, os números eram de 96% dos hospitais e 78% dos médicos.
No Brasil, em 2009, foi publicada a Resolução do Conselho Federal de Medicina (CFM) nº 1.931. A norma estabelecia que o prontuário ficaria sob a guarda do médico ou da instituição que assiste o paciente, vedava o manuseio e o conhecimento dos prontuários por pessoas não obrigadas ao sigilo profissional e concedia ao paciente ter acesso ao seu prontuário quando solicitado.
A digitalização avançou aqui a partir de 2018, ano de publicação da LGPD e da Lei 13.787, que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente. Nos anos posteriores, o governo já organizou várias iniciativas para ampliar a digitalização. A última, em janeiro de 2024, foi a realização da 1ª Jornada de Proteção de Dados Pessoais no SUS, pela Secretaria de Informação e Saúde Digital do Ministério da Saúde – Seidigi, que buscou orientar sobre a necessidade de serem desenvolvidas habilidades para aumentar a segurança da informação, interpretação da LGPD e tratamento e compartilhamento de dados pelo poder público em conjunto com a sociedade civil.
Atualmente, as organizações de saúde devem ter políticas e procedimentos de gestão de registros médicos – físicos e agora digitais – para manter a conformidade, garantir a privacidade dos pacientes e mitigar riscos como erros médicos e violações de dados. Ao mesmo tempo é preciso se preparar para uma era de interoperabilidade dessas informações.
O preço da má gestão
Segundo o relatório da IBM Cost of a Data Breach Report, de 2023, pelo 13º ano seguido o setor de saúde foi o que registrou o maior prejuízo com o vazamento de dados com o custo médio de US$ 10,93 milhões, valor 53,3% superior ao registrado em 2020. A pesquisa, realizada entre março de 2022 e março de 2023, analisou mais de 550 empresas, de 17 setores da economia, em 16 países, incluindo o Brasil.
Nos Estados Unidos, um único ataque ocorrido em 2015, causou a um hospital prejuízos estimados em US$ 260 milhões. O valor inclui indenizações às pessoas que tiveram os dados vazados, ações para notificar sobre a ocorrência e a implantação de medidas de segurança.
O ataque mais recente, que ganhou notoriedade no Brasil, aconteceu em janeiro de 2024, quando funcionários do Instituto Nacional do Câncer (Inca) não conseguiram inserir informações no sistema. Apesar dos hackers não acessarem os dados dos pacientes, a unidade do instituto que mais recebe pacientes para fazer o tratamento de radioterapia precisou parar o serviço por três dias.
Além de ataques, o mau gerenciamento dos dados gera prejuízo e riscos jurídicos. Em 2019, a 7ª Vara Cível de Campo Grande (MS) condenou um hospital ao pagamento de R$ 5 mil de danos morais a um paciente, pois o hospital não forneceu seu prontuário médico. A solicitação foi feita no ano de 2015, pois o paciente queria solicitar a indenização do seguro DPVAT. E a resposta do hospital, já na esfera judicial, foi que não conseguia encontrar o documento.
Como gerenciar bem os dados
A conversão de arquivos físicos em documentos eletrônicos pode ser complexa. Contar com o apoio de uma empresa especializada na gestão de documentos com especialistas, que tenham as ferramentas corretas para digitalizar as informações pode tornar o processo mais simples e eficiente.
Da criação até a destruição, os registros dos pacientes devem estar seguros. Os registros eletrônicos devem ter uma trilha de auditoria detalhada e os registros em papel devem ser trancados com segurança em uma sala com acesso restrito. Os registros armazenados fora do local devem ser mantidos em instalações certificadas e com controle climático. No final de seu ciclo de vida, 20 anos após a última consulta do paciente, os registros em papel e eletrônicos devem ser destruídos com segurança.
As organizações devem treinar todos os membros da força de trabalho nos procedimentos de segurança dos registros médicos, limitar o acesso às instalações onde os registros são armazenados ou acessíveis, implementar hardware, software e procedimentos para monitorar o acesso.
Os registros realizados em vídeo e áudio devem ter o mesmo tratamento dos textuais e precisam ser realizados de maneira transparente e com autorização do paciente. Também é preciso manter a privacidade dos dados dos funcionários das instituições de saúde.
A finalidade dos avanços tecnológicos, da digitalização à interoperabilidade das informações, é reduzir os custos operacionais das instituições de saúde, melhorar o desfecho do atendimento e aumentar a percepção de acolhimento do paciente e seus familiares.
