26 Ago A política nacional de informação e informática em saúde e a proteção de dados
Por Fabio Vieira e Gabriela Tchalian
No dia 15.6.2022, no Diário Oficial da União, foi publicada a Resolução nº 659, de 26.7.2021 (“Resolução”), que dispõe sobre a Política Nacional de Informação e Informática em Saúde (“PNIIS”).
A novidade normativa é bem-vinda, uma vez que a pandemia de Covid-19 iniciada em 2020 impulsionou a digitalização e aproveitamento da tecnologia em diversos setores, inclusive na saúde. Multiplicaram-se, por exemplo, as teleconsultas entre os brasileiros e os aplicativos para monitoramento de zonas de aglomeração.
A PNIIS visa definir princípios e diretrizes norteadores para a efetiva integração dos sistemas de informação em saúde, tanto para o setor público quanto para o privado. Dessa forma, promoverá a inovação, apoiará a transformação digital dos processos de trabalho em saúde e aprimorará a governança no uso da informação, das soluções de tecnologia da informação e da saúde digital, a transparência, a segurança e o acesso às informações em saúde pela população e melhoria da saúde do cidadão.
Para cumprir seus objetivos, a PNIIS orientará ações de unidades do Ministério da Saúde e entidades vinculadas; gestores de saúde municipais estaduais e federais; entidades de saúde públicas e privadas; prestadores de serviços de saúde e tecnologia públicos e privados; profissionais da área da saúde; usuários de serviços de saúde; e instâncias de controle social.
São princípios da PNIIS, listados no artigo 2º:
(i) A promoção da universalidade, integralidade e equidade na atenção e proteção à saúde, direcionada à continuidade do cuidado individual e coletivo por meio dos processos de coleta, gestão, produção e disseminação dos dados e informação em saúde;
(ii) O fomento à gestão e à produção dos dados e informação em saúde, como elementos capazes de gerar conhecimento, na totalidade das ações de atenção, gestão, auditoria, pesquisa, controle e participação social, de modo a fundamentar ações de vigilância em saúde e formulação de políticas públicas;
(ii) A democratização dos dados e informação em saúde como dever das entidades no âmbito do SUS;
(iii) A promoção do acesso aberto aos dados e à informação em saúde como direito do cidadão;
(iv) A descentralização dos processos de produção e disseminação dos dados e da informação em saúde, para atender às necessidades de compartilhamento de dados e às especificidades regionais e locais;
(v) A preservação da autenticidade, da integridade, rastreabilidade e da qualidade da informação em saúde, observado o disposto na Lei Geral de Proteção de Dados (“LGPD”);
(vi) A confidencialidade, privacidade, proteção de dados e segurança da informação de saúde pessoal como direito de todo indivíduo;
(vii) A autonomia do usuário na decisão sobre o compartilhamento dos seus dados de saúde com profissionais da área de saúde que atuem na sua assistência, com órgãos de pesquisa ou com órgãos ou entidades de saúde públicas e privadas, respeitadas as obrigações legais de compartilhamento para vigilância em saúde e gestão da saúde pública;
(viii) A otimização dos processos de trabalho em saúde, com base na produção e uso das informações em saúde como elemento estruturante para universalidade, integralidade e equidade na atenção à saúde, a partir da captura única de informações mediante a utilização de padrões abertos e interoperáveis;
(ix) O desenvolvimento de iniciativas que tenham como foco primário o cidadão e seu bem-estar físico e mental;
(x) O reconhecimento da Rede Nacional de Dados em Saúde (“RNDS”) como a plataforma nacional de integração de dados em saúde no país; e
(xi) O respeito aos princípios relacionados na legislação vigente, com a padronização de normas e práticas, para promover a proteção, de forma igualitária, dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil.
A extensa lista de princípios, quase todos com menção ao processamento de dados e informações, indica a importância do tratamento de dados pessoais e dados pessoais sensíveis para a integração dos sistemas de informação.
De fato, para que os cidadãos desfrutem de todos os benefícios previstos pela tecnologia e seu emprego na saúde digital, será necessário o compartilhamento de grande quantidade de dados pessoais entre controladores e operadores.
Nesse cenário, é notável a preocupação da PNIIS com a privacidade, segurança da informação e proteção de dados dos usuários. Temas esses que, apesar de serem exigidos pela LGPD, plenamente em vigor desde o ano passado, ainda estão em desenvolvimento no Brasil. Vê-se, inclusive, que muitas empresas ainda não se adequaram à LGPD ou sequer iniciaram o processo de adequação.
Ao longo da Resolução, a preocupação com a proteção de dados segue marcando presença. Como exemplo:
(i) O artigo 4º, VIII, coloca como diretriz geral de governança e gestão da PNIIS o estabelecimento de mecanismos de controle de acesso autorizado a dados pessoais e dados pessoais sensíveis, pelo usuário, pelos profissionais de saúde, gestores da atenção e vigilância em saúde, órgãos de pesquisa e agentes públicos legalmente autorizados, em conformidade com a LGPD;
(ii) O artigo 5º, V, define como diretriz da PNIIS o fortalecimento de mecanismos de segurança de acesso aos sistemas, dados e informações de saúde, que garantam sua disponibilidade, autenticidade e integridade, com incentivo ao uso de assinatura eletrônica e sistemas biométricos;
(ii) Também o artigo 7º, VII, apresenta como diretriz da PNIIS a promoção da cultura de proteção de dados e segurança da informação entre profissionais, gestores e usuários do sistema de saúde;
(iii) O artigo 9º, VI, por fim, estabelece como diretriz da PNIIS a disponibilização de dados armazenados na RNDS de forma anonimizada para análises e pesquisas, observada e resguardada a confidencialidade das informações pessoais de saúde, por meio dos direitos à proteção de dados e privacidade, em consonância com o Plano de Dados Abertos do Ministério da Saúde, a LGPD e a Lei de Acesso à Informação.
Embora as diretrizes e princípios gerais estabelecidos pela PNIIS quanto à privacidade e proteção de dados sejam um forte indício de cumprimento das novas demandas normativas, é essencial que seja rapidamente desenvolvido ao menos um procedimento ou política detalhada de privacidade e proteção de dados aplicável à PNIIS.
Tal procedimento ou política teria o objetivo de definir, em detalhes, as ações a serem tomadas e os responsáveis para a proteção dos titulares de dados e mitigação de quaisquer incidentes de segurança.
Cabe lembrar que os últimos anos foram marcados não só pelos desenvolvimentos tecnológicos e maior digitalização da vida cotidiana, mas também por maior índice de ataques e incidentes cibernéticos afetando tanto o setor público quanto o privado em todo o globo.
É especialmente necessário ainda que o sistema RNDS conte com relatório de impacto de proteção de dados. Isso porque os dados pessoais de saúde, que compõem a maior parte da base, são considerados pessoais sensíveis pela LGPD, cuja indevida divulgação ou disponibilização pode trazer forte impacto aos titulares de dados. Consequentemente, a Autoridade Nacional de Proteção de Dados está autorizada pelo artigo 38 da LGPD a demandar o relatório.
Espera-se que a PNIIS possa efetivamente auxiliar no fortalecimento de garantias para a proteção dos dados e privacidade dos titulares, fornecendo um sistema de integração seguro e eficiente aos pacientes.
Clique aqui para ler a Resolução contendo a PNIIS publicada no Diário Oficial da União.
Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener & Vieira Advogados.
Sem comentários