Proteção de dados na telemedicina em tempos do novo coronavírus

Em 11 de março de 2020, a Organização Mundial da Saúde classificou a doença causada pelo novo coronavírus, a Covid-19, como uma pandemia. Isso significa que o vírus está circulando em todos os continentes e há ocorrência de casos oligossintomáticos, o que dificulta a identificação. O novo coronavírus integra a família de vírus que causa infecções respiratórias, tendo sido identificado em 31 de dezembro de 2019 após casos registrados na China[1]. A telemedicina — recurso que permite a prática do cuidado à saúde à distância, utilizando a tecnologia para o contato entre paciente e médico — é um método eficiente para auxiliar no combate da pandemia. Todavia, falta no Brasil uma regulamentação moderna e eficiente. Defasada, a Resolução 1.643/2002 do Conselho Federal de Medicina, atualmente vigente, define a prestação de serviços por telemedicina como sendo “o exercício da medicina através da utilização de metodologias interativas de comunicação audiovisual e de dados, com o objetivo de assistência, educação e pesquisa em saúde”.

O Brasil enfrenta uma emergência de saúde pública e, à luz da Lei 13.979/2020, que versa sobre medidas para enfrentamento da emergência decorrente do novo coronavírus, a telemedicina está legalmente autorizada na sua plenitude para atender a situação. É um método importante que pode ajudar a impedir a propagação e transmissão do vírus ao evitar a sobrecarga dos serviços públicos e privados de saúde por conta de idas desnecessárias a hospitais e prontos-socorros.

De todo modo, a Ética e o Direito ainda não traçaram, com exatidão, o caminho seguro a ser trilhado, especialmente em relação a privacidade, segurança da informação, sigilo profissional e responsabilidade do médico quanto ao armazenamento e compartilhamento de dados sensíveis de saúde. Na iminência da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, a LGPD), o que ocorrerá em 15 de agosto de 2020, e face à Lei 13.979/2020 e à Portaria 356/2020 do Ministério da Saúde, este artigo busca traçar algumas reflexões sobre a proteção de dados na telemedicina em tempos do novo coronavírus, sem nenhuma intenção de esgotar o tema.

1. Contextualizando a telemedicina
Nos termos da Lei 3.268/1957, cabe ao Conselho Federal de Medicina (CFM) disciplinar o exercício profissional médico e zelar pela boa prática médica no país. A Resolução 2.217/2018 do CFM, que aprovou o mais recente Código de Ética Médica, em vigor desde o dia 30 de abril de 2019, estabelece no parágrafo 1º de seu artigo 37 que “o atendimento médico à distância, nos moldes da telemedicina ou de outro método, dar-se-á sob regulamentação do Conselho Federal de Medicina”. E como já observado, embora ultrapassada, a Resolução 1.643/2002, da mesma autarquia, define e disciplina a prestação de serviços por telemedicina. É que ela proíbe a integralidade do exercício da telemedicina, permitindo, por ora, apenas a realização de videoconferência durante procedimento, para que o médico obtenha opinião de colegas, em ação executada sempre com a presença de um médico ao lado do paciente.

Existe um claro descompasso entre a normativa vigente e a realidade tecnológica atual. Em 2002 não havia smartphone, Skype, sem falar que a qualidade da transmissão online de informações nem chegava perto da disponível hoje. Os conselheiros efetivos do CFM decidiram revogar a Resolução CFM 2.227/2018, que definia e disciplinava a telemedicina como forma de prestação de serviços médicos mediados por tecnologias, 30 dias depois de ser publicada[2]. Em seguida ao recuo, o CFM optou por abrir um ciclo de consultas públicas para debater novamente o tema. As consultas estão encerradas e a qualquer momento se espera a publicação de novo diploma normativo por parte do CFM, que poderá substituir a Resolução 1.643/2002.

Porém, o artigo 3º da Resolução 1.643/2002 estabelece que “em caso de emergência, ou quando solicitado pelo médico responsável, o médico que emitir o laudo à distância poderá prestar o devido suporte diagnóstico e terapêutico”. Em 6 de fevereiro de 2020, o Poder Executivo sancionou a Lei 13.979, que reconhece e prevê medidas que poderão ser adotadas para enfrentamento da emergência de saúde pública de importância internacional decorrente do novo coronavírus.

