Confidencialidade da Informação em Saúde
Página em construção
Definição
A confidencialidade e a privacidade são termos diretamente relacionados que tratam da guarda das informações pessoais. [1] A privacidade diz respeito a um direito individual de intimidade ou seja, o indivíduo tem o direito de definir o quê e a quem deseja revelar algo. Já confidencialidade diz respeito à segurança do indivíduo que revelou alo de sua intimidade que a informação será mantida em sigilo. [1] Por isso, confidencialidade é definida pelo Dicionário Priberam da Língua Portuguesa como sendo qualidade do que é confidencial, ou seja, uma comunicação secreta, sigilosa e pelo Glossário de Bioética do Instituto Kennedy de Ética como a garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada. [2,3]
Diante do exposto, a confidencialidade é uma forma de privacidade informacional que acontece no âmbito de uma relação entre duas partes e que envolve a privacidade e a confiança, que garantem a segurança de que a informação não seja revelada sem a autorização de quem a fornece [1, 6, 7, 8, 10]. Conceituada a confidencialidade, há que se discutir as implicações quanto a seu uso em sentido clínico.
Sentido clínico
Para compreender o caráter obrigatório do sigilo, que garante a confidencialidade dos dados do paciente, é necessário conhecer suas raízes e evolução histórica, visto se ter relato desde o século V a.C.. No que diz respeito ao histórico da confidencialidade, cabe destacar a Declaração Universal dos Direitos Humanos, promulgada em 1948 pela Organização das Nações Unidas, que cita em seu artigo XII o direito à não interferência na vida pessoal ou familiar e o Juramento de Hipócrates, que deveria ser cumprido pelo médico com o objetivo de proteger os segredos dos doentes: “tudo quanto veja ou ouça, profissional ou privadamente, que se refira à intimidade humana e não deva ser divulgado, eu manterei em segredo e contarei a ninguém”. [1, 4, 5]
O exposto permite inferir que na área clínica, confidencialidade pode ser entendida como o sigilo da comunicação entre o profissional de saúde e o paciente que é respaldado por valores éticos e por determinações legais que devem ser seguidas. [1] A confidencialidade pode ser entendida como um direito-dever, ou seja, um direito do paciente e um dever do profissional de saúde de forma que o paciente possa revelar situações potencialmente embaraçosas, em um ambiente confiável objetivando o melhor cuidado de sua integridade física e emocional. [1] Por isso, as informações discutidas não podem ser repassadas a outras pessoas sem permissão explícita. [1]
A confidencialidade é reforçada pelos códigos de ética deontológicos e, por isso, uma responsabilidade de todos os profissionais que atuam no cuidado do paciente. [1] O serviço nacional de saúde inglês (NHS) define a confidencialidade como o princípio orientador fundamental em que os registros de saúde de um paciente são feitos pelos profissionais do serviço de saúde para apoiar a saúde desse paciente, portanto, o registro individual de um paciente é para finalidade de seu cuidado e seu uso deve ter sua anuência, salvo exceções. [6] Já os registros anônimos são considerados públicos. [6]
Entretanto, durante o cuidado hospitalar de um paciente, vários profissionais de saúde têm acesso à informação dada confidencialmente a outro profissional por meio do registro dessa informação no prontuário do paciente. Se por um lado esse acesso pode ser benéfico para melhor atenção à saúde, por outro há a perda da confidencialidade. [1]
Na contramão da necessidade de controle, existem ainda obrigações legais exigem que os profissionais de saúde forneçam informações sobre o paciente tais como a notificação compulsória de algumas doenças transmissíveis, as lesões por agressão ou violência e as suspeitas de abuso infantil; quebrando assim, por força de lei, a confidencialidade. [1]
O uso e divulgação de informações do paciente associado com a sua saúde implicam em escolhas sobre as limitações quanto ao uso da informação e seu compartilhamento. Em busca de tratar estas questões o NHS propõe um modelo de garantia de confidencialidade com quatro requisitos principais:
- Proteger: cuidar das informações do paciente;
- Informar: garantir que os pacientes estão cientes de como suas informações serão utilizadas;
- Promover escolha: permitir que os pacientes decidam se as informações podem ser divulgadas ou usadas;
- Melhorar: sempre procurar maneiras melhores de proteger, informar e fornecer escolha. [6]
A garantia de confidencialidade da relação clínica deve ser mantida e as situações que demandam a sua ruptura devem ser discutidas ou informadas ao paciente e que é fundamental que se estabeleçam políticas prudentes e eticamente adequadas para regular estas questões. [1] A garantia da confidencialidade é também tema importante a ser tratado no contexto de sistemas de informação, tema do próximo tópico.
