Ana Sofia Gomes Macedo1, Matilde Paredes de Almeida Guerreiro2, Teresa Alexandra Ferreira3, Domingos Martinho4
RESUMO
Na área da saúde são recorrentes os pedidos de informação por parte dos familiares. Estas situações suscitam nos profissionais de saúde inúmeras questões acerca da legitimidade, regime jurídico subjacente, confidencialidade dos dados e respeito pela autonomia e privacidade do utente. No que respeita aos dados pessoais, estes são sigilosos e o Regime de Proteção de Dados (RGPD) vem dar firmeza ao dever de “segredo”. A aplicação de um consentimento por parte do titular dos dados aumentou a possibilidade de limitar a livre circulação de dados pessoais. Na área da saúde a tecnologia tornou-se num veículo de armazenamento e transmissão de informação. Este trabalho tem como objetivo compreender e conhecer o contexto de como é realizada a partilha de informação de saúde, os termos em que a família pode aceder à mesma assim como, identificar procedimentos para um Serviço de Urgência Geral (SUG) que incluam as boas práticas, que estejam de acordo com o RGPD e otimizem a gestão dos pedidos de acesso de informação dos utentes. Todos os pedidos de informação devem seguir o circuito definido para o acesso à informação clínica, de forma que seja possível avaliar a legitimidade do acesso e da licitude da disponibilização da informação clínica.
PALAVRAS-CHAVE
Dados Pessoais de Saúde; RGPD; Processo Clínico;
Transmissão de Dados à Família.
INTRODUÇÃO
A área da saúde assume hoje um contexto particularmente complexo, onde os problemas de saúde das pessoas exigem uma resposta multidisciplinar. A informação recolhida e os diversos dados de saúde registados pelos profissionais de saúde não são apenas do conhecimento de um profissional de saúde, mas de toda a equipa (Deodato,2017, citado por Fernandes, 2020).
Sob as constantes solicitações dos familiares sobre informação dos utentes, importa refletir sobre quais são os limites e o tipo de informação que é permitido disponibilizar, sem desrespeitar a autonomia e privacidade do utente.
Tendo por base o RGPD torna-se pertinente analisar o impacto na transmissão de dados aos familiares, no papel de enfermeiro do utente. O desenvolvimento da tecnologia de comunicações disponibilizou novas oportunidades, mas também trouxe novas ameaças e vulnerabilidades à prestação de cuidados de saúde.
A telemática aplicada à saúde tem vindo progressivamente a afirmar-se como uma resposta às inúmeras necessidades com que o sistema de saúde se confronta. No entanto com o aumento da propagação da informação, podem surgir constrangimentos face à garantia da privacidade individual e institucional.
Em Portugal, é em 24 de maio de 2016 que a proteção de dados pessoais passa a ter maior destaque e evidência, com a entrada em vigor do RGPD.
Os utentes têm uma palavra a dizer sobre o acesso aos seus dados!
Esta área passa a ser uma das grandes preocupações das administrações das estruturas hospitalares e de todos os profissionais com responsabilidade de decisão.
Considerando o exposto, o presente trabalho é uma análise sobre o RGPD no contexto da atividade de saúde, nomeadamente na transmissão de informação à família, de forma a compreender o seu impacto na atividade diária vivida por nós enquanto profissionais de saúde de um SUG.
ENQUADRAMENTO TEÓRICO
No seguimento do Regulamento 2016/679 do Parlamento Europeu e do conselho de 27 de abril de 2016, os dados pessoais de saúde são considerados, consensualmente, os dados pessoais mais sensíveis que existem, e são informações pessoais, com grande abrangência e profundidade.
Para o RGPD o disposto na Lei N. º12/2005, relativamente ao conceito de dados de saúde e de informação de saúde mantem-se equivalente.
Entende-se por informação de saúde, “todo o tipo de informação direta ou indiretamente ligada à saúde, presente ou futura, de uma pessoa, quer se encontre com vida ou tenha falecido, e a sua história clínica e familiar” (Lei 12/2005, art. 2º).
O registo, informatizado ou manual, da informação médica de uma pessoa constitui o seu processo clínico que deve ser inscrito e consultado pelo médico que acompanha o utente ou, sob a supervisão daquele, outro profissional de saúde igualmente sujeito a sigilo profissional (Lei 12/2005, art. 4º).