2. Proteção de dados na telemedicina e a ética médica
O artigo 5º, XIII, da Constituição Federal, assegura como direito fundamental o livre exercício de qualquer trabalho, ofício ou profissão, atendidas as qualificações profissionais que a lei estabelecer. Exercida de maneira ética e legal, e respeitando-se a liberdade e privacidade do paciente, a telemedicina não viola a relação médico-paciente, além de oferecer benefícios sociais. Além disso, não existe lei que vede a prática da telemedicina expressamente. A adequada redação do termo de consentimento livre e esclarecido (TCLE), a ser assinado pelo paciente, e a atualização constante de ferramentas de segurança da informação por parte das empresas médicas que oferecem serviços de telemedicina são pontos que devem orientar a atividade para garantir a conformidade legal e ética da empresa, de modo a evitar as graves sanções previstas pelo artigo 52 da LGPD e também pelo Código de Ética Médica. Ao avaliar a conduta do médico, o Conselho Regional de Medicina pode aplicar as penas previstas na Lei 3.268/1957[3].

Já é realidade que empresas de tecnologia e prestadoras de serviços médicos desenvolvem softwares e plataformas digitais com soluções voltadas a teletriagem, teleorientação, telelaudos, teleconsultas e emissão de segunda opinião médica por meio de plataformas e aplicativos que podem, também, utilizar inteligência artificial. Obrigam-se a respeitar a legislação que versa sobre privacidade e segurança da informação, como a LGPD, além do Código de Ética Médica e outras resoluções pertinentes do CFM.

Dados obtidos durante uma consulta de telemedicina devem ser protegidos para evitar acesso não autorizado, isto por meio de medidas de segurança da informação apropriadas e atualizadas constantemente. Para isso, a empresa pode utilizar recursos como detecção de vulnerabilidades de hardwares e softwares, efetuar backups periódicos e realizar controles de acesso, tanto físico quanto lógico (controle de acessos com travas especiais nas portas e biometria, firewall, antimalware, dupla criptografia para banco de dados). Uma política de gestão de riscos apropriada, com a conscientização interna das equipes e treinamento frequente pode ajudar a evitar o risco de incidentes de segurança causados internamente por negligência ou mesmo dolo[4].

A redação do TCLE que será disponibilizado ao paciente deve ser feita com muita atenção, de modo a salvaguardar os direitos previstos no artigo 18 da LGPD[5], assim como esclarecer em que circunstâncias dados poderão permanecer armazenados pelo controlador, de forma segura, à luz do artigo 16, I, da LGPD[6], dispensando-se a eliminação. Para efeitos da LGPD[7], considera-se consentimento “a manifestação livre, informada e inequívoca pela qual o paciente concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. No caso de um serviço prestado online, o TCLE não será aprovado pelo paciente na forma de assinatura em documento físico, sendo que todo cuidado é preciso para demonstrar a manifestação inequívoca de vontade do paciente, para o fim de amenizar o risco de vícios e, consequentemente, a nulidade. É que a manifestação de vontade genérica e sem restrições de qualquer natureza autorizando o tratamento de dados é expressamente vedada por lei. No caso de tratamento de dados de saúde, cabe salientar que o paciente é vulnerável[8], por se tratar de dados de natureza personalíssima e potencialmente discriminatória[9].

O dever de sigilo profissional estende-se às equipes assistenciais envolvidas no atendimento, como enfermeiros, nutricionistas e farmacêuticos. Ninguém da empresa médica, além do médico e desses profissionais, pode acessar o prontuário sem o consentimento inequívoco do paciente. Por outro lado, a LGPD prevê bases legais taxativas para o tratamento de dados pessoais sensíveis sem o consentimento do titular-paciente.

O parágrafo 4º do artigo 11 da LGPD veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis de saúde com objetivo de obter vantagem econômica. Contudo, abre exceções. Isso está permitido nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, desde que em benefício dos interesses dos titulares de dados, proibida a prática de seleção de riscos, e para permitir as transações financeiras e administrativas resultantes do uso e da prestação desses serviços (artigo 11, parágrafo 4º, II, da LGPD). Ainda assim, quando estritamente necessária, essa comunicação e compartilhamento devem ser realizados respeitando-se os princípios de finalidade, necessidade, transparência, proporcionalidade, segurança e não discriminação.

O artigo 6º da Lei 13.979/2020 preceitua a seguinte disposição: “É obrigatório o compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação”. O parágrafo segundo do mesmo artigo prevê que o Ministério da Saúde manterá dados públicos e atualizados sobre os casos de coronavírus confirmados , suspeitos e em investigação, que se relacionam a situação de emergência pública sanitária, resguardando o direito ao sigilo das informações pessoais. Esse compromisso com a privacidade do paciente é reiterado pelo artigo 13 da Portaria 356/2020 do Ministério da Saúde. O compartilhamento dessas informações por pessoas jurídicas de direito privado, quando os dados forem solicitados por autoridade sanitária, deve ser realizado de maneira que se resguarde a segurança da informação, em pleno respeito à dignidade, aos direitos humanos e às liberdades fundamentais dos indivíduos.