O papel do sistema de informação
A crescente utilização de sistemas de informação para registro de dados em saúde melhorou a disponibilidade e facilidade de acesso as informações de saúde do indivíduo e, por isso, a confidencialidade além de ser abordada juntamente com as questões de privacidade passou, também, a ser relacionada com a segurança da informação. [1, 6]
O acesso aos dados de saúde de um indivíduo em formato eletrônico melhorou o desempenho da saúde pública porém, ameaçam a privacidade pela facilidade de duplicar e transmitir a informação a pessoas não autorizadas. [7] Apesar deste ponto de fragilidade os dados eletrônicos são mais fáceis de serem protegidos que os registrados em papel, pois permitem a utilização de mecanismos de segurança da informação como autenticação, autorização e auditoria. [7]
Dentre as várias formas de prevenção, destaca-se ações de engenharia preventiva que podem ser tomadas tanto a partir do indivíduo como para os meios eletrônicos: [7, 10, 11]
- A partir do indivíduo (educação):
- Capacitação de pessoal: é uma parte integrante da prevenção à maioria das violações de confidencialidade que surgem internamente;
- Criação de um responsável pela segurança dos dados: responsável pelo desenvolvimento e organização de formação do pessoal e monitoramento da segurança do meio ambiente organizacional, e da aplicação local;
- Divulgação apropriada das informações;
- Autorização da pessoa que recebe a informação;
- Alertas e lembretes: para reforçar a ética do usuário;
- Acesso de curiosos: que pode ser tratado através de educação, autenticação, autorização, trilha de auditoria, restrição de direito de acesso, ferramentas de gestão de acesso;
- Meios eletrônicos (prevenção):
- Autenticação: determinar quem está acessando o sistema e pode ser feita idealmente nos níveis: 1º com informações que o usuário saiba (senha) e 2º com algo que o usuário tenha (token, biometria, assinatura digital, certificado digital);
- Autorização: definir quem pode acessar e que informação pode acessar;
- Trilhas de Auditoria: controlar o acesso a documentos e registros de dados, fornecer alertas para a manipulação de informações sensíveis;
- Prevenção de acessos externos: tomando medidas como isolamento de servidores ou redes da internet;
- Segurança do modo de transmissão e manipulação de dados: não salvar informações nos devices de clientes, uso de firewall, a encriptação de Servidores de dados e aplicação, computadores desktop, móvel computadores, mídia portáteis, e e-mail ou outras formas de dados transmissão;
- Gerenciamento do software: proteção contra vírus, software malicioso mal-intencionado (malwares), etc. Além de controle sobre uso de software não certificado;
- Análise de vulnerabilidade do sistema: ferramentas para detectar vulnerabilidades não intencionais no sistema.