Quanto ao fornecimento de informação da pessoa doente seja do foro clínico e administrativo a outras entidades, esta é propriedade da mesma e não deve ser utilizada para outros fins que não os da prestação de cuidados, investigação em saúde ou outros fins estabelecidos pela lei (Lei 12/2005, art. 3º).
Colocam-se então as questões: Será que se pode fornecer informações do utente à respetiva família? Que tipo de dados sobre o utente podem ser fornecidos à família?
Os sistemas que organizam a informação de saúde “devem garantir a separação entre a informação de saúde e genética e a restante informação pessoal, designadamente através da definição de diversos níveis de acesso” (Lei 12/2005, art. 4º).
Por exemplo, existem formas de atuação diferentes relativamente aos dados clínicos e aos dados administrativos. Os administrativos não devem aceder aos dados médicos, assim como alguns dados médicos ou permissões para modificar dados clínicos e terapêuticos devem estar disponíveis apenas para alguns médicos.
Entende-se assim que os dados de saúde pertencem exclusivamente ao utente, não devendo ser revelados por terceiros. É o utente que dá o seu consentimento a quem tem o direito de aceder a essa informação. É o acesso à informação de saúde que lhe permite reunir elementos para o exercício informado de uma série de direitos, conferindo liberdade de reclamar, consentir ou recusar no momento anterior à prestação de cuidados de saúde.
Igualmente, o utente não deve poder aceder aos dados de terceiros que por alguma razão forte constem da sua história clínica (O Conselho Nacional da Ordem dos Médicos, 2016).
Previamente em 2005, a Constituição da República Portuguesa (artigo n. º26, alínea 2 e 6) consagrava o direito à identidade pessoal e à reserva da vida privada e estabeleceu ainda garantias efetivas contra a obtenção e utilização abusivas, ou contrárias à dignidade humana, de informações relativas às pessoas e famílias.
Por conseguinte, “a informação de saúde só pode ser utilizada pelo sistema de saúde nas condições expressas em autorização escrita do seu titular ou de quem o represente” (Lei n.º 12/2005, art.º 4.º).
Segundo Prata Ribeiro et al., (2020) com base no Decreto-Lei no 58/2019, não seria necessário um consentimento do utente para registo de dados pessoais e transmissão entre os vários técnicos de saúde , uma vez que, segundo o artigo 30.º dessa Lei, os dados relativos à saúde são organizados em bases de dados ou registos centralizados assentes em plataformas únicas para efeitos das finalidades legalmente previstas no RGPD e na legislação nacional, preenchendo os requisitos de segurança e de inviolabilidade previstos no RGPD.
No entanto, a Comissão Europeia, (2016), art.º9, Alínea 2, c) h) i) j) revela que existem exceções a esta condição de autorização por parte do utente nas situações em que o titular dos dados fornece o seu consentimento explícito se “for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso do titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento (…) para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social (…) ou por força de um contrato com um profissional de saúde (…)por motivos de interesse público no domínio da saúde pública) e para fins de investigação científica”. A comissão de ética para a saúde (2014, p.8) afirma que os familiares não são detentores do direito da informação dos seus familiares.
Por isso, no contato com os familiares, ou conhecidos do utente, os profissionais de saúde estão obrigados ao sigilo de toda a informação obtida através das suas práticas de cuidados e à proibição da divulgação dessa mesma informação (Lei de Bases de Saúde, N. º48/90, Base XIV, alínea 1, d; Council of Europe, 1950, art. 8º).
No caso específico da enfermagem, o enfermeiro deve apenas fornecer a informação que diz respeito à sua área de atuação, não comprometendo aquilo que é a sua esfera de competência. A Ordem dos Enfermeiros (OE) (2017), obriga os enfermeiros ao dever do Sigilo.
Atualmente a maioria da informação gerada em saúde é sob a forma digital o que permitiu trazer novas ferramentas e inúmeras possibilidades para o registo de dados e tratamentos dos utentes, tal como demonstrou a Pandemia Covid 19 (Taylor et al., 2020; OMS, 2021).
