Cloud na saúde: oportunidades e desafios para adoção da tecnologia

O uso de serviços de computação em nuvem pode auxiliar o setor de saúde a enfrentar diversos desafios, como financeiros, de gestão e no oferecimento dos serviços. Isso porque uma das características da nuvem consiste em permitir o acesso a informações a todo momento e a partir de diferentes localidades, além de permitir que organizações adotem serviços e funcionalidades adequados ao seu porte e negócios.

No setor de saúde, o fácil acesso às informações de pacientes pelos profissionais de saúde tem o potencial de promover o cuidado a esses indivíduos, permitir que recebam tratamento adequado e auxiliar o trabalho dos profissionais, fornecendo-lhes informações atualizadas e mais completas para a tomada de decisões. Em um país com a dimensão territorial do Brasil, o acesso e compartilhamento de informações viabiliza a comunicação entre profissionais de diferentes regiões e pode aproximar localidades mais distantes dos grandes centros.

Assim como outros segmentos, o setor de saúde está sujeito a sofrer ataques de agentes mal-intencionados. Ocorre que, nos sistemas de saúde, circulam dados e informações de grande valor comercial,  o que os tornam, a princípio, alvos atrativos de agentes maliciosos. Além disso, falhas de segurança da informação e incidentes envolvendo dados pessoais de saúde podem causar grande impacto aos indivíduos.

Exemplos incluem os incidentes de segurança e ataques cibernéticos sofridos pelo Ministério da Saúde. Até o momento, o ministério já divulgou publicamente três incidentes de segurança, por meio do Registro de Incidentes com Dados Pessoais, disponibilizado em seu site, ocorridos entre 2021 e 2022. Um deles diz respeito à falha identificada no Sistema de Cadastro e Permissão de Acesso (SCPA), que permitia consulta individual, a partir do número do CPF a dados pessoais, como nome completo, endereço, telefone, data de nascimento, nome da mãe e cartão nacional de saúde.

Em outro, com maior exposição de dados sensíveis, o Ministério da Saúde reportou um possível vazamento de credencial do sistema Cadsus, que expôs diversos dados pessoais, incluindo nome social, nome da mãe e do pai, raça/cor, etnia indígena, tipo sanguíneo, nacionalidade, país de nascimento, entre outros. Já o terceiro caso se refere a um possível crime cibernético relacionado à venda ilegal de bases de dados oriundas do Cadsus e do e-SUS Notifica. O Registro de Incidentes não menciona os dados pessoais afetados, mas informa que o caso foi comunicado a outras autoridades responsáveis.

Apesar dos benefícios que as soluções de computação em nuvem apresentam, sua adoção por organizações do setor enfrenta desafios relacionados às questões de segurança e proteção de dados trazidas acima.

Há também desafios relacionados à regulação específica das atividades do setor de saúde. Em complemento às questões de segurança e proteção de dados, que se tornam mais evidentes com o uso de novas tecnologias, tradicionalmente, o setor de saúde já deve atender e continuar atendendo a normas direcionadas a suas atividades.

A seguir, analisaremos esses desafios em maiores detalhes.

Regulação
O setor de saúde conta com uma robusta regulamentação, que se aplica às diferentes atividades, profissionais e entidades do setor. Primeiramente, a saúde é um direito fundamental de todos e um dever do Estado, a ser garantida por meio de políticas sociais e econômicas, conforme previsto nos artigos 6° e 196 da Constituição.

Além disso, agências reguladoras e instituições jurídicas editam normas e fiscalizam a saúde pública e privada no País, tais como a Agência Nacional de Saúde (ANS), Agência Nacional de Vigilância Sanitária (Anvisa), os conselhos nacionais, estaduais e municipais de saúde e as conferências de saúde. Há normas específicas impactando indiretamente os fornecedores de serviços de computação em nuvem, bem como regulamentação específica sobre cybersegurança neste âmbito.

Sob a perspectiva médica, o Código de Ética do Conselho Federal de Medicina (CFM) regula o exercício da atividade profissional e o sigilo profissional. Mais especificamente, o Código de Ética veda ao médico revelar fato de que tenha conhecimento em razão do exercício de sua profissão, salvo se por motivo justo, dever legal ou consentimento do paciente.

Proteção de dados
No que tange a legislação de proteção de dados, a Lei Geral de Proteção de Dados (Lei nº 13.709/18 ou “LGPD”) foi a primeira lei brasileira específica sobre proteção de dados aplicável a todos os setores. Neste âmbito, os dados de saúde foram incluídos na definição de dados sensíveis, os quais possuem maiores restrições para o seu tratamento.

A LGPD também requer a adoção de medidas de segurança adequadas para proteger os dados pessoais, o que deve levar em conta o risco do seu tratamento. Assim, o tratamento de dados sensíveis exige medidas de segurança organizacionais e técnicas robustas para sua proteção.

Esse dever de proteção dos dados, em conjunto com as demais questões de segurança, pode constituir um entrave na transição do setor da saúde para uma computação baseada em nuvem. Isto porque, é necessário que os detalhes específicos de cada realidade sejam endereçados nas contratações, o que se contrapõem a modelos  de contratação que costumam ser padronizados e muitas vezes, em sistema de adesão.

A Autoridade Nacional de Proteção de Dados (ANPD) chegou a instaurar dois processos administrativos sancionatórios em face do Ministério da Saúde, com o objetivo de investigar as medidas de segurança implementadas e a necessidade de comunicação do incidente de segurança à ANPD e aos titulares dos dados pessoais. Esse movimento, em um momento em que a autoridade ainda está começando a aplicar penalidades e atuar de forma mais consistente, demonstra que a proteção de dados no setor da saúde deve estar entre os temas prioritários da ANPD.

Segurança
Já no âmbito das questões específicas de segurança, são desafios a invasão dos sistemas por hackers, o uso inadequado por usuários e as falhas na rede de internet. Com relação a este tema, também é relevante mencionar que vírus, malwares e outras ameaças de segurança são consideradas mais complexas de se resolver quando ocorrem no ambiente cloud em comparação a sistemas convencionais in-house.

O mau uso por usuários também se relaciona a necessidade de manter certas informações com alto nível de confidencialidade e do questionamento sobre a efetividade dos controles de segurança utilizados. Os serviços de computação em nuvem são considerados carentes de gerenciamento efetivo de chaves criptográficas, interface de gerenciamento público e separações de armazenamento limitadas. Além do exposto, critérios adicionais de segurança necessários para lidar com dados no setor de saúde se relacionam ao controle de acesso, gerenciamento de dados e segurança no armazenamento.

Diante de tantos desafios específicos do setor para a adoção da computação em nuvem, bem como da constatação de que os principais estão relacionados à proteção de dados e segurança, é importante ressaltar que a LGPD promove a autorregulamentação do setor.

Esse tipo de iniciativa pode ser benéfica para discutir a aplicação de conceitos legais e regulatórios em contextos práticos e a conscientização dos stakeholders sobre as diversas questões relevantes a serem consideradas na contratação de cloud. Neste sentido, já foi criado um código de boas práticas de proteção de dados no setor de saúde, entretanto entendemos que seria benéfico um maior foco no assunto de computação em nuvem neste setor ou a criação de código específico sobre o assunto e seus impactos neste setor, tendo em vista a ampliação do uso da computação em nuvem no setor, atualmente desacompanhada de maiores diretrizes sobre seus riscos, benefícios e melhores práticas de segurança da informação envolvendo dados sensíveis.