Dados das receitas médicas não estão seguros

Do ionline:

Dados das receitas médicas não estão seguros
Marta F. Reis, publicado em 13 Abr 2012

A informação clínica numa receita médica está sujeita a sigilo máximo: à partida só deve ser conhecida pelo médico, pelo doente e pelo farmacêutico que a avia. A partir de 2010 estes dados passaram a ser tratados a nível nacional por um centro de conferência de facturas, que procura identificar falhas ou mesmo fraudes e contribuir para a racionalização dos recursos do SNS. O problema está no que pode acontecer pelo meio, alerta um parecer da Comissão Nacional de Protecção de Dados. O ano passado, a prescrição electrónica passou a ser obrigatória e não há nada que impeça as empresas de software e armazenamento desta informação de aceder e usar estes dados confidenciais.

Como administradores do sistema, estas empresas podem mesmo alterar o conteúdo de receitas e, no limite, prescrever de forma ilícita com as credenciais de um médico. Através de acesso por controlo remoto podem visualizar informação confidencial sem que o médico seja informado.

O campo é o das possibilidades – não há para já provas de que algo ilícito esteja a acontecer e a CNPD está a investigar o sector. Mas a questão assume contornos preocupantes, porque um médico pode ser responsabilizado por uma receita que não prescreveu e não há forma de provar se de facto o fez. As informações de que determinada pessoa toma medicação para o VIH ou o cancro pode chegar a seguradoras ou a empregadores se os dados forem vendidos ou simplesmente acedidos por terceiros com essas intenções. Há ainda os riscos comuns a todas as redes de informação, como ataques de hackers.
A CNPD analisou o dossiê a pedido do governo, num parecer sobre um projecto de portaria que vai regulamentar a Lei 11/2012, de 8 de Março, que estabelece a prescrição universal por princípio activo. Estas preocupações não surgiam no texto da portaria e ontem a tutela não respondeu ao i sobre medidas a tomar.
O debate sobre os riscos do actual sistema, incluídos no parecer de 2 de Abril, foi lançado quarta-feira no encontro mensal da Ordem dos Médicos, desta vez sobre segurança informática na saúde. “O processo não salvaguardou a confidencialidade dos dados. Não teve em conta que esta opção, por existir empresas privadas, não tendo nada contra empresas privadas, permite acesso à informação nos sistemas. A saúde é um negócio muito lucrativo e esta informação é interessante para muita gente. Se há empresas que têm apenas no seu negócio a informática, há outras que alargaram o seu objecto a outras áreas da saúde”, disse ao i Isabel Cruz, secretária-geral da CNPD. “O que temos hoje é apenas a confiança de que estas empresas não vão utilizar mal os dados.”

A CNPD diz que não tem sido dado o enfoque necessário a medidas de segurança que garantam a protecção dos dados pessoais dos cidadãos, o que põe em causa não só a relação médico-doente como os próprios fins da prescrição electrónica – “aumentar a qualidade da prescrição, incrementar a segurança do circuito do medicamento e, consequentemente, o combate à fraude na prescrição no âmbito do SNS.” Com este modelo, diz o parecer, não serão atingidos e neste momento não é possível ao Estado garantir a validade da prescrição que vai conferir. Embora a Administração Central do Sistema de Saúde, que certificou empresas e softwares, tenha garantido a compatibilidade técnica, não têm sido salvaguardadas outras condições de integridade, como saber onde estes são guardados – neste aspecto, a comissão recomenda que seja proibido o armazenamento em cloud computing e que seja obrigatório o armazenamento estar localizado no país. Pede ainda uma regulação das regras de acesso remoto à informação, nomeadamente um mecanismo que avise o prescritor de que alguém pretende aceder ou acedeu aos seus dados.
Todas as estas preocupações, diz a certo ponto a comissão, se aplicam também à matéria nos processos clínicos electrónicos, guardados por muitas das empresas que actuam como intermediárias na prescrição electrónica. Isabel Cruz diz que há outras questões por regulamentar: se uma empresa entra em litígio com o médico, nada garante que a informação volte à sua posse. O mesmo no caso de uma destas empresas sair do mercado, pelo que é preciso sensibilizar médicos e gestores: “A ideia de que a informação está residente no computador dos médicos não é verdadeira.”

No debate na OM, o presidente da ACSS reconheceu que a introdução da prescrição electrónica obrigatória foi um processo apressado pela troika (era uma exigência do Memorando). João Carvalho das Neves disse que estes riscos de violação de dados já existiam mesmo antes da prescrição electrónica e que agora devem ser resolvidos. “Houve pressões para que as coisas andassem rapidamente. É normal que haja coisas a fazer. Mas é uma vantagem para o SNS ter o que tem hoje.” Também afirmou que com a passagem da tutela dos sistemas de informação de saúde para os serviços partilhados do Ministério da Saúde, a ACSS – que actuaria aqui como supervisora – deixou de ter técnicos informáticos ao seu serviço.