Desafios normativos da interoperabilidade na saúde
Por Paulo Carvalho Soares e Adalberto Veríssimo Junior
A interoperabilidade pode ser conceituada como a capacidade de diferentes sistemas e tecnologias se comunicarem e compartilharem informações entre si de forma eficiente e segura, permitindo que componentes diferentes trabalhem juntos de forma harmoniosa, sem restrições ou barreiras técnicas ou semânticas. Além disso, torna-se fundamental para garantir a comunicação entre sistemas, dispositivos e aplicativos em diferentes plataformas, como computadores, smartphones, tablets, dispositivos de IoT (Internet das Coisas), etc, garantindo que dispositivos de diferentes marcas possam se comunicar em uma rede doméstica ou para que diferentes sistemas possam trocar informações em uma organização.
Pensando no contexto das instituições de saúde, garantir esta intercomunicabilidade é importante porque os pacientes frequentemente recebem cuidados de múltiplos profissionais em diferentes departamentos e especialidades, o que pode levar à fragmentação do cuidado e falhas na comunicação. Desta forma, é possível fazer com que todas as informações relevantes sobre o paciente estejam disponíveis para os profissionais de saúde envolvidos em seu cuidado, permitindo uma melhor coordenação do atendimento e tomada de decisão mais informada em diferentes sistemas como registros eletrônicos de saúde, prescrição eletrônica, monitoramento remoto de pacientes, faturamento e outros.
Embora essa tecnologia possa ser extremamente útil para os pacientes e aos profissionais da saúde, a interoperabilidade também apresenta riscos. Por exemplo, a troca de informações entre diferentes sistemas pode expor as informações do paciente a vulnerabilidades de segurança cibernética, como ataques de hackers, invasões de privacidade ou roubo de dados. Além disso, pode levar a conflitos de terminologia ou de formatos de dados, o que pode prejudicar a integração e a utilização de informações precisas e úteis.
Existem várias linguagens e padrões que são utilizados para garantir a interoperabilidade entre diferentes sistemas de saúde. Algumas das linguagens mais comuns incluem:
- HL7: é um padrão de comunicação entre sistemas de saúde que define a estrutura e o conteúdo das mensagens trocadas entre sistemas.
- FHIR: é um padrão emergente para troca de informações de saúde eletrônicas (EHR) que permite o compartilhamento de dados de saúde em tempo real.
- DICOM: é um padrão para a comunicação de imagens médicas e informações relacionadas, como resultados de testes e laudos.
Outras linguagens e padrões comuns incluem LOINC, SNOMED-CT e ICD-10, que são utilizados para padronizar terminologias e classificações de informações de saúde. É importante que os sistemas de saúde adotem as linguagens e padrões adequados para garantir a interoperabilidade efetiva e reduzir os riscos associados.
No Brasil, a interoperabilidade no ambiente da saúde pode enfrentar desafios normativos e sistêmicos relacionados às normas de privacidade. A Lei Geral de Proteção de Dados (LGPD), publicada em 2018, mas em vigor desde em 2020, estabelece regras rigorosas para a coleta, uso e compartilhamento de dados pessoais, incluindo informações de saúde, que são considerados como dados pessoais sensíveis e exigem um nível mais alto de proteção pelos agentes de tratamento, para impedir a ocorrência de incidentes de segurança ou violações de dados.
Em termos normativos, a interoperabilidade pode enfrentar desafios em relação ao consentimento do paciente, quando ele for exigido para o tratamento de seus dados pessoais. Isso porque a LGPD exige que os titulares sejam informados sobre como seus dados pessoais, incluindo dados de saúde, serão coletados e usados, garantindo-lhes a oportunidade de dar seu consentimento de forma livre e inequívoca para o uso de seus dados pessoais, o que pode ser difícil de obter quando várias partes estão envolvidas no compartilhamento de informações do paciente. Além disso, a LGPD também exige que os dados pessoais sejam coletados e utilizados apenas para fins específicos, o que pode limitar a forma como as informações do paciente são compartilhadas entre diferentes sistemas e profissionais de saúde.
Em termos sistêmicos, a interoperabilidade pode enfrentar desafios em relação à segurança cibernética. Como mencionado anteriormente, a troca de informações de saúde entre diferentes sistemas pode expor as informações do paciente a vulnerabilidades de segurança cibernética, como ataques de hackers, invasões de privacidade ou roubo de dados. Para garantir a segurança dos dados do paciente, os sistemas de saúde devem adotar medidas de segurança cibernética adequadas, incluindo o uso de criptografia e autenticação de usuários, bem como a implementação de políticas e procedimentos de segurança cibernética que ajudam a prevenir, detectar e responder a ameaças cibernéticas. É um conjunto de ações para ampliar o nível de maturidade de governança corporativa, especialmente quanto ao ambiente tecnológico.
