Antes da pandemia, havia muita resistência ao exercício da telemedicina no Brasil, o que acabou sendo superado pela urgência da crise sanitária, que possibilitou o uso desse recurso tecnológico, fundamental para auxiliar os pacientes em todo o território nacional. Durante a pandemia, mais de 6 milhões de teleconsultas foram realizadas, segundo dados da Abrange – Associação Brasileira de Planos de Saúde.
No último dia 22 de abril, o Ministério da Saúde divulgou uma portaria que declarou o fim da emergência de saúde pública de importância nacional decorrente da Covid-19, diante da cobertura vacinal e melhora da situação epidemiológica do país. Esta situação deixou um vácuo momentâneo sobre a possibilidade de utilização da telemedicina, que estava autorizada pela lei 13.979/20.
No entanto, a ausência de regulamentação não durou muito tempo, já que o CFM – Conselho Federal de Medicina divulgou no dia 4 de maio, a resolução 2.314/22, que define e regulamenta a telemedicina no Brasil, como forma de serviços médicos mediados por tecnologias e comunicação, fruto de um amplo debate reaberto em 2018 com entidades médicas e especialistas, passando a regular a prática em substituição à resolução CFM 1.643/02. A nova resolução entrou em vigor a partir de 5 de maio.
A norma editada pelo CFM foi baseada em rígidos parâmetros éticos, técnicos e legais e abre as portas da universalidade na saúde para muitos brasileiros, os quais dependem exclusivamente do SUS – Sistema Único de Saúde e, ao mesmo tempo, garante segurança, privacidade, confidencialidade e integridade dos dados dos pacientes.
Durante a pandemia, a telemedicina possibilitou que pacientes fossem atendidos remotamente, sem ocorrer riscos de contaminação pelo vírus. Também democratizou o acesso à saúde em um país que grande parte dos mais de 5 mil municípios não possuem médicos, agilizou o atendimento e possibilitou diagnósticos precoces, que puderam salvar vidas.
Um exemplo de atuação da telemedicina durante a pandemia foi com o apoio do PROADI-SUS – Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde, no qual houve a realização de atendimentos com o projeto de teleUTI Covid-19, para população adulta e pediátrica, especialmente nas regiões mais carentes, com suporte para quase 2.000 leitos, com linha telefônica 24h e possibilitando visita diária com o aumento de mais de 270% do número de casos discutidos pela equipe médica.
O atendimento por telemedicina deve ser registrado em prontuário médico físico ou no uso de sistemas informacionais, como o SRES – Sistema de Registro Eletrônico de Saúde do paciente, atendendo aos padrões de representação, terminologia e interoperabilidade.
Nesse sentido, é dever do hospital garantir que o prontuário não seja acessado indevidamente por terceiros, assim como seja mantido um registro de acesso destas informações, gerando rastreabilidade e demonstrando o cumprimento das legislações aplicáveis (e não apenas de proteção de dados), com a utilização das medidas de segurança adequadas para que a confidencialidade, integridade e disponibilidade das informações sejam preservadas.
No dia a dia do exercício profissional, é comum que os médicos e outros profissionais da área da saúde compartilhem entre si dados de saúde de seus pacientes, com o objetivo de realizar os procedimentos necessários. Algumas destas atividades são da expectativa do titular (paciente), como a realização de exames; outras situações, porém, se não houver alguma base legal que a autorize, devem ser informadas previamente e, sendo necessário, coletado o consentimento para a atividade.
É importante ressaltar que toda a atividade médica precisa comprovar uma finalidade legítima e a indicação de uma base legal válida para a atividade de tratamento de dados pessoais e dados pessoais sensíveis. Não pode ocorrer o tratamento de dados sem a indicação de uma finalidade e uma base legal sob o pretexto de enquadramento em tratamento irregular e ser passível de aplicação das sanções previstas na LGPD.
É bem conhecida a necessidade de estabelecimento de rígidos controles de segurança da informação quando se fala em tratamento de dados pessoais. Essa necessidade se torna ainda mais imperiosa quando o tratamento de dados envolve dados pessoais sensíveis, conforme o art. 46, da LGPD, levando à aplicação dos princípios de privacy by design e privacy by default.
Nesse cenário, é importante que seja realizada a avaliação da arquitetura de sistemas, com a chancela dos times de proteção de dados, tecnologia e segurança da informação. Assim, uma importante solução quando se fala em práticas de segurança da informação e que, quando irreversível evita a aplicação da LGPD, é a anonimização. Portanto, sempre que for possível, os dados pessoais devem ser anonimizados, reduzindo-se, assim, o risco inerente ao tratamento de dados pessoais.
