Consultor Jurídico

Opinião

Proteção de dados na telemedicina em tempos do novo coronavírus

Por 

Em 11 de março de 2020, a Organização Mundial da Saúde classificou a doença causada pelo novo coronavírus, a Covid-19, como uma pandemia. Isso significa que o vírus está circulando em todos os continentes e há ocorrência de casos oligossintomáticos, o que dificulta a identificação. O novo coronavírus integra a família de vírus que causa infecções respiratórias, tendo sido identificado em 31 de dezembro de 2019 após casos registrados na China[1]. A telemedicina — recurso que permite a prática do cuidado à saúde à distância, utilizando a tecnologia para o contato entre paciente e médico — é um método eficiente para auxiliar no combate da pandemia. Todavia, falta no Brasil uma regulamentação moderna e eficiente. Defasada, a Resolução 1.643/2002 do Conselho Federal de Medicina, atualmente vigente, define a prestação de serviços por telemedicina como sendo “o exercício da medicina através da utilização de metodologias interativas de comunicação audiovisual e de dados, com o objetivo de assistência, educação e pesquisa em saúde”.

O Brasil enfrenta uma emergência de saúde pública e, à luz da Lei 13.979/2020, que versa sobre medidas para enfrentamento da emergência decorrente do novo coronavírus, a telemedicina está legalmente autorizada na sua plenitude para atender a situação. É um método importante que pode ajudar a impedir a propagação e transmissão do vírus ao evitar a sobrecarga dos serviços públicos e privados de saúde por conta de idas desnecessárias a hospitais e prontos-socorros.

De todo modo, a Ética e o Direito ainda não traçaram, com exatidão, o caminho seguro a ser trilhado, especialmente em relação a privacidade, segurança da informação, sigilo profissional e responsabilidade do médico quanto ao armazenamento e compartilhamento de dados sensíveis de saúde. Na iminência da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, a LGPD), o que ocorrerá em 15 de agosto de 2020, e face à Lei 13.979/2020 e à Portaria 356/2020 do Ministério da Saúde, este artigo busca traçar algumas reflexões sobre a proteção de dados na telemedicina em tempos do novo coronavírus, sem nenhuma intenção de esgotar o tema.

1. Contextualizando a telemedicina
Nos termos da Lei 3.268/1957, cabe ao Conselho Federal de Medicina (CFM) disciplinar o exercício profissional médico e zelar pela boa prática médica no país. A Resolução 2.217/2018 do CFM, que aprovou o mais recente Código de Ética Médica, em vigor desde o dia 30 de abril de 2019, estabelece no parágrafo 1º de seu artigo 37 que “o atendimento médico à distância, nos moldes da telemedicina ou de outro método, dar-se-á sob regulamentação do Conselho Federal de Medicina”. E como já observado, embora ultrapassada, a Resolução 1.643/2002, da mesma autarquia, define e disciplina a prestação de serviços por telemedicina. É que ela proíbe a integralidade do exercício da telemedicina, permitindo, por ora, apenas a realização de videoconferência durante procedimento, para que o médico obtenha opinião de colegas, em ação executada sempre com a presença de um médico ao lado do paciente.

Existe um claro descompasso entre a normativa vigente e a realidade tecnológica atual. Em 2002 não havia smartphone, Skype, sem falar que a qualidade da transmissão online de informações nem chegava perto da disponível hoje. Os conselheiros efetivos do CFM decidiram revogar a Resolução CFM 2.227/2018, que definia e disciplinava a telemedicina como forma de prestação de serviços médicos mediados por tecnologias, 30 dias depois de ser publicada[2]. Em seguida ao recuo, o CFM optou por abrir um ciclo de consultas públicas para debater novamente o tema. As consultas estão encerradas e a qualquer momento se espera a publicação de novo diploma normativo por parte do CFM, que poderá substituir a Resolução 1.643/2002.

Porém, o artigo 3º da Resolução 1.643/2002 estabelece que “em caso de emergência, ou quando solicitado pelo médico responsável, o médico que emitir o laudo à distância poderá prestar o devido suporte diagnóstico e terapêutico”. Em 6 de fevereiro de 2020, o Poder Executivo sancionou a Lei 13.979, que reconhece e prevê medidas que poderão ser adotadas para enfrentamento da emergência de saúde pública de importância internacional decorrente do novo coronavírus.