O compartilhamento das informações, especialmente em formato eletrônico, pode acarretar benefícios na prestação de cuidados de saúde, na vigilância em saúde, na pesquisa e na educação. [7, 9] Entretanto, quando o objetivo não for a assistência à saúde a um indivíduo específico, para divulgar as informações com segurança se deve adotar mecanismos eficientes e efetivos de desidentificação e de anonimização das informações. [8] Assim, para que o desenvolvimento de sistema de informação atenda ao requisito de confidencialidade e às questões legais de órgãos reguladores e entidades certificadoras em seu contexto de uso e aplicação, é ímpar a implantação de um conjunto de políticas de segurança da informação e o controle de acesso ao seu conteúdo. [8, 9, 10, 11]
Legislação no Brasil (CFM, MS, MC&T, SBIS)
No Brasil o sigilo e a privacidade da informação estão garantidos legalmente pelo Código Penal Brasileiro - um decreto-lei de 1940, que estabelece no artigo 154 o crime de violação do segredo profissional o qual se estende a qualquer profissão. [1, 5]
No Brasil, assim como em vários países, as questões legais que envolvem a regulação da profissão passam por conselhos federais. No caso da medicina, essa responsabilidade cabe ao Conselho Federal de Medicina (CFM) que regulamentou nos artigos 102 a 109 de seu Código de Ética, várias situações específicas que vedam ao médico a revelação de informações podendo ocorrer a quebra do sigilo somente por justa causa, dever legal ou autorização expressa do paciente. [1, 5]
No cenário brasileiro cabe destacar a cooperação técnica estabelecida entre a Câmara Técnica de Informática em Saúde do CFM e a Sociedade Brasileira de Informática na Saúde Sociedade Brasileira de Informática em Saúde para estabelecer os requisitos do processo de certificação de sistemas informatizados em saúde de forma a orientar o desenvolvimento e implementação de sistemas coerentes com a legislação e que tratam as questões de privacidade, confidencialidade e segurança da informação. [11]
Referências
[1] LOCH, J.A. Confidencialidade: natureza, características e limitações no contexto da relação clínica. Bioética. v. 11, n. 1, p.51-64, 2003.
[2] Dicionário Priberam da Língua Portuguesa. Disponível em: <http://www.priberam.pt/dlpo/confidencial>. Acesso em: 19 de outubro de 2015.
[3] GOLDIM, J.R. Confidencialidade. Kennedy Institute of Ethics. Bioethics Thesaurus. Washington: KIE, 1995.
[4] SANTOS, M.F.O; SANTOS, T.E.O; SANTOS, A.L.O. A confidencialidade médica na relação com o paciente adolescente: uma visão teórica. Rev. Bioét. (Impr)2012; 20 (2): 318-25.
[5] SALES-PERES, S.H.C et al. Sigilo profissional e valores éticos. RFO. v. 13, n. 1, p. 7-13, jan./abril 2008.
[6] DH/IPU/Patient Confidentiality. NHS Confidentiality Code of Practice. Reino Unido, Nov. 2003. Disponível em: <https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/200146/Confidentiality_-_NHS_Code_of_Practice.pdf>. Acesso em: 05 de novembro de 2015.
[7] MYERS, J.; FRIEDEN, T.R.; BHERWANI, K.M; HENNING, K.J. Privacy and Public Health at Risk: Public Health Confidentiality in the Digital Age. American Journal of Public Health. v. 98, n. 5. maio 2008. Disponível em: <http://www.researchgate.net/publication/5470699_Ethics_in_Public_Health_Research_Privacy_and_Public_Health_at_Risk_Public_Health_Confidentiality_in_the_Digital_Age>. Acesso em: 05 de novembro de 2015.
[8] SWEENEY, L. Maintaining Patient Confidentiality When Sharing Medical Data Requires a Symbiotic Relationship Between Technology and Policy. Massachusetts Institute of Technology - Artificial Intelligence Laboratory. Maio, 1997. Disponível em: <http://dataprivacylab.org/dataprivacy/projects/law/aiwp.pdf>. Acesso em: 05 de novembro de 2015.
[9] STYFFE, E.J. Privacy, Confidentiality, and Security in Clinical Information Systems: Dilemmas and Opportunities for the Nurse Executive. Nursing Administration Quartely. v. 21, n. 3, p.21-28, 1997.
[10] RINDFLEISCH, T. C. Confidentiality, Information Technology, and Health Care. Mar. 1997. Disponível em: <http://www.researchgate.net/profile/Thomas_Rindfleisch/publication/2521603_Confidentiality_Information_Technology_and_Health_Care/links/0deec53c698c6d5e83000000.pdf>. Acesso em: 05 de novembro de 2015.
[11] SILVA, M.L. (Editor). Manual Operacional de Ensaios e Análises para Certificação de S-RES. Sociedade Brasileira de Informática em Saúde. 2013. Disponível em: <http://www.sbis.org.br>. Acesso em: 05 de novembro de 2015.