A lei reforça que a informação de saúde é propriedade da pessoa, e a sua circulação da informação de saúde deve ser assegurada com respeito pela segurança e proteção dos dados pessoais e da informação de saúde (Assembleia da República, 2019), evitando assim o tráfico ilegal de dados de uma entidade para outra.
Sendo os hospitais depositários de informação, têm a responsabilidade acrescida em garantir a portabilidade de dados segura e consentida, a não manipulação, difusão e violação dos dados pessoais dos seus utentes/clientes por terceiros. É de extrema importância que a entidade contratualizante garanta a segurança das instalações e equipamentos /sistemas informáticos que contenham informação de saúde, o controlo no acesso indevido por terceiros aos processos clínicos, assim como o reforço do dever de sigilo e de todos os profissionais.
São vários os programas informáticos e aplicações na área da saúde que contêm bases de dados: bilhete de identidade dos cuidados de saúde primários, o portal do utente, sistema de informação para a morbilidade hospitalar, sistema de informação de taxas moderadoras, sistema de informação RHV – Recursos Humanos e Vencimentos, atestados médicos para a carta de condução, área do cidadão, boletim de vacinas digital, receita sem papel, Sclínico Hospitalar, Uno Adm (Batista et al., 2018).
A tecnologia em informação veio melhorar o apoio à tomada de decisão dos profissionais e tornar o utente mais ativo na sua saúde utilizando um conjunto de bases de dados. Hoje em dia, o utente consegue em algumas instituições de saúde por exemplo, marcar e visualizar consultas e exames complementares de diagnóstico. Por outro lado, a telemedicina também trouxe maior facilidade e rapidez na comunicação entre instituições de prestação de cuidados médicos e respetivos profissionais de saúde para troca de opiniões e conhecimento (Smith et al., 2020).
Também a obtenção de conhecimentos através da terapia da informação ou “informoterapia”, tem demonstrado uma relação positiva entre a informação de saúde facultada e a literacia em saúde, autopercecionada pelos utentes (Rocha et al., 2021; Chesser et al., 2012).
Esta nova realidade de tecnologias de informação e comunicação na área da saúde, aliadas a Internet, apesar de indispensáveis à vida, trouxe riscos que até esta fase eram inexistentes e não levantavam qualquer preocupação no âmbito da saúde.
Os dados digitais podem ser desrespeitados e violados por terceiros (Bittar, 2014). Estes, podem intercetar ou mesmo furtar os dados para realização de fraudes, produzindo consequências tanto para o prestador de saúde como para o utente.
Por isso, estes dados pessoais sensíveis devem ter medidas especiais de segurança com diferentes níveis de acesso à informação e com a possibilidade de selecionar e segmentar o conteúdo da sua comunicação (Nunes, 2019).
É importante definir explicitamente quem tem acesso e a que informação. É perante esta realidade que surge a importância da Cibersegurança.
Segundo o Centro Nacional de Cibersegurança Portugal (2019) a Cibersegurança designa-se como um conjunto de ferramentas, políticas, guias, abordagens, ações de formação e prevenção, usadas para proteger a integridade e confidencialidade dos ativos da organização no ambiente virtual .A importância da Cibersegurança não se cinge à proteção dos dados. Engloba, como referido no Despacho N.º 8877/2017, p. 22776, a preservação da qualidade dos recursos que contribuem para a prestação contínua de serviços públicos de cuidados de saúde.
Na área da saúde é da responsabilidade dos Serviços Partilhados do Ministério da Saúde (SPMS) em obrigatoriedade de articulação com o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança, proteger os dados de saúde dos cidadãos portugueses.
Remetendo agora para a questão que levou a esta análise, é importante salientar o avultado pedido de informações diários, por parte dos familiares, no SUG. Tendo em conta o contexto pandémico vivenciado e a consequente limitação de visitas dos familiares, estas solicitações transformaram-se em telefonemas. Estes pedidos de informação podem englobar informação administrativa e/ou clínica do utente. É uma situação, que apesar de os profissionais absterem-se de o fazer, pela impossibilidade de confirmação presencial, com a exceção de quando esse contato é fornecido pelo próprio utente, com o respetivo consentimento recolhido para a prestação de informação. O simples facto de um requerente se apresentar como familiar de um utente, não significa que possa ter acesso à informação clínica respeitante a esse mesmo utente.