2. Proteção de dados na telemedicina e a ética médica
O artigo 5º, XIII, da Constituição Federal, assegura como direito fundamental o livre exercício de qualquer trabalho, ofício ou profissão, atendidas as qualificações profissionais que a lei estabelecer. Exercida de maneira ética e legal, e respeitando-se a liberdade e privacidade do paciente, a telemedicina não viola a relação médico-paciente, além de oferecer benefícios sociais. Além disso, não existe lei que vede a prática da telemedicina expressamente. A adequada redação do termo de consentimento livre e esclarecido (TCLE), a ser assinado pelo paciente, e a atualização constante de ferramentas de segurança da informação por parte das empresas médicas que oferecem serviços de telemedicina são pontos que devem orientar a atividade para garantir a conformidade legal e ética da empresa, de modo a evitar as graves sanções previstas pelo artigo 52 da LGPD e também pelo Código de Ética Médica. Ao avaliar a conduta do médico, o Conselho Regional de Medicina pode aplicar as penas previstas na Lei 3.268/1957[3].

Já é realidade que empresas de tecnologia e prestadoras de serviços médicos desenvolvem softwares e plataformas digitais com soluções voltadas a teletriagem, teleorientação, telelaudos, teleconsultas e emissão de segunda opinião médica por meio de plataformas e aplicativos que podem, também, utilizar inteligência artificial. Obrigam-se a respeitar a legislação que versa sobre privacidade e segurança da informação, como a LGPD, além do Código de Ética Médica e outras resoluções pertinentes do CFM.

Dados obtidos durante uma consulta de telemedicina devem ser protegidos para evitar acesso não autorizado, isto por meio de medidas de segurança da informação apropriadas e atualizadas constantemente. Para isso, a empresa pode utilizar recursos como detecção de vulnerabilidades de hardwares e softwares, efetuar backups periódicos e realizar controles de acesso, tanto físico quanto lógico (controle de acessos com travas especiais nas portas e biometria, firewall, antimalware, dupla criptografia para banco de dados). Uma política de gestão de riscos apropriada, com a conscientização interna das equipes e treinamento frequente pode ajudar a evitar o risco de incidentes de segurança causados internamente por negligência ou mesmo dolo[4].

A redação do TCLE que será disponibilizado ao paciente deve ser feita com muita atenção, de modo a salvaguardar os direitos previstos no artigo 18 da LGPD[5], assim como esclarecer em que circunstâncias dados poderão permanecer armazenados pelo controlador, de forma segura, à luz do artigo 16, I, da LGPD[6], dispensando-se a eliminação. Para efeitos da LGPD[7], considera-se consentimento “a manifestação livre, informada e inequívoca pela qual o paciente concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. No caso de um serviço prestado online, o TCLE não será aprovado pelo paciente na forma de assinatura em documento físico, sendo que todo cuidado é preciso para demonstrar a manifestação inequívoca de vontade do paciente, para o fim de amenizar o risco de vícios e, consequentemente, a nulidade. É que a manifestação de vontade genérica e sem restrições de qualquer natureza autorizando o tratamento de dados é expressamente vedada por lei. No caso de tratamento de dados de saúde, cabe salientar que o paciente é vulnerável[8], por se tratar de dados de natureza personalíssima e potencialmente discriminatória[9].

O dever de sigilo profissional estende-se às equipes assistenciais envolvidas no atendimento, como enfermeiros, nutricionistas e farmacêuticos. Ninguém da empresa médica, além do médico e desses profissionais, pode acessar o prontuário sem o consentimento inequívoco do paciente. Por outro lado, a LGPD prevê bases legais taxativas para o tratamento de dados pessoais sensíveis sem o consentimento do titular-paciente.

O parágrafo 4º do artigo 11 da LGPD veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis de saúde com objetivo de obter vantagem econômica. Contudo, abre exceções. Isso está permitido nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, desde que em benefício dos interesses dos titulares de dados, proibida a prática de seleção de riscos, e para permitir as transações financeiras e administrativas resultantes do uso e da prestação desses serviços (artigo 11, parágrafo 4º, II, da LGPD). Ainda assim, quando estritamente necessária, essa comunicação e compartilhamento devem ser realizados respeitando-se os princípios de finalidade, necessidade, transparência, proporcionalidade, segurança e não discriminação.

O artigo 6º da Lei 13.979/2020 preceitua a seguinte disposição: “É obrigatório o compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação”. O parágrafo segundo do mesmo artigo prevê que o Ministério da Saúde manterá dados públicos e atualizados sobre os casos de coronavírus confirmados , suspeitos e em investigação, que se relacionam a situação de emergência pública sanitária, resguardando o direito ao sigilo das informações pessoais. Esse compromisso com a privacidade do paciente é reiterado pelo artigo 13 da Portaria 356/2020 do Ministério da Saúde. O compartilhamento dessas informações por pessoas jurídicas de direito privado, quando os dados forem solicitados por autoridade sanitária, deve ser realizado de maneira que se resguarde a segurança da informação, em pleno respeito à dignidade, aos direitos humanos e às liberdades fundamentais dos indivíduos.

