Ransomware Petya, vazamento e os prontuários e registros eletrônicos (PEP/RES)

Alguns acontecimentos, por piores que sejam, sempre tendem a trazer um viés positivo. Em relação a segurança da informação não é diferente. A despeito de todas as discussões sobre vulnerabilidades de sistema operacional, método de disseminação ou nível de comprometimento dos dados armazenados, fato é que os ataques promovidos pelos malwares Wanna Cry e mais recentemente pelo Petya, servem para que as empresas revisitem sua cultura de proteção aos dados, sobretudo estabelecimentos de saúde que lidam com dados sensíveis, cujo segmento foi um dos mais afetados, inclusive no Brasil.

Hospitais e clínicas de saúde, não diferente de outras empresas, têm buscado na inovação e tecnologia suporte para otimizar os atendimentos, liberando os profissionais da burocracia que toma precioso tempo. Os prontuários eletrônicos dos pacientes e os registros eletrônicos de saúde (PEP/RES), por exemplo, têm contribuído para que a equipe médica possa dedicar mais tempo ao paciente, ao permitir um compartilhamento rápido das informações, agilizando a prescrição dos tratamentos e, se implementado adequadamente, de forma muito segura.

A segurança do PEP/RES não deve se limitar à utilização de assinatura digital, de forma a garantir autenticidade, integridade, e não repúdio, dando validade inconteste ao documento. Deve também passar pela necessária instituição de políticas internas de segurança da informação com regras claras a todos os colaboradores sobre os cuidados inerentes ao meio digital, apoiada em treinamentos frequentes e atualizados sobre as principais ameaças.

Ainda que um prontuário esteja criptografado impedindo o acesso a pessoas não autorizadas, a ausência de uma cultura de segurança da informação poderá acarretar sério prejuízo às atividades de um hospital. Caso, por exemplo, seja acometido de um ataque de ransomware a unidade de saúde perderá o acesso às informações, podendo colocar em risco a vida dos pacientes. Ademais, um ataque hacker poderá coletar dados sensíveis de pacientes, os quais poderão ser utilizados para fins ilícitos, acarretando a responsabilidade civil do estabelecimento e, dependendo do caso, até mesmo criminal dos gestores.

Ainda que a implementação de prontuário eletrônico do paciente se dê mediante utilização de sistemas certificados pelo Conselho Federal de Medicina, a certificação por si só não exclui a responsabilidade da empresa em implementar políticas internas, sobretudo porque a grande maioria dos ataques informáticos explora falhas humanas, ou seja, de nada adiantará um sistema robusto e seguro se o vazamento ou vulnerabilidade for promovido dolosa ou culposamente pelo colaborador.

A migração de informações do meio físico para o digital implica em mudança de hábitos. Se antes uma empresa preocupava-se em colocar cadeado no portão, limitar acesso físico com portas e catracas, agora tem que se preocupar que o acesso pode se dar de qualquer lugar do mundo a partir da internet, sem necessidade de transpor barreiras físicas. Inovação e tecnologia podem salvar vidas ou destruí-las se não forem tomados os cuidados inerentes a esse admirável mundo novo.

*Rafael Maciel é advogado e sócio do Rafael Maciel Sociedade de Advogados