Você conhece o “Educa e-SUS APS” Uma parceria do Ministério da Saúde e UFMG na oferta nacional de cursos gratuitos de educação permanente para a APS, contextualizada no sistema e-SUS APS. Aproveite e confira agora mesmo!
Privacidade e Segurança da Informação
Sumário
Escopo:
Dentro da estratégia de saúde digital 2020-2028, há diversas prioridades que englobam o PEC. E, somado a isso, diversas estratégias que contemplam a proteção dos dados. Assim, o escopo deste item integrar o Manual do PEC é não só orientar os profissionais a tirarem o melhor proveito da ferramenta, mas também garantirem a segurança dos cidadãos. Dessa forma, é essencial que os princípios da privacidade e da segurança da informação integrem os processos da saúde pública.
Além disso, frisamos que há gestores de saúde e profissionais que trabalham com dados pessoais sensíveis, no caso, relacionados à saúde possuem grande responsabilidade. A Autoridade Nacional de Proteção de Dados (ANPD) já conta com Regulamento de Dosimetria e Aplicação de Sanções Administrativas, de forma que os agentes de tratamento podem ser responsabilizados por violações de dados. E não apenas no âmbito administrativo e civil, mas também criminal, dependendo da natureza e gravidade da violação. Os agentes de tratamento ao agirem de forma negligente ou intencional no que tange ao cuidado com o tratamento dos dados poderão, portanto, ser responsabilizados.
Por isso, os itens a seguir contemplam instruções mínimas em relação à proteção de dados e à segurança da informação a serem observados pelos municípios.
1.Proteção de Dados
O Prontuário Eletrônico do Cidadão, enquanto ferramenta que auxilia na consecução de políticas públicas em saúde através da informatização do fluxo de atendimento do cidadão realizado por profissionais da saúde, faz o tratamento de dados pessoais e dados pessoais sensíveis de usuários e pacientes. Essa coleta e utilização de informações exige para si conformidade com o sistema de proteção de dados norteado pela Constituição Federal e balizado pela Lei Geral de Proteção de Dados (LGPD). O que significa, por sua vez, desde a observância aos princípios dispostos no art. 6º da LGPD, como o da finalidade, adequação e necessidade, até a implementação de medidas técnicas e administrativas aptas a garantir a segurança e o sigilo dos dados, conforme preconiza o art. 46 do mesmo diploma.
1.1.Gestão do Tratamento de Dados
A gestão do tratamento de dados pessoais em conformidade com a LGPD exige uma visão abrangente sobre o ciclo de vida dos dados, ou seja, exige que os dados sejam considerados desde o momento de sua coleta até a sua possível exclusão. Além disso, um diagnóstico apurado quanto às hipóteses legais de tratamento, a natureza, escopo, contexto e finalidade dos dados e ainda uma compreensão dos riscos e medidas necessárias à sua mitigação são primordiais para um tratamento de dados em conformidade com a LGPD.
Por isso, destaca-se que os municípios devem atentar para a questão da gestão dos dados, os quais são tratados pelos profissionais de saúde. Existem diversos Guias Orientativos publicados pela Autoridade Nacional de Proteção de Dados (ANPD) e pela Secretaria de Governo Digital que, identificando as particularidades que decorrem do tratamento de dados pessoais pelo Poder Público, compilaram instruções acerca da forma mais adequada de tratamento. A seguir, destacamos seis itens que devem ser observados pelo Poder Público ao realizar o tratamento de dados:
1.2.Acesso e Qualidade dos Dados
A Lei Geral de Proteção de Dados estabelece uma estrutura legal que atribui aos titulares de dados pessoais direitos a serem exercidos perante o controlador de dados
Em um contexto de grande volume de dados pessoais sensíveis como é o das Unidades de Saúde que utilizam o PEC, destacamos os direitos elencados no art. 18, II e III, ou seja, o direito de obter do controlador, a qualquer momento mediante requisição: II - acesso aos dados; e III - correção de dados incompletos, inexatos ou desatualizados.
O direito ao acesso aos dados relaciona-se com o princípio do livre acesso, art. 6.º, IV, que estabelece a facilidade e gratuidade na consulta sobre a forma e duração do tratamento, bem como sobre a integralidade dos dados pessoais.