Conclusão
É um equívoco afirmar que a telemedicina conduzida de forma ética e que tenha como prisma resguardar o sigilo, a privacidade e a segurança da informação substituirá o médico. Há, sim, a conveniência de regulamentar a prática, de modo que se tenha compreensão das possibilidades e dos limites do exercício da telemedicina de forma mais compatível com a realidade digital atual. Para o professor Chao Lang[10], a telemedicina não objetiva substituir a prática médica, mas ampliar o ecossistema de saúde conectada e integrar, com maior eficiência, todo sistema de saúde. Esse entendimento deve ser também difundido nas faculdades de medicina, para preparar os médicos à nova realidade.

São muitas as vantagens da telemedicina exercida de maneira ética e legal. A utilização de recursos de tecnologias interativas para possibilitar cuidados integrados e humanizados pode melhorar e intensificar o acesso a pacientes, melhorar a logística da cadeia de saúde, além de promover a saúde e ajudar a prevenir doenças. Protege o paciente da exposição a riscos desnecessários causados por deslocamentos que podem ser evitados. Pessoas podem ser diagnosticadas e orientadas sem precisar ir ao pronto atendimento, onde ficariam vulneráveis a infecções mais graves. Ademais, pode evitar que o paciente seja submetido a exames invasivos e dispensáveis, poupando-o de sofrimento e riscos, além de desafogar o sistema público e as operadoras privadas de saúde.

No âmbito do Sistema Único de Saúde (SUS), a telemedicina pode ajudar a diminuir filas de exames e cirurgias e garantir o acesso a saúde a quem realmente precisa no momento, porque reduz o tempo de espera nos serviços de urgência. Desse modo, pronto atendimentos e hospitais podem cumprir sua função de atender casos mais urgentes e complexos. A telemedicina também viabiliza a transmissão do conhecimento, pois pode ensinar práticas especializadas a profissionais alocados em serviços de saúde nos locais mais distantes do território nacional.

[1] Boletim Epidemiológico 5. Centro de Operações de Emergências em Saúde Pública. Disponível online em: <https://coronavirus.saude.gov.br/> (acesso em 17 fev, 2020).

[2] Conselheiros do CFM revogam a Resolução 2.227/2018, que trata da Telemedicina. Nota divulgada em6 de fevereiro de 2019. Disponível online em: https://portal.cfm.org.br/index.php?option=com_content&view=article&id=28096:2019-02-22-15-13-20&catid=3> , A cesso em 14 de fevereiro de 2020. A revogação se deu por meio da Resolução 2.228/2018, que restabeleceu a vigência da Resolução 1.643/2002, que havia sido revogada pela Resolução 2.227/2018. Situação curiosa de repristinação.

[3] De acordo ao artigo 22 da referida lei, as penas disciplinares aplicáveis pelos conselhos regionais aos seus membros são as seguintes: a) advertência confidencial em aviso reservado; b) censura confidencial em aviso reservado; c) censura pública em publicação oficial; d) suspensão do exercício profissional por até 30 dias; e) cassação do exercício profissional, ad referendum, pelo Conselho Federal.

[4] A autora registra a colaboração de Fernanda Brandão, analista de qualidade e segurança da informação,, pelos esclarecimentos com respeito à ISO 27001 (ABNT NBR ISO/IEC 27001:2006), denominada Tecnologia da informação - técnicas de segurança - sistemas de gestão da segurança da informação – requisitos, publicada em outubro de 2005 pela International Organization for Standardization e pela International Electrotechnical Commission.

[5] Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

[6] Art. 16 da LGPD: Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo controlador;

[7] Artigo 5º XII da LGPD.

[8] Caracterizado pela ausência de liberdade substancial no momento da determinação da vontade, e pela natureza do objeto do tratamento, quais sejam interesses de natureza personalíssima. MULHOLLAND, Caitlin. Dados pessoais sensíveis e consentimento na Lei Geral de Proteção de Dados, p. 50.

[9] Artigo 11 do Código Civil: “Com exceção dos casos previstos em lei, os direitos da personalidade são intransmissíveis e irrenunciáveis, não podendo o seu exercício sofrer limitação voluntária”.

[10] Telemedicina, novas tecnologias e inovação em saúde. Audiência Pública no âmbito da Comissão de Seguridade Social e Família, da Câmara dos Deputados, transmitida ao vivo em 28 de novembro de 2019. Disponível online em: <https://www.youtube.com/watch?v=8aWHEJg_RWc&t=921s>, acesso em 20 fev. 2020.




Topo da página

 é advogada especializada em saúde e proteção de dados, doutora e mestre em Direito Internacional e Comparado pela Universidade de São Paulo e especialista em Direito dos Contratos pela Fundação Getúlio Vargas. Atualmente, atua como advogada em empresa médica que presta serviços de telemedicina.

Revista Consultor Jurídico, 19 de março de 2020, 6h31

Comentários de leitores

0 comentários

Comentários encerrados em 27/03/2020.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.