XXIV Congresso Brasileiro de Engenharia Biomédica – CBEB 2014 TI Móvel na Saúde: Privacidade, Confidencialidade e Segurança Michele Alberton Andrade1, Darcio Pinto Prestes1,2, Marcio Luis Varani 1,3 e Léria Rosane Holsbach1,3 1 Curso De Especialização em Engenharia Clinica da Universidade Federal de Ciências da Saúde e Santa Casa de Misericórdia de Porto Alegre 2 Infinea Projetos Especiais, Porto Alegre, Brasil 3 Centro de Referências e Avaliação de Tecnologias e Insumos Estratégicos – Universidade Federal do Rio Grande do Sul e-mail: [email protected] Resumo: As tecnologias da informação em saúde continuam a evoluir, agora sob a perspectiva da mobilidade, fazendo uso de dispositivos como smartphones, tablets e outros. Entretanto, ao mesmo tempo que confere celeridade aos serviços, este novo modelo de colaboração pode conferir fragilidade à confidencialidade dos dados de pacientes. Desta forma, o objetivo deste trabalho foi realizar uma revisão sobre o tema da mobilidade na saúde, considerando normas, regulamentações, recomendações e artigos científicos de base nacional e internacional. Os resultados obtidos apontaram que alguns países já regulamentaram o uso de dispositivos móveis para a área da saúde. No Brasil, que possui ampla proteção às informações do indivíduo, por outro lado, não há recomendações em relação ao uso desses dispositivos. Outro aspecto relevante é que o fator humano é o mais delicado no que diz respeito à segurança das informações. Palavras-chave: mobilidade, privacidade, confiabilidade, segurança, normas. Introdução As informações contidas nos Registros Eletrônicos de Saúde (RES) constituem-se em dados de absoluta importância, seja para a própria área médica, como para as áreas administrativa, jurídica ou acadêmica. Com o crescente volume desses dados e da complexidade dos sistema, é papel da Tecnologia da Informação (TI) colocar à disposição a informação, onde e quando ela for necessária [1]. Uma vez que mobilidade relaciona-se tanto a portabilidade, isto é, a capacidade de se levar, para qualquer lugar, um dispositivo de TI [2], quanto ao uso das capacidades computacionais enquanto os dispositivos estão sendo movidos [3], podemos dizer que o uso das tecnologias provenientes da Computação Móvel, para a saúde, surge como uma valorosa ferramenta para atender essa necessidade [4]. A crescente utilização dos dispositivos móveis no cuidado do paciente tem conferido celeridade aos serviços assistenciais e aumentado o repositório de informações clínicas dos estabelecimentos de saúde e dos órgãos de saúde pública. Isso, juntamente a ampliação das redes de banda larga móvel e o fenômeno das redes sociais, aponta para um novo estilo de colaboração no qual verifica-se a necessidade de avaliar se a utilização destas tecnologias violam direitos essenciais dos pacientes, como sua privacidade, e qual a orientação dos órgãos regulatórios sobre este tema. Com base nas exposições acima, objetivo deste trabalho é realizar uma análise do crescente uso dos sistemas de informação e tecnologias móveis direcionados para a área da saúde sob a perspectiva da privacidade, confidencialidade e segurança dos dados dos pacientes, bem como apresentar diretrizes legais existentes em âmbito nacional e internacional sobre esta questão. Abstract: Information Technology in healthcare this time evolve from the perspective of mobility, making use of devices such as smartphones, tablets and others. However, while it provides quick services, one can say that such a new model of collaboration can input weakness in confidentiality of patient data. Thus, a review of mobility in health was carried out considering standards, regulations, recommendations and scientific articles, taking into acconunt national and international basis. The results showed that some countries have regulated the use of mobile devices for healthcare. In Brazil, which has extensive information protection of the individual, on the other hand, there are no recommendations regarding the use of these devices. Another relevant aspect is that the human factor is the most delicate with regard to information security. Keywords: mobility, privacy, confidentiality, security, legal guidelines. Métodos A pesquisa foi realizada no período de Março a Junho de 2014. Para atingir o