Além disso, a interoperabilidade pode enfrentar desafios em relação à padronização dos sistemas e terminologias. Os sistemas de saúde podem utilizar diferentes linguagens, terminologias e formatos para armazenar e compartilhar informações de saúde, o que pode dificultar a comunicação e o compartilhamento de informações entre diferentes sistemas. A adoção de padrões comuns de terminologia e formatação pode ajudar a melhorar a interoperabilidade no ambiente da saúde, mas depende do comprometimento de todas as pontas envolvidas no tratamento de dados, especialmente as empresas responsáveis pela criação e programação dos sistemas.
Um exemplo de conduta de alto risco envolvendo a interoperabilidade hospitalar e seus stakeholders seria a falta de padrões e políticas de segurança cibernética efetivas para proteger as informações do paciente durante a troca de informações entre diferentes sistemas de saúde.
Por exemplo, em 2015, o sistema de saúde UCLA Health em Los Angeles, nos Estados Unidos, sofreu um ataque cibernético que comprometeu as informações pessoais e de saúde de cerca de 4,5 milhões de pacientes. O ataque foi possível devido a uma vulnerabilidade no sistema de gerenciamento de vulnerabilidades do hospital, que permitiu aos hackers acesso às informações do paciente. O incidente ressalta a importância de ter políticas e procedimentos de segurança cibernética efetivos para proteger as informações do paciente durante a troca de informações entre diferentes sistemas de saúde.
Na questão da interoperabilidade, a responsabilização do operador e do controlador de dados pode variar dependendo da legislação e normas aplicáveis em cada país. No entanto, em geral, tanto o operador quanto o controlador de dados têm responsabilidades específicas na garantia da segurança e privacidade das informações do paciente durante a troca de informações entre diferentes sistemas de saúde.
O controlador de dados é a pessoa ou organização responsável por determinar as finalidades e meios do processamento de dados pessoais, enquanto o operador é a pessoa ou organização que realiza o processamento de dados em nome do controlador. Na questão da interoperabilidade, o controlador de dados tem a responsabilidade de garantir que a troca de informações de saúde entre diferentes sistemas de saúde esteja em conformidade com as leis e normas de privacidade e proteção de dados aplicáveis. Isso inclui a obtenção do consentimento do paciente, quando necessário, a implementação de medidas de segurança cibernética adequadas, e o estabelecimento de padrões comuns de terminologia e formatação.
O operador de dados, por sua vez, tem a responsabilidade de garantir que os sistemas e tecnologias utilizados para a troca de informações de saúde sejam seguros e confiáveis, e que as informações do paciente sejam processadas e compartilhadas de acordo com as políticas e procedimentos de segurança cibernética estabelecidos pelo controlador de dados. O operador também deve garantir que as informações do paciente sejam precisas e úteis para os profissionais de saúde envolvidos no cuidado do paciente.
Desta forma, observa-se que tanto o controlador quanto o operador de dados têm responsabilidades importantes na questão da interoperabilidade. É essencial que eles trabalhem juntos para garantir a segurança e privacidade das informações do paciente durante a troca de informações entre diferentes sistemas de saúde, seguindo as leis e normas aplicáveis e adotando medidas adequadas de segurança cibernética.
Em conclusão, a interoperabilidade no ambiente da saúde pode enfrentar desafios normativos e sistêmicos relacionados às normas de privacidade no Brasil. Para garantir a interoperabilidade efetiva, é importante que os sistemas de saúde adotem medidas adequadas de segurança cibernética, obtenham o consentimento do paciente e utilizem padrões comuns de terminologia e formatação. Trata-se de um avanço fundamental para a inovação e a criação de novas soluções em saúde, permitindo que desenvolvedores e startups possam criar novos aplicativos que possam ser integrados com outros sistemas de informações de saúde, sem a necessidade de desenvolver interfaces personalizadas para cada sistema.
*Paulo Vinícius de Carvalho Soares é especialista em Direito de Internet pela FGV – Fundação Getúlio Vargas e Data Protection Officer do Lee Brock e Camargo Advogados.
*Adalberto Fraga Veríssimo Junior é advogado, graduado em Direito pelo Centro Universitário Filadélfia – UniFil, sócio da Lee, Brock, Camargo Advogados (LBCA) e coordenador na área de Direito Digital e Novas Tecnologias.