O perigo de fuga de informação aquando de um pedido de informação presencial é real, quanto maior se este for por telefone. Fornecer informações para o exterior tem um risco elevado e a forma de controlar a informação disponibilizada é deveras complexa, sendo inerente possíveis prejuízos graves para os utentes. A utopia seria que na transmissão de dados estive-se patente a autenticidade sem intrusos e que os interlocutores fossem as pessoas que dizem ser, realizando uma confirmação de identidade e grau de parentesco da pessoa que pede informação, sem exceções. Não se pretende descurar as famílias e acompanhantes dos utentes, no seu processo de cura, até porque as mesmas são fundamentais na garantia de sucesso do mesmo. No entanto, a exigência de informação solicitada não pode direcionar o discernimento e ir para além da Lei e do dever de Sigilo. A forma de atuação deve de ir ao encontro do que vigora relativamente à privacidade e autonomia do utente.
Outra situação que acontece é os familiares já possuírem informação prévia do estado clínico do utente, devido a informação fornecida replicada por diferentes profissionais (no seguimento da telemedicina e sua limitação, pelos seguimentos via telefone), nomeadamente profissionais da instituição que não trabalham no SUG, mas que têm acesso ao software.
No que concerne ao acesso à base de dados dos utentes, está inerente à prestação de cuidados de saúde e à consequente consulta de dados para a prestação de cuidados de saúde, que podem ir desde o momento de recolha de dados para a marcação de uma consulta de especialidade, passando pela realização de consulta e registo de dados e realização de exames, até à realização de um determinado procedimento cirúrgico durante o qual são recolhidos dados do utente sujeito à intervenção, sendo registados no processo clínico do utente. Certifica-se que os dados de saúde devam ter uma proteção especial de modo a evitar o “tráfego de dados”. Por exemplo, se as companhias de seguros tiverem acesso a dados de saúde dos seus clientes, podem negar-lhes seguros, do mesmo modo, os empregadores podem despedir ou não contratar pessoas baseados no mesmo tipo de informação (Lança, 2018; 2019).
É importante salvaguardar a privacidade do utente, pois contribui para que este tenha confiança na organização que lhe presta cuidados de saúde. Este interesse público geral não pode ser abandonado por proveitos privados de um dos contratantes à custa da violação da intimidade da vida privada do outro. Estas bases de dados deveriam ser colocadas em locais controlados onde apenas os profissionais autorizados conseguissem aceder. Meios de autenticação suplementares, tais como dispositivos biométricos, podem ser utilizados nestes casos, assim como métodos de encriptação no manuseamento da informação, que mesmo em caso de perda ou roubo de dispositivos, os dados não poderão ser acedidos.
Tendo como exemplo um SUG em que o software utilizado é o alert, a informação associada ao alert é passível de ser consultada no software Sclinic, podendo ser consultada nos restantes serviços do hospital. Poderiam existir mecanismos de segurança como por exemplo minimizar o número de campos a pesquisar, sendo necessário introduzir novamente a senha se quisessem aceder ao alert através do Sclinico, ou a atribuição de palavras passe personalizadas e com obrigatoriedade de alteração periódica.
Outro problema que se levanta no SUG, é a circulação facilitada de profissionais externos ao serviço, desde que tenham o fardamento hospitalar. O devido controlo de acesso ao serviço seria uma forma de implementar mais uma barreira para impedir o acesso não autorizado à informação.
Neste momento é possível aceder ao processo clínico do utente que se encontra noutra entidade pública de saúde, através do aplicativo Registo de Saúde Eletrónico. Permite ter um conhecimento e seguimento de todo o histórico clínico do utente, podendo ser benéfico para o seu tratamento e observação. Por outro lado, aumenta o acesso a um maior número de profissionais de saúde e consequente um maior risco de fuga de informação.
É necessário que as organizações de saúde protejam a privacidade do utente, pois este deve confiar no local onde está a ser tratado e nos profissionais que vão ter acesso aos seus dados pessoais. O utente, na situação de doença, está vulnerável e é premente o compromisso de sigilo, pois muitas vezes a situação clínica do utente é desconhecida para os familiares entre outros, por opção do utente. A primeira abordagem não deve ser barrar o acesso à informação, mas sim, avaliar individualmente cada pedido de transmissão de informação.
