Vazamento de dados da saúde de milhões de brasileiros pode ser só o começo

Dois vazamentos de dados individuais sobre a saúde de milhões de brasileiros tornaram-se públicos nos últimos dias. Apesar de inaceitáveis e chocantes, eles servem como um alerta importante, neste momento de pandemia, sobre o risco que estamos correndo diante da falta de prioridade do governo federal com a proteção de dados da população. Leia no artigo de Jonas Valent*e e Marina Pita**.

 

 

Ficaram abertas para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde, o que envolve mais de 200 milhões de pessoas, segundo revelou o jornal O Estado de S.Paulo nesta quarta (2).

Já, na semana passada, soubemos que dados de pessoas que haviam testado para covid-19 ficaram abertos para consulta, após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas para a doença nas 27 unidades da federação.

O Ministério da Saúde defende uma nova Política Nacional de Informação e Informática em Saúde (PNIIS), com grandes chances de aprovação sem o devido amadurecimento e cautela da questão. O resultado pode ser o aumento no risco de novos vazamentos ou de acessos indevidos à vida pessoal dos cidadãos.

No auge da pandemia do coronavírus, no dia 3 de agosto, o ministério lançou a minuta de uma portaria para um novo PNIIS.

A proposta continha graves equívocos e lacunas, além de desconsiderar as necessidades que se apresentam no contexto de pandemia, em que os serviços de saúde são cada vez mais necessários e vão alcançar um número extremamente significativo de cidadãos brasileiros.

Não havia uma previsão de mecanismos e instrumentos para a proteção de dados pessoais em saúde.

A Associação Brasileira de Saúde Coletiva (Abrasco) pediu prorrogação do prazo, a princípio de 15 dias, para contribuições à consulta pública – considerando que, ao contrário de suas edições de 2004 e 2015, foi apresentada sem um cuidadoso e prévio debate.

Dados pessoais sobre a saúde dos brasileiros ganham a rede

Cabe lembrar que a Lei Geral de Proteção de Dados (13.709/2018) cria critérios específicos e mais rígidos para o tratamento de dados de saúde, classificados como “dados sensíveis”, justamente porque o uso de tais informações pode levar à discriminação e desencadear uma série de exclusões. O que afasta pessoas do acesso a serviços essenciais à preservação da vida e impede a fruição plena de direitos, como ao trabalho e à vida em comunidade.

O reconhecimento dos registros sobre saúde como dados sensíveis implica que estes devem estar submetidos a níveis de proteção e segurança maiores. No caso da proteção, deve haver limitações mais explícitas para evitar o abuso na coleta e no tratamento dessas informações.

A título de exemplo: pessoas com HIV têm direito à privacidade quanto à sua condição de saúde. No entanto, dados pessoais (incluindo nome dos pacientes, número de identificação, telefone, endereço, resultado de exames e outros) de 14.200 pessoas portadoras do vírus foram vazados na internet em Cingapura no ano passado.

É importante reforçar que o Supremo Tribunal Federal, em decisão histórica no julgamento das Ações Diretas de Inconstitucionalidade (ADI) 6387, 6388, 6389 6393 e 6390, reconheceu a existência de um direito autônomo à proteção de dados pessoais.

Tal reconhecimento, argumenta Laura Schertel, professora adjunta de Direito Civil da Universidade de Brasília (UnB) e do Instituto Brasiliense de Direito Público (IDP), implica que o Estado deve agir em dois sentidos: tem um dever de não interferir indevidamente no direito fundamental e um dever positivo de adotar medidas positivas para a proteção desse direito.

Uso de cobaias humanas e vazamento de 200 milhões

A violação de dados pode ser pior entre grupos tradicionalmente vulnerabilizados na política de saúde e historicamente explorados como “cobaias humanas”.