Conclusão
É um equívoco afirmar que a telemedicina conduzida de forma ética e que tenha como prisma resguardar o sigilo, a privacidade e a segurança da informação substituirá o médico. Há, sim, a conveniência de regulamentar a prática, de modo que se tenha compreensão das possibilidades e dos limites do exercício da telemedicina de forma mais compatível com a realidade digital atual. Para o professor Chao Lang[10], a telemedicina não objetiva substituir a prática médica, mas ampliar o ecossistema de saúde conectada e integrar, com maior eficiência, todo sistema de saúde. Esse entendimento deve ser também difundido nas faculdades de medicina, para preparar os médicos à nova realidade.

São muitas as vantagens da telemedicina exercida de maneira ética e legal. A utilização de recursos de tecnologias interativas para possibilitar cuidados integrados e humanizados pode melhorar e intensificar o acesso a pacientes, melhorar a logística da cadeia de saúde, além de promover a saúde e ajudar a prevenir doenças. Protege o paciente da exposição a riscos desnecessários causados por deslocamentos que podem ser evitados. Pessoas podem ser diagnosticadas e orientadas sem precisar ir ao pronto atendimento, onde ficariam vulneráveis a infecções mais graves. Ademais, pode evitar que o paciente seja submetido a exames invasivos e dispensáveis, poupando-o de sofrimento e riscos, além de desafogar o sistema público e as operadoras privadas de saúde.

No âmbito do Sistema Único de Saúde (SUS), a telemedicina pode ajudar a diminuir filas de exames e cirurgias e garantir o acesso a saúde a quem realmente precisa no momento, porque reduz o tempo de espera nos serviços de urgência. Desse modo, pronto atendimentos e hospitais podem cumprir sua função de atender casos mais urgentes e complexos. A telemedicina também viabiliza a transmissão do conhecimento, pois pode ensinar práticas especializadas a profissionais alocados em serviços de saúde nos locais mais distantes do território nacional.

[1] Boletim Epidemiológico 5. Centro de Operações de Emergências em Saúde Pública. Disponível online em: <https://coronavirus.saude.gov.br/> (acesso em 17 fev, 2020).

[2] Conselheiros do CFM revogam a Resolução 2.227/2018, que trata da Telemedicina. Nota divulgada em6 de fevereiro de 2019. Disponível online em: https://portal.cfm.org.br/index.php?option=com_content&view=article&id=28096:2019-02-22-15-13-20&catid=3> , A cesso em 14 de fevereiro de 2020. A revogação se deu por meio da Resolução 2.228/2018, que restabeleceu a vigência da Resolução 1.643/2002, que havia sido revogada pela Resolução 2.227/2018. Situação curiosa de repristinação.

[3] De acordo ao artigo 22 da referida lei, as penas disciplinares aplicáveis pelos conselhos regionais aos seus membros são as seguintes: a) advertência confidencial em aviso reservado; b) censura confidencial em aviso reservado; c) censura pública em publicação oficial; d) suspensão do exercício profissional por até 30 dias; e) cassação do exercício profissional, ad referendum, pelo Conselho Federal.

[4] A autora registra a colaboração de Fernanda Brandão, analista de qualidade e segurança da informação,, pelos esclarecimentos com respeito à ISO 27001 (ABNT NBR ISO/IEC 27001:2006), denominada Tecnologia da informação – técnicas de segurança – sistemas de gestão da segurança da informação – requisitos, publicada em outubro de 2005 pela International Organization for Standardization e pela International Electrotechnical Commission.

[5] Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I – confirmação da existência de tratamento; II – acesso aos dados; III – correção de dados incompletos, inexatos ou desatualizados; IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

[6] Art. 16 da LGPD: Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I – cumprimento de obrigação legal ou regulatória pelo controlador;

[7] Artigo 5º XII da LGPD.

[8] Caracterizado pela ausência de liberdade substancial no momento da determinação da vontade, e pela natureza do objeto do tratamento, quais sejam interesses de natureza personalíssima. MULHOLLAND, Caitlin. Dados pessoais sensíveis e consentimento na Lei Geral de Proteção de Dados, p. 50.

[9] Artigo 11 do Código Civil: “Com exceção dos casos previstos em lei, os direitos da personalidade são intransmissíveis e irrenunciáveis, não podendo o seu exercício sofrer limitação voluntária”.

[10] Telemedicina, novas tecnologias e inovação em saúde. Audiência Pública no âmbito da Comissão de Seguridade Social e Família, da Câmara dos Deputados, transmitida ao vivo em 28 de novembro de 2019. Disponível online em: <https://www.youtube.com/watch?v=8aWHEJg_RWc&t=921s>, acesso em 20 fev. 2020.