Além da autorização para a telemedicina, o CFM também regulamentou a possibilidade de utilização dos prontuários eletrônicos e realização da prescrição médica por meio da resolução 2.299/21. Neste caso, regulamentam questões pertinentes à guarda e ao manuseio das informações de médicos e pacientes, garantindo o direito à privacidade e confidencialidade das mesmas, atendendo aos princípios da ética médica e da LGPD.
A realização de teleconsulta, por exemplo, poderá possibilitar que haja integração entre dois ou mais sistemas, devendo ser sempre avaliado pelos times de proteção de dados, tecnologia e segurança da informação.
Outro ponto relevante a ser avaliado em conjunto com a telemedicina é a possibilidade de realização de telecirurgias, mediante o auxílio de equipamentos robóticos, conforme previsto pelo art. 9º, da resolução 2.314/22, e regulamentado na resolução 2.311/22, de março de 2022.
Neste caso, o paciente deverá manifestar, expressamente, a sua concordância com a utilização da tecnologia e o diretor técnico do hospital onde será realizada a cirurgia robótica é o responsável por conferir a documentação que garante a capacitação e competência do cirurgião principal, do cirurgião-instrutor em cirurgia robótica e dos demais médicos membros da equipe.
O CFM estabeleceu que o paciente ou seu representante legal, deve autorizar o atendimento por telemedicina e a transmissão das suas imagens e dados por meio da assinatura de um termo de consentimento livre e esclarecido, enviados por meio eletrônico ou de gravação da leitura do texto e concordância, devendo fazer parte do SRES do paciente.
A possibilidade de utilização da telemedicina não exclui a prática do ato médico presencial, sendo este reconhecimento como o padrão ouro de referência, sendo a telemedicina sempre empregada como ato complementar. Ademais, em determinados casos, o atendimento presencial será sempre incentivado e adotado como prioridade.
No caso de emissão à distância de relatório, ela deverá conter identificação do médico, incluindo nome, número do registro no CRM e endereço profissional, assim como a identificação completa e dados do paciente, indicação de data, hora e assinatura do médico com certificação digital do médico no padrão ICP-Brasil ou outro padrão legalmente aceito.
Além disso, os dados pessoais e clínicos do teleatendimento médico devem seguir as definições da LGPD e outros dispositivos legais quanto às finalidades primárias dos dados.
Após esta análise preliminar sobre o cenário regulamentar do CFM, pelo menos três desafios são identificados para o futuro da telemedicina: i) a substituição do atendimento presencial pelo virtual; ii) como garantir a segurança da informação e proteção dos dados dos pacientes; e, iii) como mitigar os riscos e ameaças e garantir uma plataforma segura.
Com efeito, com relação ao primeiro desafio identificado, a própria resolução do CFM aponta que o atendimento telepresencial não deve ser considerado como regra, mas pode ser utilizado em complemento ao atendimento presencial. Isso já diminui o receio de que, num futuro próximo, as relações entre médico e paciente sejam mantidas apenas no ambiente virtual.
Ademais, o segundo desafio passa a ser minimizado no momento em que a instituição passa a implementar regras de boas práticas e governança no tratamento de dados, incorporando o encarregado pela DPO – Proteção de Dados no acompanhamento das atividades realizadas.
Isso porque, de acordo com a LGPD, este é o profissional que mantém o dever de garantir um nível razoável de segurança e proteção dos dados pessoais e dados pessoais sensíveis, inclusive com a avaliação das ferramentas que serão utilizadas, elaboração de políticas, procedimentos e orientações para que o fluxo de dados aconteça de forma segura e de acordo com os padrões exigidos.
Por fim, o último desafio está em mitigar os riscos e dissipar as ameaças para garantir que as plataformas que serão utilizadas na telemedicina (considerando todas as modalidades que foram trazidas pela resolução), de modo que o DPO deverá realizar a avaliação de riscos de cada fornecedor, tanto pelo viés de proteção de dados, quanto também nos potenciais riscos de segurança da informação, com o monitoramento de rede e avaliação do ambiente de armazenamento.
—
Adalberto Fraga Veríssimo Junior
Advogado e sócio da Lee, Brock, Camargo Advogados, pós-Graduando em Direito Digital e Proteção de Dados pela EBRADI, Membro da Associação Nacional de Advogados de Direito Digital, Associação Nacional de Profissionais de Privacidade de Dados e Comissão Especial de Privacidade e Proteção de Dados da OAB-SP
Larissa Soler Rocha
Colaboradora do escritório Lee, Brock Camargo Advogados, atuando em Direito Digital e Lei Geral de Proteção de Dados e é certificada em Computação Avançada, Lógica e Programação pela Universidade Tecnológica Federal do Paraná.