53637 - “CADÊ MINHAS INFORMAÇÕES QUE DEIXEI AQUI?” QUESTÕES SOBRE SAÚDE DIGITAL, PROGRESSO TECNOLÓGICO E VAZAMENTOS DE DADOS NA ESD28
KAMILLA THAÍS VULCÃO DA SILVA - FSP-USP
Apresentação/Introdução
A revolução digital tem transformado as interações tecnológicas. No campo da saúde, a pandemia de covid-19 foi um marco para a sociedade pela escala da crise sanitária. No Brasil, o cenário político-sanitário trouxe consigo um rastro de desinformação, propiciado pelo uso desregulado de redes sociais e por estratégias neofascistas que minaram a confiabilidade da população na resposta e planos de ação do ministério da saúde. A crise destacou a necessidade urgente de melhorar a capilarização dos sistemas públicos de saúde, refletida nas altas taxas de mortalidade de populações vulneráveis em territórios vulnerabilizados.
Nesse cenário, a Estratégia de Saúde Digital para o Brasil 2020-2028, plano elaborado pelo Ministério da Saúde, foi lançada objetivando suprir demandas de modernização do sistema de saúde do país através do uso de tecnologias digitais. Além disso, a estratégia pretende melhorar a qualidade dos serviços de saúde, aumentar a eficiência operacional, promover a equidade no acesso à saúde e garantir a segurança dos dados dos pacientes.
No entanto, nos dois primeiros anos da ESD28 o Ministério da Saúde registrou pelo menos quatro incidentes de vazamento de dados pessoais em três plataformas: SCPA, CADSUS e e-SUS Notifica. Dessa forma, se faz necessário analisar a abordagem e mensurar riscos aos cidadãos e sociedade na exposição de dados na ESD28, balizada na LGPD.
Objetivos
Analisar a abordagem sobre dados pessoais sensíveis na Estratégia Saúde Digital Brasil 2020-2028; e ainda observar, mensurar e discutir sobre os possíveis impactos e riscos dos vazamentos de dados pessoais e dados sensíveis de saúde no âmbito da ESD28 e no que tange a LGPD.
Metodologia
Pesquisa de natureza qualitativa na qual adotou-se a Estratégia Saúde Digital Brasil 2020-2028 como marco político-sanitário e tecnológico da modernização e melhoria da saúde digital no Sistema Único de Saúde, e o planejamento de implementação em etapas. A partir de sua leitura, destacamos os itens que versam sobre: segurança e privacidade dos dados, governança, transparência, consentimento e informação/engajamento dos cidadãos atinente aos seus dados pessoais e dados sensíveis. Em seguida foi realizado o levantamento de incidentes sobre vazamento de dados pessoais nas plataformas do Ministério da Saúde, relacionados à ESD28, para um comparativo entre o planejamento e as ações, dos quais foram encontrados: 1. Sistema de Cadastro e Permissão de Acesso – SCPA; 2. Cadastro Nacional de Usuários do SUS – CADSUS e 3. e-SUS Notifica e CADSUS, entre os anos de 2019 2022.
Para análise consideramos o tipo de dado vazado; o período em que estiveram expostos; as medidas adotadas. Por fim, buscamos fazer um paralelo entre o que prevê a LGPD, e o argumento de Mullholland (2018) e Solove (2024) sobre os riscos e impactos do vazamento de dados para a vida dos cidadãos.
Resultados e Discussão
Foram encontrados 3 incidentes de vazamentos de dados de saúde das plataformas do Ministério da saúde. No incidente 1 A falha permitiu consulta individual, a partir do número do CPF, ao nome completo, endereço, telefone, data de nascimento, nome da mãe e cartão nacional de saúde (CNS) de usuários; no incidente 2 permitia acesso ao CPF; nome; nome social; nome da mãe; nome do pai; sexo; raça/cor; etnia indígena; data de nascimento; tipo sanguíneo; data de óbito; justificativa do preenchimento da data de óbito; nacionalidade; país de nascimento; município de nascimento; e data de naturalização, portaria de naturalização e data de entrada no Brasil; e no incidente 3 foi constatada a ocorrência de possível crime cibernético relativo à venda ilegal de bases de dados administrativas oriundas de sistemas governamentais, dentre eles o CADSUS - Sistema de Cadastramento de Usuários do Sistema Único de Saúde e os dados de imunização do e-sus Notifica.
Autores apontam que a violação da privacidade pode acarretar danos no âmbito pessoal, tais como a exposição de informações sensíveis, discriminação e estigmatização de indivíduos; pode acarretar fraude e roubo de identidade, como o uso de dados e o acesso indevido a serviços de saúde. já no âmbito da sociedade em geral pontuamos como possíveis riscos a perda de confiança na saúde digital e a relutância em compartilhar dados; impacto na saúde pública gerando desafios na gestão de dados e podendo ocasionar a interrupção ou intermitência de serviços, além de custo econômico. No que tange as implicações legais e regulatórias observou-se a não conformidade com a LGPD podendo resultar em sanções financeiras e administrativas para instituições de saúde e ainda a obrigação de notificação dos indivíduos (realizada).
Conclusões/Considerações finais
A proteção e gestão adequada dos dados de saúde requerem uma infraestrutura robusta, recursos significativos e conformidade com regulamentações rigorosas. Além disso, violações de dados podem ter consequências graves e duradouras para os indivíduos afetados. Os vazamentos de dados durante a execução da ESD28 representam riscos à privacidade, segurança e confiança dos cidadãos, além de impactar negativamente a sociedade como um todo e promover atrasos na adoção das medidas de melhorias, necessárias para a evolução e equidade de acesso e capilaridade dos serviços de saúde. As instituições envolvidas devem adotar medidas robustas de segurança da informação, conformidade regulatória e gestão de riscos para mitigar esses impactos e proteger os dados dos cidadãos. Concluímos que há necessidade de revisar e fortalecer as políticas e práticas de segurança da informação, incluindo a implementação de medidas técnicas, administrativas e físicas para proteger os dados pessoais.
Referências
BRASIL. Ministério da Saúde. Estratégia de Saúde Digital para o Brasil 2020-2028. Brasília: Ministério da Saúde, 2020. Disponível em: https://bvsms.saude.gov.br/bvs/publicacoes/estrategia_saude_digital_Brasil.pdf. Acesso em: 28 maio 2024.
MULHOLLAND, C. S. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luz da lei geral de proteção de dados (Lei 13.709/18). Revista de Direitos e Garantias Fundamentais, [S. l.], v. 19, n. 3, p. 159–180, 2018. DOI: 10.18759/rdgf.v19i3.1603.
SILVA, A. M. D. F. DA . et al. Proteção de dados pessoais e direito à privacidade no contexto da pandemia de covid-19: uma análise das aplicações de contact tracing à luz da proporcionalidade. Revista Direito GV, v. 18, n. 3, 2022.
SOLOVE, D. J., Data Is What Data Does: Regulating Based on Harm and Risk Instead of Sensitive GWU Legal Studies Research Paper. Northwestern University. 2024. Available at: http://dx.doi.org/10.2139/ssrn.4322198
Fonte(s) de financiamento: Bolsa de doutoramento CAPES
|