mapeamento desejado em relação a normas e regulamentações e recomendações 1 2314 XXIV Congresso Brasileiro de Engenharia Biomédica – CBEB 2014 foram consultados documentos das seguintes instituições nacionais e internacionais: Agência Nacional de Vigilância Sanitária (ANVISA), Conselho Federal de Medicina (CFM), Associação Brasileira de Normas Técnicas (ABNT), Food and Drug Administration (FDA), Office of The Privacy Comissioner of Canada, Internacional Eletrotechnical Comission (IEC), World Health Organization (WHO) e Healthcare Information and Management Systems Society (HIMSS). Para o levantamento dos artigos na literatura, foi realizada uma pesquisa nas bases de dados: Literatura Latino-Americana e do Caribe em Ciências da Saúde (LILACS), Scientific Electronic Library Online (SCIELO), Medical Literature Analysis and Retrieval System Online (MEDLINE) e IEEE Xplore Digital Library. Foram utilizados, para busca de artigos, os seguintes descritores e suas combinações nas línguas portuguesa e inglesa: "Mobilidade", "Segurança", "Confidencialidade", "Privacidade". Foram aplicados operadores booleanos cruzando-se os descritores anteriormente relacionados nas bases de dados citadas. Os critérios de inclusão dos artigos foram: artigos publicados em inglês ou português; artigos na íntegra relacionados à área da saúde; artigos com enfoque em questões legais na área da saúde. Foram excluídos artigos que, embora contemplassem o tema proposto, tratassem estritamente de implementações técnicas. esse artifício como uma prática médica e de saúde pública apoiada por dispositivos móveis, envolvendo o uso de voz e mensagens de texto (SMS), bem como funcionalidades e aplicações mais complexas, incluindo dados GPRS, terceira e quarta gerações de telefonia móvel (3G e 4G), GPS e tecnologia Bluetooth [8]. Com o melhoramento dos displays de dispositivos móveis, a portabilidade começa a ajudar, então, a equipe médica a acessar imagens, laudos e informações sobre o paciente de forma rápida e sem a necessidade de recorrer as plataformas fixas [9]. Assim, na perspectiva do atendimento médico, há uma alteração sensível na maneira de conduzir seus serviços. Em 2012, foi publicado um guia, no Canadá, divulgando as práticas desejáveis em relação a privacidade aos desenvolvedores de aplicativos móveis [10]. Em 2013, o FDA publicou um documento com o objetivo de esclarecer quais tipos de aplicativos móveis exercerá poder regulatório. Nesse, esclarece que é a intenção de uso do aplicativo que determina se ele será considerado um dispositivo: se a intenção de uso caracterizar diagnóstico, cura, tratamento ou prevenção de doença ou afetar alguma estrutura ou função do corpo humano, então o aplicativo móvel é considerado um dispositivo. Os fabricantes de Aplicativos Móveis Médicos estão sujeitos aos requisitos descritos nos regulamentos aplicáveis de acordo com a classificação do dispositivo médico [11]. No Brasil, não figura nenhum marco regulatório ou recomendação específica sobre a utilização dos dispositivos móveis na saúde. No entanto, a RDC no 185 de 2001, em seu Anexo I, define que produto médico é aquele destinado à prevenção, diagnóstico, tratamento, reabilitação ou anticoncepção. E através da Nota Técnica no 04 de 2012 orienta que os softwares destinados aos mesmos fins estão sujeitos ao regime de vigilância sanitária [12]. O CFM, em sua resolução 1.643/02 traz definições acerca de telemedicina, com normas técnicas de guarda, manuseio, transmissão dos dados, confidencialidade e privacidade, enquanto a resolução 1.890/09 define e normatiza a Telerradiologia, destacando que o paciente deverá autorizar a transmissão eletrônica de imagens [13, 14]. No que se refere a preservação da informação, esta pode ser abordada tanto pela questão da privacidade quanto pela da confidencialidade. A privacidade é a limitação do acesso às informações de uma dada pessoa, ao acesso à própria pessoa, à sua intimidade; é a garantia à preservação do seu anonimato, do seu resguardo. É a liberdade que o paciente tem de não ser observado sem autorização. O artigo XII da Declaração Universal dos Direitos Humanos, proposta pela ONU em 1948, já estabelecia o direito a não interferência na vida privada pessoal ou familiar. A confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada. O