A correção dos dados, por sua vez, está diretamente relacionada com o princípio da qualidade dos dados, conforme o art.6.º, V, e significa a garantia de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade para o cumprimento da finalidade de seu tratamento.
No contexto da saúde pública, a questão da qualidade dos dados é de suma importância, tendo em vista que é a partir deles - e da análise clínica - que será feito o tratamento do paciente.
1.3.Compartilhamento de Dados Pessoais
Os gestores de saúde devem estar cientes das responsabilidades envolvendo o compartilhamento dos dados. Há dois casos que devem ser levados em consideração:
-
Compartilhamento de dados dentro da Esfera Pública: nesse caso, o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitando sempre os princípios da LGPD;
-
Compartilhamento de dados com entidades privadas: nesse caso, apenas é permitido quando se tratar de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, nos casos em que os dados forem acessíveis publicamente, quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Além disso, há um processo a ser observado quando houver o compartilhamento de dados, conforme a ANPD:
1.3.1.Formalização e registro
O uso compartilhado de dados pessoais pelo Poder Público deve ser formalizado. Para tanto, recomenda-se a instauração de processo administrativo, do qual constem os documentos e as informações pertinentes, incluindo análise técnica e jurídica, conforme o caso, que exponham a motivação para a realização do compartilhamento e a sua aderência à legislação em vigor.
Além disso, recomenda-se que o compartilhamento seja estabelecido em ato formal, a exemplo de contratos, convênios ou instrumentos congêneres firmados entre as partes.
1.3.2.Objeto e finalidade
Os dados pessoais, objeto de compartilhamento, devem ser indicados de forma objetiva e detalhada, limitando-se ao que for estritamente necessário para as finalidades do tratamento, em conformidade com o princípio da necessidade.
A finalidade, por sua vez, deve ser específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais.
Deve ficar claro, em suma, quais dados pessoais serão compartilhados, bem como por que e para que serão compartilhados.
Ademais, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.
1.3.3.Base legal
É indispensável que haja definição da base legal, conforme art. 7º ou, no caso de dados sensíveis, art. 11 da LGPD, nos termos das orientações apresentadas pela ANPD. Recomenda-se, nesse sentido, que o ato que autoriza ou formaliza o compartilhamento contenha expressa indicação da base legal utilizada. Por exemplo: execução de políticas públicas em saúde (citando leis, atos normativos, etc. que especificam quais políticas são essas).
1.3.4.Duração do tratamento
O instrumento que autoriza ou formaliza o compartilhamento deve estabelecer, de forma expressa, o período de duração do uso compartilhado dos dados, além de esclarecer, conforme o caso, se há a possibilidade de conservação ou se os dados devem ser eliminados após o término do tratamento.
1.3.5.Transparência e direitos dos titulares
Os atos que regem e autorizam o compartilhamento de dados pessoais devem prever as formas de atendimento ao princípio da transparência (art. 6º, VI), assegurando a disponibilização de informações claras, precisas e facilmente acessíveis aos titulares sobre a realização do compartilhamento e sobre como exercer seus direitos.
Adicionalmente, recomenda-se que sejam delimitadas as obrigações das partes no que se refere: (i) à divulgação das informações exigidas pela LGPD; e (ii) às responsabilidades e aos procedimentos a serem observados visando ao atendimento de solicitações apresentadas pelos titulares.
1.3.6.Prevenção e segurança
Também é importante que sejam estabelecidas as medidas de segurança, técnicas e administrativas, que serão adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Estas medidas, que devem ser proporcionais aos riscos às liberdades civis e aos direitos fundamentais dos cidadãos envolvidos no caso concreto, deverão estar previstas nos atos que regem e autorizam o compartilhamento dos dados.
2.Boas Práticas em Segurança da Informação
Para que o PEC opere em sua integralidade de forma correta e promova todas as benécies esperadas para a sociedade, é imprescindível observar os seguintes requisitos da segurança da informação:
2.1.Credenciais de Acesso
2.1.1.Gestão
O Sistema e-SUS APS controla o acesso dos usuários do PEC por meio de credenciais de uso pessoal: um identificador (login) e uma senha. Desta forma, cada profissional terá seu acesso, controle de permissões e controle de auditoria vinculados a seu login.
