A modernização de processos, a otimização das comunicações e utilização produtiva do banco de dados são valiosas características de atuação essenciais ao Setor de Saúde. É fato que a aplicação eficiente da tecnologia da informação nesta área, especificamente, além de aprimorar a prática profissional, também se apresenta como uma ferramenta auxiliar para salvar e/ou melhorar a qualidade de vida das pessoas.
Por esta razão, em muitos hospitais, convênios, laboratórios e centros clínicos, o histórico médico dos pacientes já se encontra totalmente informatizado, com resultados de exames, prescrições de medicamentos e tratamentos registrados em preciosos bancos de dados. Mas, lamentavelmente, a relevância gritante deste conteúdo já chamou a atenção de criminosos que atuam na Internet.
Como recentemente noticiado na mídia, o filão da vez no mundo negro do cyber crime são os episódios de “sequestro” de dados de estabelecimentos de Saúde, com exigência de pagamento pela “devolução” das informações. O ransomware, como ficou conhecida a investida, restringe o acesso ao sistema, com a infecção via malware, que faz a criptografia desautorizada de toda a base de dados e impede seu proprietário de acessá-la. Sem outra solução mais rápida e como exames computadorizados, cirurgias e agendamentos interrompidos, algumas instituições acabam pagando o resgate, exigido em moedas virtuais (bitcoins) que permitem o anonimato e dificultam o rastreamento dos agentes.
Evidentemente, tal prática repugnante e suas variantes constituem crime, tipificado pela legislação brasileira no artigo 154-A do Código Penal (Invasão de Dispositivo Informático, introduzido pela lei 12.737/2012). Estão sujeitos à atuação policial e repressão judicial. Contudo, não se pode negar que a responsabilização de delitos de natureza penal no país – com identificação dos agentes e respectiva punição – demanda tempo não compatível com a inata urgência pertinente ao setor em comento.
É notório que o altíssimo grau de sensibilidade das informações envolvidas é o ponto mais complicado nestas situações. O risco de vazamento dos dados, inclusive, pode colocar as empresas de Saúde no meio de uma verdadeira avalanche de ações judiciais promovidas por pacientes prejudicados, além da eventual aplicação de medidas administrativas punitivas de órgãos de fiscalização.
Isto porque, o Código do Consumidor – Lei 8.078/90, por exemplo, prevê o zelo pelo respeito à dignidade humana (art. 4º), proteção contra danos (patrimoniais e morais), entre outros. Igualmente, o Marco Civil da Internet, consubstanciado pela lei 12.965/2014, reforça os princípios de garantia da privacidade, intimidade, proteção de dados, sigilo das comunicações, segurança e responsabilização dos agentes na Internet (artigos 3º, 7º, 10…).
Mencionamos, ainda, que os artigos 73 – 77 e 85 do Código de Ética Médica, aprovado pela Resolução 1.931/2009 do Conselho Federal de Medicina – CFM, (autorizado pela lei 3.268/57), também tratam especificamente do sigilo profissional relativo às informações e documentos dos pacientes.
Toda a legislação brasileira, aliás, exige que o setor empresarial, seja qual for sua área de atuação, seja previdente e zeloso com as informações manipuladas. Assim, considerando que a citada modalidade de invasão pode ter desdobramentos e resultar em prejuízos muito maiores do que o inicial pagamento do resgate, não é absurdo que se imponha aos estabelecimentos de Saúde o alerta máximo para que tomem medidas robustas e adequadas em segurança da informação.
Providências como o investimento em segurança, backups e monitoramento constante do fluxo de dados, como sugerem os especialistas, aliados ao estudo de protocolos de resiliência, podem evitar danos ou, ao menos afugentar grande parte das ações maliciosas.
Afinal, embora provavelmente não estivesse ciente disso, não só no vigor físico/mental das pessoas se funda o Setor de Saúde: a salubridade dos seus dados, mantidos em integridade, também pode contribuir para uma vida sem vicissitudes.
* Renato Opice Blum é Mestre pela Florida Christian University, advogado e economista; Professor coordenador do curso de Direito Digital do INSPER, presidente do Conselho IT, Compliance e Educação Digital da Fecomercio