dever de confidencialidade que todos os profissionais de saúde devem observar se mantém mesmo após o óbito do paciente [15]. Porém quanto mais digital as pessoas se tornam, mais Resultados A seguir estão apresentados os resultados obtidos a partir de revisão sobre o tema proposto, abordando as principais iniciativas e marcos regulatórios. Em pesquisa realizada pela HIMSS, entre dezembro de 2013 e janeiro de 2014, sobre mobilidade em saúde, 83% dos entrevistados indicaram o uso de tecnologias móveis por médicos para fins assistenciais, sendo as tecnologias mais comuns os laptops e smartphones. Os participantes apontaram como finalidades principais: visualização de informações de pacientes (69%), como resultados de exames e laboratórios, notificações clínicas (41%), prescrição eletrônica (32%) e ações de telessaúde (24%) [5]. Em relação às principais iniciativas, podemos destacar o Health Canada, departamento do Governo do Canadá responsável pela área de saúde pública, que em 2010, aprovou o uso de um aplicativo móvel, para iPhone, para fins de diagnóstico por imagem. Na época, testes foram conduzidos para comparar o desempenho dos médicos radiologistas utilizando iPhone e uma workstation para avaliação diagnóstica [6]. Já nos EUA, o FDA passou a permitir, em 2011, o uso de um aplicativo móvel para radiologia no qual o médico pode ver e diagnosticar seus pacientes com o uso de um iPhone ou iPad, desde que não seja possível utilizar uma workstation para tal finalidade [7]. A partir de 2011, a Organização Mundial da Saúde (OMS) reconhece o potencial de estratégias mHealth (mobile health ou saúde móvel), publicando um relatório no qual define 2 2315 XXIV Congresso Brasileiro de Engenharia Biomédica – CBEB 2014 154 do Código Penal Brasileiro (1940) e os Art. 11o, Art. 70 e Art. 102 do Código de Ética do CFM [21, 22, 23]. A adoção de novas tecnologias como redes de comunicação sem fio, por exemplo, podem aumentar sensivelmente a probabilidade de ocorrência de novos problemas. Ao mesmo tempo, as redes se tornam essenciais para o ambiente clínico, transportando informações cada vez mais diversificadas, desde dados de pacientes com risco de vida, que exigem a entrega imediata e resposta, até dados gerais de operações corporativas. Aumenta o número de dispositivos médicos que são projetados para trocar informações eletronicamente com outros equipamentos no ambiente de usuário, incluindo outros dispositivos médicos. No entanto, a incorporação de dispositivos médicos, móveis ou não, em redes de TI no ambiente clínico é pouco regulamentada. Em 2010 foi publicada a norma IEC 80001: Application of Risk Management for IT-networks incorporating medical devices, cujo objetivo é estabelecer uma gestão de risco de forma consistente com o padrão NBR ISO 14971:2009 [24] e que envolva a alta administração da instituição e seus fornecedores, de modo a obter características chave de segurança, eficácia e interoperabilidade, necessárias para garantir o bem-estar do paciente. A norma aplica-se a redes sem fio ou cabeadas que possuam pelo menos um dispositivo médico conectado a ela [25]. Ao final, cabe deferência ao Princípio da Proporcionalidade, ou seja, deve-se introduzir segurança a medida que o ônus de suas ações não tornem o sistema impraticável [26]. facilmente as informações circulam. À medida que o acesso à internet cresce, aumentam as fragilidades, as exposições e os ataques, mesmo que na maior parte das vezes a infraestrutura de saúde não seja o alvo principal dos ataques, porém um dano colateral [16]. Quando se fala em Tecnologia da Informação, a privacidade é geralmente citada como o equilíbrio entre o risco de suprir as organizações com informações sobre as pessoas e os benefícios gerados pelo acesso do usuário a estas informações e serviços [17]. A mobilidade acelerou, ainda mais, com a eclosão das diversas opções de dispositivos móveis e isso contribuiu para o exercício do conceito de Bring Your Own Device, no qual os profissionais utilizam os aparelhos que escolhem para seu uso pessoal também para fins corporativos. Por conseguinte, despertam preocupações em relação à segurança das informações contidas em caso de perda ou roubo do dispositivo, a segurança das informações transferidas por rede sem fio e a segurança