De acordo com o princípio da necessidade, art. 6.º, III da Lei 13.709/2018, o tratamento de dados deve ser limitado ao mínimo necessário para a realização de suas finalidades. Neste sentido, para além da minimização da coleta de dados é preciso que as unidades de saúde que utilizam o PEC mantenham sistemas de gestão de contas, perfis e permissões de acesso pautados pela necessidade de uso da informação.
O PEC dispõe do módulo “Profissionais”, reservado aos perfis de administrador da instalação e administrador municipal, como uma ferramenta capaz de gerenciar profissionais e usuários do sistema, bem como as permissões de acesso. Recomenda-se, neste sentido, o uso integrado dessa ferramenta com políticas de gestão de acessos que definam os momentos de exclusão de acesso ou alteração de permissões conforme as particularidades de cada unidade.
2.1.2.Uso
As credenciais de acesso são pessoais e intransferíveis visando garantir que os registros feitos no sistema sejam identificados pelo número do Cartão Nacional de Saúde (CNS) do profissional.
A senha padrão deve ser alterada no primeiro acesso ao sistema. Cada profissional tem o dever de zelar pela confidencialidade de suas credenciais. Para tanto, alguns cuidados podem ser tomados:
-
Utilize senhas fortes que devem conter ao menos uma letra e um número com no mínimo 08 (oito) e no máximo 20 (vinte) caracteres.
- Não elabore senhas que contenham dados pessoais como nomes, sobrenomes, data de nascimento, etc., ou palavras de fácil dedução.
- Não utilize sequências numéricas ou alfabéticas, ou ainda sequências de teclas na confecção de senhas.
- Recomenda-se o uso de letras maiúsculas, minúsculas e caracteres especiais ($, %, & e etc.)
- Disponha de senhas diversas para uso pessoal e profissional.
- Caso seja possível, ative a verificação em duas etapas.
- Troque imediatamente as senhas que considerar vulneráveis
- Tenha certeza de sair de suas contas (logout) ao usar equipamentos compartilhados
2.2.E-mail
Grande parte dos ataques e fraudes no ambiente virtual utilizam de engenharia social que visa induzir usuários desavisados a enviar dados confidenciais, infectar seus computadores com malware ou abrir links para sites infectados. Por isso, o cuidado com os e-mails recebidos deve ser redobrado:
-
Não responda a e-mails que solicitam recadastramento de senhas, dados de conta bancária, de cartão de crédito, prêmios, promoções, sorteios, brindes, informações pessoais, informações confidenciais, documentos de identidade, CPF e outros que pareçam suspeitos;
-
Não abra e-mails de procedência desconhecida;
-
Não abra ou responda mensagens consideradas spam; se a mensagem for spam, marque-a;
-
Cuidado com arquivos anexados ao e-mail (principalmente com extensão .exe, .scr, .com, .bat, .doc, .dot, .xls, .mdb entre outras);
-
Faça uma verificação criteriosa sobre a empresa ou pessoa que esteja solicitando informações e, na dúvida, não responda ao solicitado.
2.3.Antimalware
Manter um computador seguro é essencial para se proteger dos riscos envolvidos no uso da internet. Para manter um nível de segurança apropriado, recomenda-se:
- Manter os softwares instalados sempre atualizados;
- Configurar para que os softwares sejam atualizados automaticamente. O que pode ser feito assim que a atualização estiver disponível ou em horários programados;
- Utilize apenas programas originais;
- Use mecanismos de proteção, como um antivírus, mantendo-o atualizado e configurado para todos os formatos de arquivos
2.4.Firewall
Firewall é um sistema de segurança, presente de forma nativa na maioria dos sistemas operacionais, que age restringindo o tráfego de certos tipos de informação em uma rede de dispositivos conforme parâmetros preestabelecidos. Portanto, manter o firewall ativo significa uma maior segurança e proteção contra conteúdos maliciosos.
2.5.Auditorias
A Auditoria pode ser compreendida como um processo sistemático, independente e documentado que tem por função obter evidências e avaliá-las objetivamente, visando determinar em que medida seus critérios preestabelecidos foram satisfeitos.
Além disso, há um módulo específico do PEC que faz auditorias nos registros realizados. Recomenda-se a utilização periódica dessa funcionalidade para que seja possível corrigir erros de manuseio do prontuário e detectar eventuais irregularidades.