É essencial garantir que apenas acedem aos dados quem está legalmente habilitado para o efeito (Grupo de trabalho, Artigo 29, 2016).
CONCLUSÃO
No hospital a prática dos profissionais deve de estar de acordo com o RGPD, pois faz diminuir a possibilidade de colocar a instituição e os seus próprios profissionais em situação de vulnerabilidade. A implementação e atuação deve abranger a população hospitalar e população de uma forma geral. O aumento da literacia sobre o RGPD iria contribuir para uma melhor aceitação e compreensão por parte da família dos utentes, face à forma de agir relativamente à transmissão de informação. Poderiam ser criados folhetos informativos e alertas no site do Centro Hospitalar por exemplo. A elaboração de normas que uniformizassem a cedência de informação de acordo com o RGPD, também ajudaria a que cada profissional seja de qua área fosse, toma-se consciência dos seus limites na transmissão de informação, assim como no acesso indiscriminado a informação do utente que não está à sua responsabilidade. Outra estratégia facilitadora para se atuar de acordo com o RGPD seria a realização de auditorias de verificação de falhas e tentativas não autorizadas de acesso á informação. Através de uma maior vigilância, consegue-se melhor controlar o cumprimento e toda a legislação relacionada com a proteção de dados. Para facilitar esta tarefa, seria importante existirem mais encarregados de Proteção de Dados nas instituições.
Conclui-se que é de elevada relevância refletir com toda a equipa multidisciplinar e organizacional, sobre o desenvolvimento de consciência da importância da preservação da informação como um património da organização.
REFERÊNCIAS BIBLIOGRÁFICAS
Assembleia da República. (1990). Lei de Bases da Saúde. Diário Da República, 55–66. https://dre.pt/application/conteudo/124417108
Assembleia da República. (2005). Lei no 12/2005, de 26 de janeiro. Diário Da República, 18, 606–611.
Assembleia da República. (2019). Lei de Bases da Saúde. Diário Da República, 1a série (N.o 169), 55–66. https://dre.pt/application/conteudo/124417108
Batista, P., Monteiro, A., & Ramalho, A. (2018). Sistemas de informação 2018|2019. 2. https://spms.min-saude.pt/wp-content/uploads/2018/12/NEWSLETTER_DSI.pdf
Bittar, E. C. B. (2014). Internet, Cyberbullying E Lesão a Direitos Da Personalidade: O Alcance Atual Da Teoria Da Reparação Civil Por Danos Morais. Homenagem a José De Oliveira Ascensão. Ano, 3(2014), 1695–1715.
Centro Nacional de Cibersegurança Portugal. (2019). Estratégia Nacional de Segurança do Ciberespaço 2019-2023.
Chesser, A. K., Woods, N. C. K., Davis, A. A., & Bowers, C. J. (2012). Prescribing Information Therapy: Opportunity for Improved Physician-Patient Communication and Patient Health Literacy. Journal of Primary Care and Community Health, 3(1), 6–10. https://doi.org/10.1177/2150131911414712
Comissão de Ética para a Saúde. (2014). Segurança da Informação de Saúde e Sigilo profissional na ARSLVT.
Constituição da Républica Portuguesa. (2005). Decreto de Aprovação da Constituição, de 10 de abril – Constituição da República Portuguesa. Diário Da Republica. https://dre.pt/dre/legislacao-consolidada/decreto-aprovacao-constituicao/1976-34520775
Council of Europe. (1950). Convenção Europeia dos Direitos do Homem. European Court of Humans Rights. https://www.echr.coe.int/documents/convention_por.pdf
Decreto-Lei no 58/2019. (2019). Lei da Proteção de Dados Pessoais. Diário Da Republica, 151(I Série).
Fernandes, C. C. (2020). O Acesso à Informação de Saúde. DataVenia, 21/22, 591–645. http://www.maticasrpska.org.rs/stariSajt/casopisi/ZMSKS_2122_1.pdf
Gabinete do Secretário de Estado da Saúde. (2017). Despacho n.o 8877/2017. Diário Da República, 2.a Série, N.o 194, 22776–22778.