dos aplicativos para estes dispositivos. A OMS recomenda que os responsáveis por políticas e gerenciamento de programas de mobilidade devem estar cientes das questões de segurança em relação a mHealth para que estratégias apropriadas sejam desenvolvidas e implementadas [8]. Definir uma lista de aparelhos/dispositivos seguros para uso, estimular ações como criptografia, aplicação de senha nos dispositivos, limpeza e travamento remoto dos dispositivos são indicados como práticas aconselháveis [18]. Falhas na segurança das informações podem acontecer não somente nos sistemas informatizados, mas também entre os profissionais envolvidos. Comentários a respeito de dados de pacientes, conversas informais em ambientes públicos, mesmo que sejam dentro da própria instituição, podem resultar em rupturas no processo de segurança desses dados. Em análise exploratória sobre a percepção, no ambiente de trabalho, da confidencialidade das informações de pacientes, realizada através de entrevistas com profissionais com atuações distintas na área da saúde, observou-se que não se trata de um problema relacionado à tecnologia, mas sim de aspectos comportamentais dos indivíduos envolvidos e que ocorre uma relativização dos profissionais em relação as políticas de acesso e uso das informações privadas dos pacientes [19]. Neste sentido, países como os Estados Unidos têm procurado controlar estas atividades, com a publicação de leis, entre elas o Health Insurance Portability and Accountability Act (HIPAA) - Privacy Rule, promulgado como um Ato de Lei que visa proteger toda informação pessoal disponibilizada e utilizada na prestação de serviços de saúde. O documento define diretivas dos direitos à privacidade e à segurança de registros de saúde [20]. No Brasil, o resguardo das informações, entre as quais se incluem aquelas referentes a saúde de cada indivíduo, é preocupação presente nos mais variados setores da sociedade e está expressa em diplomas legais, como o Art. 5o da Constituição Federal (1988), os Art. 153 e Art. Discussão e Conclusões O material analisado neste trabalho evidencia que a saúde já incorpora a mobilidade como forma de incrementar sua eficiência e velocidade. Tanto que importantes organizações internacionais reconhece-a como estratégia relevante na condução dos serviços assistenciais em saúde. Entretanto, carece atenção para que sejam observados direitos fundamentais como a privacidade, a confiabilidade e a segurança das informações em saúde, pois estas passam a trafegar com maior facilidade e celeridade. Constata-se que a legislação brasileira possui um elevado nível de proteção à privacidade do indivíduo. Da mesma forma que o CFM no que diz respeito ao sigilo das informações da relação médicopaciente. No entanto, inexistem recomendações e/ou estratégias para a adoção de políticas de mobilidade, em especial na saúde. Uma vez que o próprio fator humano é capaz de trazer risco as informações que circulam nas instituições e, somando a isso a explosão do uso das redes sociais, em que praticamente não há fronteiras entre vida profissional e pessoal, podemos afirmar que beira ao impossível evitar, apenas com tecnologia, o vazamento de informações e que assuntos de trabalho se tornem públicos. Neste contexto, somente o treinamento, a conscientização dos colaboradores e uma política que 3 2316 XXIV Congresso Brasileiro de Engenharia Biomédica – CBEB 2014 preveja os casos de não conformidade podem evitar exposição indevida. No que diz respeito a infraestrutura física também existe preocupação, principalmente quando, através da rede de TI, trafega-se dados de pacientes e de conteúdo geral. Dentro desse escopo, a norma IEC 80001:2010 traz recomendações relevantes, como a recomendação da implementação de uma gestão de risco que envolva a alta administração da instituição bem como seus fornecedores externos. from:https://www.priv.gc.ca/information/pub/gd_app_2 01210_e.asp [11] U.S. Department of Health and Human Services Food and Drug Administration. Mobile Medical Applications Guidance for Industry and Food and Drug Administration Staff [internet]. 