Pessoas negras, em particular, têm sido exploradas para pesquisas médicas ao longo da história, sendo um dos casos mais conhecidos o Estudo de sífilis de Tuskegee, nos Estados Unidos, no qual 400 homens negros com sífilis foram deixados sem tratamento (sendo enganados de que estavam sendo medicados) por 40 anos, de 1932 a 1972, para que médicos do governo pudessem estudar o curso da doença.

Fato do passado? Não. Em abril, declaração de médicos franceses que apontavam a possibilidade de testar vacinas de covid-19 na África reacendeu o debate.

As normas propostas na minuta para a nova Política Nacional de Informação e Informática em Saúde visam ampliar as formas de coleta de dados em saúde, no intuito de promover a “inovação” no setor.

Ou seja, o uso de dados para pesquisas e desenvolvimento de processos e produtos, sem problematização de qual o objetivo a ser alcançado: se a saúde integral, lucro ou os dois.

Um exemplo é o intuito de “estabelecimento de política de controle de acesso autorizado aos bancos de dados dos sistemas de informação em saúde pelo usuário, pelos profissionais e pelos gestores de saúde”, o que inclui o compartilhamento de dados com instituições privadas de saúde. Não se sabe se em caso de portabilidade de dados a pedido de paciente ou se seria o caso de livre fluxo de informações.

Foi exatamente através do compartilhamento de sistemas de gestão de dados pessoais em saúde entre poder público e privado que o vazamento do Hospital Albert Einstein ocorreu, por meio de um prestador de serviço de uma unidade privada cuja parceria com o Ministério da Saúde permitiu o acesso ao banco de dados do órgão.

Imagine esta possibilidade em cada hospital ou clínica do país caso haja uma integração da base de dados em saúde, como por meio da criação do prontuário eletrônico?

O vazamento mais grave divulgado nesta quarta (2) é outro exemplo a evidenciar o tamanho do problema. Se não fosse suficiente a preocupação com o tipo de informação e seu caráter sensível, a escala do acesso indevido (mais de 200 milhões de pessoas, segundo o jornal) já torna o episódio gravíssimo.

Quanto maior um banco de dados, mais ele atrai a atenção de agentes maliciosos que vão tentar invadi-lo, tornando a Rede Nacional de Dados em Saúde um alvo preferencial. Neste sentido, se não houver uma prioridade para as medidas de proteção de dados e segurança, o governo federal poderá estar expondo o conjunto da população brasileira a riscos de uso de informações preciosas, que poderão gerar prejuízos não contabilizáveis.

Acesso a dados pessoais de saúde atraem a indústria farmacêutica

Além das preocupações com a segurança dos dados de saúde e contra atividades criminosas, é fundamental compreender o valor dos dados de saúde para o mercado farmacêutico e a possibilidade de exploração privada, sem qualquer debate público e retorno aos objetos pesquisados em termos de acesso a tratamentos e serviços.

Nos Estados Unidos, o projeto Nightingale, conduzido pelo Google por meio de uma parceria com uma entidade controladora de 2.600 hospitais no país, a Ascension, gerou controvérsias. O apetite de grandes plataformas digitais e de empresas da área de saúde e de seguros por dados de pacientes é um exemplo do valor dessas informações para estas companhias, e de como tais registros podem ser empregados para a exploração comercial da saúde de cidadãos.

É urgente que o Ministério da Saúde assuma a responsabilidade pelos episódios, adote medidas imediatas de garantia da segurança dos bancos de dados existentes e reabra com a sociedade e com as entidades da área de saúde e de proteção de dados a discussão sobre a RNDS e acerca da PNIIS e normas associadas.

Até o momento não se tem informação do resultado da consulta pública e se haverá debates e audiências após a apresentação das propostas ajustadas.

*Jonas Valente é doutor em sociologia da tecnologia, professor de comunicação da Universidade de Brasília e integrante do Intervozes;
** Marina Pita é formada em comunicação social pela PUC-SP, pós-graduanda em direito digital na UERJ e coordenadora do Intervozes.

Fonte: Blog do Sakamoto