Grupo de trabalho artigo 29. (2016). Orientações para o Encarregado de proteção de dados. 1–29.
Lança, F. (2018). Seguradoras não podem tratar dados de saúde a partir de 25 de maio – Economia – Jornal de Negócios. https://www.jornaldenegocios.pt/economia/detalhe/seguradoras-nao-podem-tratar-dados-de-saude-a-partir-de-25-de-maio
Lança, F. (2019). Seguradoras não podem ter acesso direto a dados de saúde – Economia – Jornal de Negócios.
Nunes, C. S. (2019). Dados sensíveis: o que são e como são protegidos. 1–6. https://www.nfs-advogados.com/uploads/3/7/8/6/3786926/artigo_nfs_-_dados_sensiveis_-_o_que_sao_e_como_sao_protegidos.pdf
O Conselho Nacional da Ordem dos Médicos. (2016). Regulamento de Deontologia Médica N.o 707/2016 de 21 de julho. Diário Da República II Série, No.139 (21-07-2016), 22575–22588.
Ordem dos Enfermeiros. (2017). Regulamento de Aconselhamento Deontológico para Efeitos de Divulgação de Informação Confidencial e Dispensa do Segredo Profissional. Diário Da República, 12770–12772.
Organización Mundial De Salud. (2021). Estrategia mundial sobre la salud digital. 2020-2025, 8–9. file:///D:/Semestre 2022-3/Semiedo/Anteproyecto/9789240027572-spa.pdf
Parlamento Europeu e do Conselho. (2016). Regulamento (UE) 2016/679. Jornal Oficial Da União Europeia, 2014(3), 1–119.
Prata Ribeiro, H., Ponte, A., Robalo Cordeiro, F., & Vieira, F. (2020). O Novo Regulamento Geral Sobre a Proteção de Dados e as Suas Implicações Quanto a Pedidos de Informação Dirigidos aos Profissionais de Saúde. Acta Médica Portuguesa, 33(4), 221–224. https://doi.org/10.20344/amp.13162
Rocha, M. I., Almeida, C. V., Cepeda, A., Carneiro, A., Silva, A. F. C., Gonçalves, A. C. da S., Machado, A. F., Silva, A. L., da Silva, C. A. O., Oliveira, C. M. S., Schacht, E., Santos, F., Cunha, F., e Silva, G. M. C., Almeida, G. M. D., Cerejeira, I., Gonçalves, J. F. J., da Costa, L. M., da Costa, M. M. N. S., … Costa, R. (2021). Literacia em Saúde e Capacitação dos Profissionais. https://www.chpvvc.min-saude.pt/wp-content/uploads/sites/34/2021/09/EBOOK_CHPVVC_final_06_09_2021.pdf
Smith, A. C., Thomas, E., Snoswell, C. L., Haydon, H., Mehrotra, A., Clemensen, J., & Caffery, L. J. (2020). Telehealth for global emergencies: Implications for coronavirus disease 2019 (COVID-19). Journal of Telemedicine and Telecare, 26(5), 309–313. https://doi.org/10.1177/1357633X20916567
Taylor, K., Gall, B., & Siegel, S. (2020). Digital Transformation: Shaping the Future of European Healthcare. Deloitte, September.
1) Ana Sofia Gomes Macedo, Mestre em Enfermagem Nefrológica, Pós-Graduada em Gestão e Administração de Unidades de Saúde, Enfermeira Especialista em Médico-Cirúrgica, https://orcid.org/0009-0006-8205-7335;
(2) Matilde Paredes de Almeida Guerreiro, Mestre em Enfermagem Pessoa em Situação Crítica, Pós-Graduada em Gestão e Administração de Unidades de Saúde, Enfermeira Especialista em Médico-Cirúrgica, https://orcid.org/0000-0001-6122-3468;
(3) Teresa Alexandra Ferreira, Pós-Graduada em Gestão e Administração de Unidades de Saúde, Enfermeira Especialista em Reabilitação, https://orcid.org/0000-0003-3017-1188;
(4) Domingos Martinho, Doutor em TIC na Educação, Especialista em Ciências Informáticas, https://www.cienciavitae.pt/portal/DF14-D953-4D04