2013. [12] Brasil. ANVISA. Agência Nacional de Vigilância Sanitária. Resolução RDC nº 185, de 22 de outubro de 2001. Diário Oficial da União, Brasília, 24 out 2001. [13] Conselho Federal de Medicina. Resolução nº 1643 de 26 de agosto de 2002. Diário Oficial da União, Brasília, 26 ago 2002. Seção I, p. 205. [14] Conselho Federal de Medicina. Resolução nº 1890 de 19 de janeiro de 2009. Diário Oficial da União, Brasília, 19 jan 2009. Seção I, p. 94-5. [15] Goldin JR, Francisconi F. Bioética e Informação. 2004. Available from: emhttp://www.bioetica.ufrgs.br/bioinfo.htm. [16] Hsu F, Marinucci D. Advances in Cyber Security: Technology, Operation, and Experiences. Fordham University Press; 2013. [17] Rose EA. An examination of the concern for information privacy in the New Zealand regulatory context. Information & Management. 2006. 43(3): 322335. [18] Companhia de Processamento de Dados do Estado de SP (PRODESP). Informativo Tecnológico: Mobilidade Corporativa [internet]. 2012. Available from: http://www.prodesp.sp.gov.br/clientes/pdf_tendencias/I NFORMATIVO_TENDENCIAS_SET_2012.pdf. [19] Bragança CEBA, Mezzomo EL, Testa MG. Segurança da Informação e privacidade de informações de pacientes de instituições de saúde: uma análise exploratória da priacidade percebida pelos profissionais. In: Proceedings of the XXXIV Encontro da ANPAD; 2010. Rio de Janeiro. 2010. [20] Baumer D, Earp JB, Payton FC. Privacy of Medical Records: IT implications of HIPAA. ACM SIGCAS Computers and Society. 2000. 30. p. 40-47. [21] Brasil. Constituição. 1988. Constituição da República Federativa do Brasil. [22] Brasil. Decreto-Lei no 2.848, de 7 de dezembro de 1940. Código Penal. [23] Conselho Federal de Medicina. Resolução nº 1931 de 24 de setembro de 2009. Diário Oficial da União, Brasília, 13 out. 2009. Seção I, p. 173. [24] Associação Brasileira de Normas Técnicas. ABNT NBR ISO 14971:2009. Produtos para a saúde Aplicação de gerenciamento de risco a produtos para a saúde. Available from: http://www.abntcatalogo.com.br/norma.aspx?ID=55540 [25] IEC 80001-1:2010. Application of risk management for IT-networks incorporating medical devices – Part 1: Roles, Responsibilities and Activities [internet]. 2010. Available from: http://www.iso.org/iso/catalogue_detail.htm?csnumber= 44863 [26] Kobayashi LOM, Furuie SS. Segurança em Imagens Médicas. In: X Congresso Brasileiro de Informática em Saúde. 2006. Florianópolis. 2006. Referências [1] Sigulem D, Anção MS, Ramos MP, Leão BF. Sistemas de Apoio à Decisão em Medicina. Atualização Terapêutica. Manual Prático de Diagnóstico e Tratatamento [internet]. 1998. Available from: http://www.virtual.epm.br/material/tis/currmed/sad_html/sistema.htm. [4] Paz LF, Maran V, Machado A, Weber JG. Mobidoctor: Uma aplicação móvel para acesso ao registro eletrônico de saúde de pacientes. Revista Brasileira de Inovação Tecnológica em Saúde [internet]. 2010. Available from: http://ufrn.emnuvens.com.br/reb/article/view/3455 [2] Kalakota R, Robinson M. E-business: estratégias para alcançar o sucesso no mundo digital. 2a ed. São Paulo: Bookman; 2002. [3] B’Far R. Introduction to Mobile Computing. Em: Mobile Computing Principles - Designing and Developing Mobile Application with UML and XML. New York: Cambridge University Press: 2005. p.3-28. [5] HIMSS Analytics. 3rd Annual HIMSS Analytics Mobile Survey [internet]. 2014. Available from: http://apps.himss.org/content/files/FINALThirdAnnual MobileTechnologySurvey.pdf [6] Husain I. Health Canada approves iPhone medical app for diagnostic imaging use – FDA to follow suit? iMEDICALAPPS.com [internet]. 2010. Available from: http://www.imedicalapps.com/2010/04/health-canadaapproves-iphone-medical-app-for-diagnostic-imaginguse-fda-to-follow-suit-resolution-md-mobile/. [7] U.S. Department of Health and Human Services Food and Drug Administration. [internet]. 2013. Available from: http://www.fda.gov. [8] World Health Organization. mHealth: New horizons for health through mobile technologies [internet]. 2011. Vol. 3. Available from: http://www.who.int/goe/publications/ehealth_series_vol 3/en/ [9] He L, Ming X, Ding W, Liu Q. A Novel approach to Remote Access PACS on Mobile Devices over Wireless Networks. In: Proceedings of the IEEE-EMBS International Conference on Biomedical and Health Informatics; 2012. Hong Honk and Shenzhen. 2012. p. 581-583. [10] Office Of The Privacy Commissioner Of Canada. Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps [internet]. 2010. Available 4 2317